← Blog

LGPD Art. 46: as medidas técnicas que a ANPD cobra em fiscalizações

AtalaiaSec ·

O Art. 46 da LGPD exige que toda empresa que trata dados pessoais no Brasil adote medidas técnicas e administrativas capazes de proteger esses dados contra acessos não autorizados, vazamentos e tratamento indevido. A ANPD já não trabalha só com advertências — aplica multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração, e exige provas documentais de que essas medidas existem e funcionam.

O que diz o Art. 46 da LGPD

O texto legal é claro: os agentes de tratamento devem "adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais" contra acessos não autorizados e situações de destruição, perda, alteração ou tratamento inadequado. A lei não lista quais medidas — essa definição ficou a cargo da ANPD, que definiu padrões por meio de resoluções e guias orientativos.

O §2º do mesmo artigo traz um detalhe que muitas PMEs ignoram: as medidas devem ser aplicadas desde a fase de concepção do produto ou serviço, não como remendo depois de pronto. Esse é o princípio de privacy by design — privacidade desde o projecto, popularizado pela investigadora canadense Ann Cavoukian e incorporado ao direito brasileiro.

As 7 medidas que a fiscalização cobra

Ainda que a ANPD não tenha publicado um checklist oficial, o padrão que emergiu das fiscalizações de 2024 a 2026 é consistente. Existem sete medidas técnicas que aparecem em praticamente todos os processos sancionadores:

1. Pentest documentado e recente. Teste de intrusão executado por terceiro independente, com relatório formal dentro dos últimos 12 meses. A fiscalização quer ver escopo definido, metodologia aplicada, lista de vulnerabilidades encontradas e plano de remediação executado.

2. Inventário de dados pessoais. Mapeamento completo de quais dados a empresa coleta, onde guarda, com quem compartilha e por quanto tempo retém. Sem inventário, é impossível demonstrar controle sobre o ciclo de vida dos dados.

3. Política de privacidade actualizada. Documento público, escrito na linguagem do titular, com nome do encarregado (DPO), base legal para cada tipo de tratamento e canal claro para exercício de direitos. Políticas copiadas de templates genéricos são sinal vermelho para a fiscalização.

4. DPO designado e actuante. O Art. 41 exige a designação formal de um encarregado. Mesmo empresas de pequeno porte que se enquadram em dispensa prevista na Resolução CD/ANPD nº 13/2024 precisam justificar a ausência.

5. Controlo de acesso com trilha de auditoria. Implementar RBAC (controlo de acesso baseado em funções), MFA em painéis administrativos e reter logs de acesso por no mínimo seis meses. O princípio do menor privilégio é avaliado concretamente — não basta declarar, é preciso provar.

6. Plano de resposta a incidentes. O Art. 48 exige notificação à ANPD em prazo razoável após a detecção de um incidente de segurança. Empresas sem plano formalizado são tratadas como negligentes na fiscalização.

7. Criptografia em repouso e em trânsito. TLS 1.3 para comunicações e encriptação dos dados armazenados com gestão de chaves (KMS). Esta é a medida mais objectiva de avaliar — ou existe ou não existe.

Provas, não promessas: o que fiscalização exige

Nos processos administrativos analisados, a ANPD avalia a evidência documental. Quem apresenta relatórios de pentest, logs de auditoria e políticas datadas recebe sanção mais branda — ou nem é sancionado. Quem só declara que "tem medidas" sem prova concreta é tratado como negligente.

Em 2025, a ANPD aplicou multas que incluem R$ 14 milhões a uma operadora de saúde e R$ 7 milhões a um marketplace. Em todos os casos, a ausência de evidências de medidas técnicas agravou a sanção. O padrão repetiu-se em 2026 com advertências e multas diárias para empresas de médio porte que não conseguiam demonstrar controlo sobre dados pessoais.

Como um SOC gera evidências automáticas

Aqui é onde a segurança técnica e o compliance se encontram. Um CSOC baseado em stack open-source — Wazuh, TheHive, Cortex e Velociraptor — gera automaticamente boa parte das evidências que a ANPD espera:

O Wazuh centraliza logs de todos os endpoints e servidores, criando uma trilha de auditoria contínua de quem acessou o quê e quando. Os logs ficam retidos pelo período configurado (seis meses ou mais), cumprindo directamente o requisito de controlo de acesso com trilha documentada.

O TheHive formaliza a resposta a incidentes. Cada caso é registado com timeline, tarefas, evidências anexadas e responsáveis. Isso transforma o plano de resposta a incidentes — que o Art. 48 exige — de PDF parado numa pasta em processo activo e auditável.

O Velociraptor permite investigação forense remota nos endpoints sem interromper operações. Em caso de incidente de segurança envolvendo dados pessoais, as evidências forenses ficam registadas no sistema e podem ser apresentadas à ANPD como prova de resposta adequada.

A vantagem para PMEs é económica: a mesma infraestrutura que protege a empresa serve de prova de compliance. Um SIEM que já captura logs não precisa de um sistema paralelo para gerar relatórios de auditoria — basta configurar dashboards e exportar relatórios periódicos.

O que fazer agora

Se a sua empresa trata dados pessoais e ainda não tem evidências organizadas, o caminho prático é:

  1. Mapear quais dados pessoais existem, onde estão e quem acessa.
  2. Implementar monitoramento centralizado dos acessos com Wazuh ou equivalente.
  3. Formalizar o plano de resposta a incidentes no TheHive — mesmo que seja simples.
  4. Documentar tudo: políticas, designações, relatórios de testes.
  5. Rever e actualizar a cada trimestre — a ANPD valoriza frescor.

O Art. 46 não é uma sugestão. É a base legal que a ANPD usa para multar empresas que não conseguem provar que protegem dados. Ter as medidas não basta — é preciso conseguir demonstrá-las com evidências concretas.

Fontes e referências