Checklist de conformité LGPD

La checklist complète de conformité LGPD pour les organisations multinationales

Mise à jour le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les équipes de protection des données des multinationales à gérer la conformité LGPD à travers leurs entités et leurs juridictions.

Un cadre étape par étape couvrant les 65 articles de la loi brésilienne sur la protection des données, conçu pour les équipes de protection des données qui gèrent la conformité de plusieurs entités et juridictions.

Gérer la conformité LGPD en parallèle du RGPD, du CCPA et d'autres cadres crée des angles morts. Une étude évaluée par des pairs a révélé que, bien que 93 % des organisations considèrent la conformité LGPD comme une priorité, seules 8,8 % ont atteint une conformité totale. Cette checklist donne à votre équipe DPD une vision claire de ce qui est fait, de ce qui est en retard et de ce qui présente un risque dans chacune des filiales.

Télécharger la checklist LGPD gratuite

Sans carte de crédit. Téléchargement PDF instantané. Utilisée par les équipes de protection des données de plus de 50 organisations multinationales.

65

Articles de la LGPD couverts

80+

Points d'action concrets

10

Catégories de conformité

Écart de conformité LGPD : étude empirique ScienceDirect, n=152 organisations, publiée en février 2026. L'ANPD est devenue une agence de régulation indépendante en septembre 2025, dotée de pouvoirs de sanction élargis.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Pourquoi les efforts de conformité s'enlisent

Pourquoi la plupart des efforts de conformité LGPD s'enlisent

La conformité LGPD n'est pas une simple case RGPD supplémentaire à cocher. Les organisations qui la traitent comme telle découvrent des lacunes coûteuses lorsque l'ANPD frappe à leur porte.

Le RGPD seul laisse des lacunes

Si la LGPD s'inspire du RGPD, le législateur brésilien a procédé à des ajustements majeurs. La LGPD définit 10 bases légales (contre 6 pour le RGPD), impose un DPD pour la quasi-totalité des responsables du traitement et exige la notification d'une violation dans un délai de trois jours ouvrables. Les approches génériques « RGPD-plus » passent à côté de ces différences essentielles et laissent une véritable exposition au risque.

International Bar Association : « la simple conformité au modèle européen n'entraîne pas automatiquement une pleine conformité à son équivalent brésilien ».

L'agenda réglementaire 2025-2026 de l'ANPD donne désormais la priorité aux droits des personnes concernées, aux AIPD, à la réglementation de l'IA, aux données biométriques et au traitement des données des enfants, les échéances d'application étant déjà engagées.

Source : agenda réglementaire 2025-2026 de l'ANPD via Baker McKenzie Global Data Handbook

La complexité multi-entités démultiplie le risque

Si votre organisation opère au Brésil et dans d'autres juridictions, vous ne gérez pas un seul programme de conformité. Vous en gérez des dizaines. Chaque filiale possède ses propres activités de traitement, ses propres fournisseurs et son propre profil de risque. Les tableurs et lecteurs partagés ne peuvent pas suivre cette réalité.

La période de transition pour les transferts internationaux de données encadrés par des CCT a pris fin le 23.08.2025. À compter de cette date, les transferts internationaux de données ne sont valables qu'avec des clauses contractuelles types correctement mises en œuvre ou d'autres mécanismes approuvés par l'ANPD.

Des entreprises comme Salesforce et Microsoft exigent désormais des CCT pour les données des utilisateurs brésiliens.

Source : Mayer Brown, août 2025 ; résolution CD/ANPD n° 19/2024

L'application des sanctions n'est plus théorique

50 M de R$ Amende maximale par infraction (2 % du chiffre d'affaires réalisé au Brésil)

Source : article 52 de la LGPD, via ICLG Data Protection Report 2025-2026

En septembre 2025, l'ANPD a été formellement transformée en agence de régulation indépendante dotée de pouvoirs de sanction élargis, y compris la faculté d'ordonner à des établissements de cesser leurs activités et de requérir l'assistance de la police en cas d'obstruction. L'agence a également obtenu 200 nouveaux postes de spécialistes pour la surveillance et l'application.

Sur les sept décisions de sanction publiées à ce jour par l'ANPD, cinq portaient sur des infractions à l'article 48 relatif aux manquements à la notification des violations.

Source : IAPP, octobre 2024 ; Trench Rossi Watanabe, octobre 2025

La conformité se dégrade sans recertification continue

La conformité LGPD n'est pas un projet ponctuel. Les activités de traitement évoluent, les fournisseurs changent et les bases légales expirent. Le 2025 State of Data Compliance Report a constaté que 60 % des organisations ont subi des violations de données dans des environnements hors production au cours de l'année écoulée, soit une hausse de 11 % par rapport à 2024. Dans le même temps, 84 % des organisations autorisent encore des dérogations de conformité dans ces mêmes environnements.

Source : Perforce Delphix 2025 State of Data Compliance and Security Report

Sans système de recertification continue, votre posture de conformité se dégrade en quelques mois. L'ANPD peut exiger une analyse d'impact relative à la protection des données (RIPD) à tout moment au titre de l'article 38, et les organisations doivent être prêtes à en produire une sur demande.

60 %

des organisations ont subi des violations de données dans des environnements hors production au cours de l'année écoulée

Perforce Delphix, rapport 2025

La checklist ci-dessous vous donne la structure pour identifier chaque lacune. La plateforme qui la sous-tend vous donne le système pour les combler.

Télécharger la checklist LGPD gratuite
Résultats clients

Des résultats concrets, obtenus par de vraies équipes de conformité

200+

Heures économisées sur la préparation ISO 27001

Medtec a récupéré plus de 200 heures auparavant consacrées à la documentation manuelle, à la collecte de preuves et à la rédaction de politiques lors de la préparation à l'ISO 27001. Les références sectorielles montrent que le processus de certification type nécessite de 6 à 12 mois d'efforts.

Medtec, mesuré lors du cycle de préparation à l'ISO 27001

60 %

de temps administratif de conformité en moins

Un constructeur aéronautique a réduit de 60 % son temps administratif de conformité en six mois grâce à la recertification automatisée du registre des traitements. Son DPD est passé de la course aux tableurs à un travail stratégique sur la protection des données, alors que les déploiements OneTrust en entreprise peuvent atteindre des coûts annuels à six chiffres assortis de frais de mise en œuvre supplémentaires.

Constructeur aéronautique, 6 premiers mois sur Priverion

100 %

de taux de recertification du registre des traitements

AXA a atteint une couverture complète de recertification du registre des traitements grâce à des processus automatisés. La gestion manuelle du registre des traitements peut consommer des centaines d'heures par an et, comme le souligne l'IAPP, la tenue de ces registres exige une coordination interservices constante.

AXA, recertification entièrement automatisée via Priverion

Découvrez comment ces équipes y sont parvenues
Priverion vs. OneTrust

Conçue pour la réalité du mid-market, pas pour la complexité des grands groupes

Avec un cumul d'amendes RGPD dépassant 7,1 milliards d'euros et une application qui s'accélère, vous avez besoin d'une plateforme qui rend la conformité atteignable, sans budget à six chiffres ni équipe de mise en œuvre dédiée.

Source : DLA Piper GDPR Fines and Data Breach Survey, janvier 2026

Priverion

Spécialement conçue pour la gestion multi-entités de la protection des données

  • Souveraineté suisse des données, garantie

    Conçue et hébergée en Suisse. Tout le traitement des données reste au sein de l'infrastructure suisse, à l'abri de la portée du CLOUD Act américain et de la section 702 du FISA. Dans un monde post-Schrems II, cette distinction compte.

  • Opérationnelle en quelques semaines, pas en quelques mois

    Medtec a économisé plus de 200 heures lors de la préparation à l'ISO 27001. Un constructeur aéronautique était pleinement opérationnel dès son premier engagement, réduisant de 60 % son temps administratif de conformité en 6 mois.

    Constructeur aéronautique, 6 premiers mois ; Medtec, préparation ISO 27001

  • Tarification prévisible, sans pièges d'extension

    Facturée selon le nombre d'entités et la taille de l'organisation. Pas par utilisateur, ni par module. Vos coûts restent prévisibles à mesure que votre équipe s'agrandit.

  • Plateforme de protection des données tout-en-un

    Registre des traitements, AIPD/TIA, risque fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, cartographie des données inter-entités et registre IA pour la préparation au règlement européen sur l'IA. Une plateforme, un prix.

  • Assistée par l'IA, décidée par l'humain

    L'IA rédige des AIPD, évalue les risques et cartographie les réglementations. Chaque résultat est examiné avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour l'entraînement des modèles.

  • Conçue pour la complexité à l'échelle d'un groupe

    Gérez la conformité de plus de 50 entités et de plusieurs juridictions. AXA a atteint 100 % de recertification du registre des traitements, entièrement automatisée. Zurzach Care a atteint une couverture de 100 % de l'évaluation des risques fournisseurs.

    AXA et Zurzach Care, résultats clients vérifiés

OneTrust

Plateforme à l'échelle de l'entreprise conçue pour le Fortune 500

  • Siège aux États-Unis, infrastructure hébergée aux États-Unis

    Les données traitées par un fournisseur dont le siège est aux États-Unis restent soumises au CLOUD Act. Même les offres de « cloud souverain » des fournisseurs américains ne peuvent garantir une protection contre les demandes de données du gouvernement américain.

    Le directeur général de Microsoft France l'a confirmé sous serment devant le Sénat français, 2025

  • Mise en œuvre longue et gourmande en ressources

    Les utilisateurs du mid-market rapportent systématiquement passer des semaines à configurer leurs processus avant de devenir productifs. Les frais de mise en œuvre peuvent ajouter de 10 000 à 50 000 $ aux coûts de la première année.

    Analyse tarifaire Enzuzo, mars 2026 ; avis d'utilisateurs G2

  • Tarification modulaire qui peut grimper de façon imprévisible

    Les organisations du mid-market (1 000 à 5 000 collaborateurs) paient généralement de 40 000 à 120 000 $ par an. Chaque module est facturé selon sa propre métrique, et les coûts peuvent augmenter dans des directions que vous n'aviez pas anticipées.

    Données marketplace Vendr, février 2026 ; analyse Enzuzo

  • Suite produit large mais fragmentée

    Cinq gammes de produits distinctes, chacune facturée indépendamment. De nombreuses organisations du mid-market finissent par payer des fonctionnalités dont elles n'ont pas besoin tout en manquant celles dont elles ont besoin.

    Structure produit OneTrust, en 2026

  • Puissante, mais une UX complexe

    Les utilisateurs signalent une courbe d'apprentissage raide et une interface surchargée. Les petites équipes trouvent la plateforme accablante, surtout sans ressources de formation dédiées.

    Avis d'utilisateurs G2 et Capterra, 2025 et 2026

  • Pensée pour l'échelle des grands groupes

    OneTrust sert plus de 14 000 clients dans le monde et est pensée pour les profils d'acheteurs du Fortune 500. Pour les équipes de protection des données du mid-market sans personnel de mise en œuvre dédié, cette profondeur peut être plus un fardeau qu'un avantage.

    Page produit OneTrust, 2026

Pourquoi la résidence des données compte plus que jamais

Les États membres de l'UE ont signé la Déclaration pour la souveraineté numérique européenne en novembre 2025, appelant à réduire la dépendance vis-à-vis des infrastructures non européennes. Avec 443 notifications de violation par jour signalées à travers l'Europe, choisir où résident vos données de conformité n'est plus une option.

DLA Piper GDPR Survey, janvier 2026 (443 notifications de violation par jour) ; Déclaration de Berlin, novembre 2025

Une précision sur ce que nous ne faisons pas :

Priverion ne couvre ni l'ESG, ni les lignes d'alerte éthique, ni le consentement aux cookies. Nous ne sommes pas conçus pour les entreprises mono-entité. Notre force réside dans la gestion d'un programme de protection des données à l'échelle d'un groupe, avec des intégrations approfondies là où elles comptent : RH, achats et gestion des actifs informatiques.

Téléchargement gratuit

La checklist de conformité LGPD pour les organisations multi-entités

L'autorité brésilienne de protection des données a fortement intensifié son action, avec des amendes totalisant environ 98 millions de BRL entre 2023 et 2025. La feuille de route prioritaire 2026-2027 de l'ANPD cible l'IA, les données des enfants et les droits des personnes concernées. Si votre organisation traite des données personnelles au Brésil, cette checklist couvre les exigences opérationnelles que vous devez traiter.

Sources : Baker McKenzie Global Data Handbook ; analyse de l'application de la LGPD par l'IAPP

Ce que vous obtiendrez :

  • + Un cadre étape par étape de cartographie des données et de registre des traitements aligné sur les articles 7 et 37 de la LGPD, couvrant les 10 bases légales de traitement
  • + Un modèle de processus de notification des violations respectant le délai de déclaration requis par l'ANPD, ainsi qu'un processus de réponse aux demandes des personnes concernées pour le délai de 15 jours
  • + Une checklist d'audit des contrats fournisseurs intégrant les clauses contractuelles types de l'ANPD (résolution 19/2024) pour les transferts internationaux de données
  • + Un guide de préparation d'AIPD (RIPD) pour les traitements à haut risque, y compris les systèmes d'IA, les données biométriques et les activités de surveillance à grande échelle

Les sanctions LGPD peuvent atteindre 2 % du chiffre d'affaires réalisé au Brésil, plafonnées à 50 millions de BRL par infraction. Les sanctions non pécuniaires comprennent la publication des violations, l'interdiction de traitement et la suppression obligatoire des données.

Source : Baker McKenzie, Global Data and Cyber Handbook : Brésil

Obtenir la checklist

Saisissez votre e-mail professionnel et nous vous enverrons la checklist de conformité LGPD directement dans votre boîte de réception.

PDF gratuit. Aucune démonstration requise. Nous vous l'envoyons dans votre boîte de réception.

Nous respectons votre vie privée. Consultez notre déclaration de protection des données.

Arrêtez de gérer la conformité dans des tableurs

Votre DPD a mieux à faire que de courir après les mises à jour du registre des traitements dans 47 tableurs

Avec un cumul d'amendes RGPD dépassant désormais 7,1 milliards d'euros et une application qui s'accélère dans tous les secteurs, les processus de conformité manuels sont un risque que vous ne pouvez pas vous permettre. Découvrez comment Priverion offre aux organisations multi-entités une recertification automatisée, la sérénité sur les transferts transfrontaliers de données et des dossiers de preuves prêts pour l'audit, le tout hébergé sur une infrastructure suisse.

Source : DLA Piper GDPR Fines and Data Breach Survey, janvier 2026

60 %

de réduction du temps administratif de conformité

Constructeur aéronautique, 6 premiers mois

200+

heures économisées sur la préparation ISO 27001

Medtec

100 %

de recertification automatisée du registre des traitements

AXA

Réserver une présentation de la plateforme de 30 minutes

Sans engagement. Découvrez la plateforme avec vos propres scénarios de données en 30 minutes.

Conçue et hébergée en Suisse

Tarification prévisible, sans frais par utilisateur

Opérationnelle en quelques semaines, pas en quelques mois

The Privacy Compliance Briefing

Chaque mois, des analyses sur l'application du RGPD, les actualités de la nouvelle loi sur la protection des données (nLPD) et des stratégies d'automatisation pour les DPD et les équipes de conformité.

Pas de spam. Désabonnement à tout moment.

À propos de cette page — références, définitions et FAQ

Points clés

Cette page propose une checklist complète de conformité LGPD comportant plus de 80 actions concrètes et couvrant les 65 articles de la Lei Geral de Proteção de Dados brésilienne. Elle est conçue pour les équipes de protection des données des multinationales qui gèrent la conformité de plusieurs entités et juridictions, et aborde les différences essentielles entre la LGPD et le RGPD, les évolutions de l'application par l'ANPD, les exigences relatives aux transferts internationaux de données et les besoins de recertification continue.

Définitions

Qu'est-ce que la LGPD ?

LGPD (Lei Geral de Proteção de Dados Pessoais, loi n° 13.709/2018) est la loi générale brésilienne sur la protection des données. Elle régit le traitement des données personnelles par des personnes physiques et morales, publiques ou privées, et s'applique à tout traitement effectué au Brésil, visant des personnes situées au Brésil ou portant sur des données collectées au Brésil. La LGPD définit 10 bases légales de traitement et a institué l'ANPD comme autorité de surveillance. Source : IAPP — Traduction anglaise de la LGPD

Qu'est-ce que l'ANPD ?

ANPD (Autoridade Nacional de Proteção de Dados) est l'autorité nationale brésilienne de protection des données, chargée de superviser, de mettre en œuvre et de faire appliquer la LGPD. En septembre 2025, l'ANPD a été formellement transformée en agence de régulation indépendante dotée de pouvoirs de sanction élargis et de 200 nouveaux postes de spécialistes. Source : IAPP

Qu'est-ce qu'un RIPD (analyse d'impact relative à la protection des données) ?

RIPD (Relatório de Impacto à Proteção de Dados Pessoais) est l'équivalent brésilien d'une analyse d'impact relative à la protection des données (AIPD). En vertu de l'article 38 de la LGPD, l'ANPD peut exiger un RIPD à tout moment, et les organisations doivent être prêtes à en produire un sur demande pour les activités de traitement susceptibles de présenter des risques pour les droits fondamentaux des personnes concernées.

Que sont les clauses contractuelles types au titre de la LGPD ?

Les clauses contractuelles types (CCT) au titre de la LGPD sont des mécanismes contractuels approuvés par l'ANPD pour légitimer les transferts internationaux de données personnelles depuis le Brésil. À la suite de la résolution CD/ANPD n° 19/2024, la période de transition pour les transferts internationaux de données a pris fin le 23.08.2025, rendant les CCT ou d'autres mécanismes approuvés par l'ANPD obligatoires pour les flux transfrontaliers de données.

LGPD vs. RGPD : différences clés

AspectLGPD (Brésil)RGPD (UE)
Bases légales de traitement10 bases légales, dont la protection du crédit6 bases légales
Exigence de DPDObligatoire pour la quasi-totalité des responsables du traitementRequis uniquement dans des cas spécifiques
Délai de notification des violationsDans un « délai raisonnable » (orientation de l'ANPD : 3 jours ouvrables)72 heures à l'autorité de surveillance
Amende maximale2 % du chiffre d'affaires réalisé au Brésil, plafonnée à 50 M de R$ par infraction4 % du chiffre d'affaires annuel mondial ou 20 M €
Autorité de surveillanceANPD (agence indépendante depuis sept. 2025)Autorités nationales de protection des données de chaque État membre de l'UE
Mécanismes de transfert internationalCCT, décisions d'adéquation, BCR, clauses contractuelles spécifiquesCCT, décisions d'adéquation, BCR, codes de conduite
Droits des personnes concernéesConfirmation, accès, rectification, anonymisation, portabilité, suppression, information sur le partage, révocation du consentement, révision des décisions automatiséesAccès, rectification, effacement, limitation, portabilité, opposition, décision automatisée

Foire aux questions

Qu'est-ce que la LGPD et en quoi diffère-t-elle du RGPD ?

La LGPD (Lei Geral de Proteção de Dados) est la loi générale brésilienne sur la protection des données, promulguée en 2018 et en vigueur depuis septembre 2020. Bien qu'inspirée du RGPD, la LGPD définit 10 bases légales de traitement contre 6 pour le RGPD, impose un délégué à la protection des données pour la quasi-totalité des responsables du traitement et exige la notification d'une violation à l'ANPD dans un délai de trois jours ouvrables. Comme le note l'International Bar Association, « la simple conformité au modèle européen n'entraîne pas automatiquement une pleine conformité à son équivalent brésilien ».

Quelles sont les sanctions en cas de non-conformité à la LGPD ?

En vertu de l'article 52 de la LGPD, les sanctions comprennent des amendes pouvant atteindre 2 % du chiffre d'affaires réalisé au Brésil, plafonnées à 50 millions de R$ par infraction. D'autres sanctions incluent la publication de l'infraction, le blocage ou la suppression des données personnelles et la suspension des activités de traitement. Depuis septembre 2025, l'ANPD opère comme une agence de régulation indépendante dotée de pouvoirs de sanction élargis. Selon l'IAPP, sur les sept décisions de sanction publiées à ce jour par l'ANPD, cinq portaient sur des infractions à l'article 48 relatif aux manquements à la notification des violations.

Combien de bases légales la LGPD définit-elle pour le traitement des données ?

La LGPD définit 10 bases légales pour le traitement des données personnelles : le consentement, l'intérêt légitime, l'exécution d'un contrat, le respect d'une obligation réglementaire, l'exécution de politiques publiques, la protection de la santé, la recherche, la protection du crédit, les procédures judiciaires et la protection de la vie. Cela va au-delà des 6 bases légales du RGPD et reflète le contexte réglementaire propre au Brésil, notamment l'inclusion de la protection du crédit comme base légale à part entière.

Qu'est-ce que l'ANPD et de quels pouvoirs de sanction dispose-t-elle ?

L'ANPD (Autoridade Nacional de Proteção de Dados) est l'autorité nationale brésilienne de protection des données. En septembre 2025, elle a été formellement transformée en agence de régulation indépendante dotée de pouvoirs de sanction élargis, dont 200 nouveaux postes de spécialistes pour la surveillance et l'application. L'ANPD peut imposer des amendes, ordonner la cessation des activités de traitement des données et requérir l'assistance de la police en cas d'obstruction.

Les clauses contractuelles types sont-elles obligatoires pour les transferts internationaux de données depuis le Brésil ?

Oui. La période de transition pour les transferts internationaux de données a pris fin le 23.08.2025, conformément à la résolution CD/ANPD n° 19/2024. À compter de cette date, les transferts internationaux de données ne sont valables qu'avec des clauses contractuelles types correctement mises en œuvre ou d'autres mécanismes approuvés par l'ANPD. De grandes entreprises technologiques, dont Salesforce et Microsoft, exigent désormais des CCT pour les données des utilisateurs brésiliens.

Comment Priverion accompagne-t-elle la conformité LGPD des multinationales ?

Priverion est une plateforme GRC hébergée en Suisse, spécialement conçue pour la gestion de la protection des données multi-entités. Elle offre la recertification automatisée du registre des traitements, les processus AIPD/TIA, la gestion des risques fournisseurs, la gestion des incidents, le traitement des demandes des personnes concernées et la cartographie des données inter-entités. Tout le traitement des données reste au sein de l'infrastructure suisse, à l'abri du CLOUD Act américain et de la section 702 du FISA. AXA a atteint une couverture de 100 % de recertification du registre des traitements grâce à des processus automatisés, et un constructeur aéronautique a réduit de 60 % son temps administratif de conformité en six mois.

Quelles sont les priorités de l'agenda réglementaire 2025–2026 de l'ANPD ?

L'agenda réglementaire 2025–2026 de l'ANPD donne la priorité aux droits des personnes concernées, aux analyses d'impact relatives à la protection des données (RIPD), à la réglementation de l'IA, au traitement des données biométriques et au traitement des données des enfants. Les échéances d'application sont déjà engagées, rendant essentielle une préparation proactive à la conformité pour les organisations qui traitent des données personnelles au titre de la LGPD.

Pourquoi la recertification continue est-elle importante pour la conformité LGPD ?

La conformité LGPD n'est pas un projet ponctuel. Les activités de traitement évoluent, les fournisseurs changent et les bases légales expirent. Selon le Perforce Delphix 2025 State of Data Compliance and Security Report, 60 % des organisations ont subi des violations de données dans des environnements hors production au cours de l'année écoulée — une hausse de 11 % par rapport à 2024. Dans le même temps, 84 % des organisations autorisent encore des dérogations de conformité dans ces mêmes environnements. Sans système de recertification continue, la posture de conformité se dégrade en quelques mois.

Statistiques clés

Selon une étude empirique ScienceDirect évaluée par des pairs (n=152 organisations, publiée en février 2026), 93 % des organisations considèrent la conformité LGPD comme une priorité, mais seules 8,8 % ont atteint une conformité totale. Le cumul des amendes RGPD a dépassé 7,1 milliards d'euros en janvier 2026, selon le DLA Piper GDPR Fines and Data Breach Survey. L'ANPD a obtenu 200 nouveaux postes de spécialistes lorsqu'elle est devenue une agence indépendante en septembre 2025. Le rapport Perforce Delphix 2025 a constaté que 60 % des organisations ont subi des violations de données dans des environnements hors production, 84 % autorisant encore des dérogations de conformité. L'amende maximale de la LGPD est de 50 millions de R$ par infraction (2 % du chiffre d'affaires réalisé au Brésil), telle que prévue à l'article 52 de la LGPD.