LGPD Art. 46: as medidas técnicas que a ANPD cobra em fiscalizações
O Art. 46 da LGPD exige que toda empresa que trata dados pessoais no Brasil adote medidas técnicas e administrativas capazes de proteger esses dados contra acessos não autorizados, vazamentos e tratamento indevido. A ANPD já não trabalha só com advertências — aplica multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração, e exige provas documentais de que essas medidas existem e funcionam.
O que diz o Art. 46 da LGPD
O texto legal é claro: os agentes de tratamento devem "adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais" contra acessos não autorizados e situações de destruição, perda, alteração ou tratamento inadequado. A lei não lista quais medidas — essa definição ficou a cargo da ANPD, que definiu padrões por meio de resoluções e guias orientativos.
O §2º do mesmo artigo traz um detalhe que muitas PMEs ignoram: as medidas devem ser aplicadas desde a fase de concepção do produto ou serviço, não como remendo depois de pronto. Esse é o princípio de privacy by design — privacidade desde o projecto, popularizado pela investigadora canadense Ann Cavoukian e incorporado ao direito brasileiro.
As 7 medidas que a fiscalização cobra
Ainda que a ANPD não tenha publicado um checklist oficial, o padrão que emergiu das fiscalizações de 2024 a 2026 é consistente. Existem sete medidas técnicas que aparecem em praticamente todos os processos sancionadores:
1. Pentest documentado e recente. Teste de intrusão executado por terceiro independente, com relatório formal dentro dos últimos 12 meses. A fiscalização quer ver escopo definido, metodologia aplicada, lista de vulnerabilidades encontradas e plano de remediação executado.
2. Inventário de dados pessoais. Mapeamento completo de quais dados a empresa coleta, onde guarda, com quem compartilha e por quanto tempo retém. Sem inventário, é impossível demonstrar controle sobre o ciclo de vida dos dados.
3. Política de privacidade actualizada. Documento público, escrito na linguagem do titular, com nome do encarregado (DPO), base legal para cada tipo de tratamento e canal claro para exercício de direitos. Políticas copiadas de templates genéricos são sinal vermelho para a fiscalização.
4. DPO designado e actuante. O Art. 41 exige a designação formal de um encarregado. Mesmo empresas de pequeno porte que se enquadram em dispensa prevista na Resolução CD/ANPD nº 13/2024 precisam justificar a ausência.
5. Controlo de acesso com trilha de auditoria. Implementar RBAC (controlo de acesso baseado em funções), MFA em painéis administrativos e reter logs de acesso por no mínimo seis meses. O princípio do menor privilégio é avaliado concretamente — não basta declarar, é preciso provar.
6. Plano de resposta a incidentes. O Art. 48 exige notificação à ANPD em prazo razoável após a detecção de um incidente de segurança. Empresas sem plano formalizado são tratadas como negligentes na fiscalização.
7. Criptografia em repouso e em trânsito. TLS 1.3 para comunicações e encriptação dos dados armazenados com gestão de chaves (KMS). Esta é a medida mais objectiva de avaliar — ou existe ou não existe.
Provas, não promessas: o que fiscalização exige
Nos processos administrativos analisados, a ANPD avalia a evidência documental. Quem apresenta relatórios de pentest, logs de auditoria e políticas datadas recebe sanção mais branda — ou nem é sancionado. Quem só declara que "tem medidas" sem prova concreta é tratado como negligente.
Em 2025, a ANPD aplicou multas que incluem R$ 14 milhões a uma operadora de saúde e R$ 7 milhões a um marketplace. Em todos os casos, a ausência de evidências de medidas técnicas agravou a sanção. O padrão repetiu-se em 2026 com advertências e multas diárias para empresas de médio porte que não conseguiam demonstrar controlo sobre dados pessoais.
Como um SOC gera evidências automáticas
Aqui é onde a segurança técnica e o compliance se encontram. Um CSOC baseado em stack open-source — Wazuh, TheHive, Cortex e Velociraptor — gera automaticamente boa parte das evidências que a ANPD espera:
O Wazuh centraliza logs de todos os endpoints e servidores, criando uma trilha de auditoria contínua de quem acessou o quê e quando. Os logs ficam retidos pelo período configurado (seis meses ou mais), cumprindo directamente o requisito de controlo de acesso com trilha documentada.
O TheHive formaliza a resposta a incidentes. Cada caso é registado com timeline, tarefas, evidências anexadas e responsáveis. Isso transforma o plano de resposta a incidentes — que o Art. 48 exige — de PDF parado numa pasta em processo activo e auditável.
O Velociraptor permite investigação forense remota nos endpoints sem interromper operações. Em caso de incidente de segurança envolvendo dados pessoais, as evidências forenses ficam registadas no sistema e podem ser apresentadas à ANPD como prova de resposta adequada.
A vantagem para PMEs é económica: a mesma infraestrutura que protege a empresa serve de prova de compliance. Um SIEM que já captura logs não precisa de um sistema paralelo para gerar relatórios de auditoria — basta configurar dashboards e exportar relatórios periódicos.
O que fazer agora
Se a sua empresa trata dados pessoais e ainda não tem evidências organizadas, o caminho prático é:
- Mapear quais dados pessoais existem, onde estão e quem acessa.
- Implementar monitoramento centralizado dos acessos com Wazuh ou equivalente.
- Formalizar o plano de resposta a incidentes no TheHive — mesmo que seja simples.
- Documentar tudo: políticas, designações, relatórios de testes.
- Rever e actualizar a cada trimestre — a ANPD valoriza frescor.
O Art. 46 não é uma sugestão. É a base legal que a ANPD usa para multar empresas que não conseguem provar que protegem dados. Ter as medidas não basta — é preciso conseguir demonstrá-las com evidências concretas.
Fontes e referências
- Lei nº 13.709/2018 — LGPD (Planalto)
- LGPD Art. 46 para SaaS e fintech: 7 medidas que a ANPD cobra em 2026 — No Vuln
- LGPD e a Segurança de Dados em 2026 — Martinelli Advogados
- Padrões técnicos mínimos exigidos pela LGPD — MIT Technology Review Brasil
- ANPD aplica a primeira multa por descumprimento à LGPD — Portal Gov.br
- LGPD e segurança: o que a ANPD espera de você — AtalaiaSec Blog