ANPD em transformação: como a reestruturação da agência muda a fiscalização da LGPD em 2026

A agência que deixou de ser um embrião

A Agência Nacional de Proteção de Dados completou uma transição institucional que altera fundamentalmente seu papel no ecossistema regulatório brasileiro. Criada em 2020 como autoridade vinculada à Presidência da República, a ANPD teve sua criação prevista pela Lei Geral de Proteção de Dados, mas operou durante anos com estrutura enxuta, sem carreira própria, sem orçamento dedicado e sem prerrogativas plenas de agência reguladora. A conversão em Agência Nacional de Proteção de Dados, formalizada pelo Decreto nº 12.881/2026 e pela Lei nº 15.352/2026, muda esse cenário: a ANPD ganha autonomia de gestão, orçamento vinculado e uma carreira própria de Especialista em Regulação de Dados Pessoais, com 200 novos cargos a serem preenchidos por concurso público.

Segundo o diretor-presidente da agência, Waldemar Gonçalves Ortunho Junior, a transformação concluída representa apenas uma parte importante da evolução institucional. Em declaração publicada no site da agência, ele reconheceu que a manutenção dos investimentos em aumento e qualificação da força de trabalho, expansão da estrutura física e garantia de recursos orçamentários suficientes são essenciais para o cumprimento das novas obrigações legais. O crescimento da agência para aproximadamente 500 pessoas, entre servidores, colaboradores e estagiários, contrastando com a sala dos cinco diretores que trabalharam no embrião da ANPD em 2020, ilustra a dimensão da transformação.

75 fiscalizações planejadas: o Mapa de Temas Prioritários 2026-2027

A ANPD publicou em dezembro de 2025, por meio da Resolução CD/ANPD nº 30/2025, o Mapa de Temas Prioritários para o biênio 2026-2027. O documento estabelece as prioridades de fiscalização e define que a agência realizará pelo menos 75 atividades de fiscalização concentradas em quatro eixos estratégicos. A existência desse mapa é relevante porque indica claramente para onde estarão voltados os esforços regulatórios — e, consequentemente, onde o risco regulatório será mais intenso nos próximos anos.

Proteção dos direitos dos titulares

O primeiro eixo concentra 25 atividades de fiscalização relacionadas à proteção dos direitos dos titulares de dados pessoais. A ênfase recai sobre o tratamento de dados biométricos, de saúde e financeiros — categorias reconhecidas como de alto impacto aos direitos fundamentais dos indivíduos. Também estão previstas fiscalizações sobre o uso secundário de dados pessoais para publicidade direcionada, especialmente quando envolvem técnicas de perfilamento. Esse foco sinaliza que empresas que utilizam inteligência artificial para análise comportamental, scoring de crédito, autenticação biométrica ou publicidade direcionada precisarão demonstrar não apenas base legal, mas também necessidade, proporcionalidade e governança efetiva desses tratamentos.

Segundo Ernani Teixeira Ribeiro Júnior, sócio do Atra Advogados e especialista em negócios digitais e gestão legal de riscos em inteligência artificial, o mapa funciona como um verdadeiro radar regulatório, indicando onde estarão concentrados os esforços de fiscalização. Para empresas que tratam dados pessoais ou utilizam inteligência artificial em seus modelos de negócio, o Mapa de Temas Prioritários representa um instrumento de previsibilidade, mas também de pressão, porque explicita os pontos de risco que a agência pretende atacar.

Proteção de crianças e adolescentes no ambiente digital

O segundo eixo, com 30 atividades de fiscalização previstas principalmente para 2027, trata da proteção de crianças e adolescentes no ambiente digital e está alinhado ao Estatuto da Criança e do Adolescente Digital, a Lei nº 15.211/2025, que atribuiu novas responsabilidades à ANPD. A agência irá monitorar e fiscalizar fornecedores de produtos e serviços digitais voltados ou potencialmente acessados por esse público, avaliando desde configurações de privacidade como padrão até a adoção de mecanismos de verificação de idade e bloqueio de conteúdos inadequados.

Em março de 2026, a ANPD publicou orientações preliminares e um cronograma de etapas de implementação para adoção de mecanismos confiáveis de aferição de idade por fornecedores de tecnologia. A criação de uma página específica no site da agência para divulgar informações sobre a atuação relacionada ao ECA Digital demonstra a prioridade institucional atribuída ao tema. Empresas que oferecem serviços digitais acessíveis por crianças e adolescentes precisam incorporar esses requisitos como parte fundamental de sua operação, não como um apêndice de conformidade.

Tratamento de dados pelo Poder Público

O terceiro eixo prevê 20 fiscalizações voltadas à conformidade de órgãos e entidades públicos com a LGPD, com foco no compartilhamento de dados, na governança da informação e no uso de dados biométricos. A inclusão do Poder Público como alvo prioritário de fiscalização representa uma mudança significativa: durante anos, a aplicação da LGPD pelo setor público foi considerada deficitária, com órgãos governamentais tratando enormes volumes de dados pessoais frequentemente sem estrutura adequada de governança.

Para empresas fornecedoras de tecnologia ao Poder Público, a mensagem é clara: governança de inteligência artificial e adequação à LGPD passam a ser critérios estratégicos de contratação, não apenas requisitos formais de processo licitatório. Isso altera o jogo para empresas que oferecem soluções tecnológicas ao governo, pois os contratos passarão a exigir evidências concretas de conformidade, e não apenas declarações genéricas de adequação. Também estão previstas ações de monitoramento relacionadas ao Regulamento de Uso Compartilhado de Dados Pessoais pelo Poder Público, no segundo semestre de 2027.

Inteligência artificial como eixo próprio de fiscalização

O quarto eixo amplia a atuação da ANPD sobre sistemas de inteligência artificial e tecnologias emergentes, especialmente quando envolvem o tratamento de dados pessoais. Com 20 atividades de fiscalização distribuídas ao longo de 2027, esse eixo consolida a posição da ANPD como autoridade central no debate de governança de inteligência artificial no Brasil.

A análise de especialistas aponta que, mesmo antes de um marco legal específico para inteligência artificial, sistemas que utilizem dados pessoais estarão sujeitos a escrutínio regulatório quanto à transparência, mitigação de vieses, segurança e impacto sobre direitos dos titulares. Empresas que adotarem inteligência artificial sem controles claros correm o risco de enfrentar sanções independentemente de estarem formalmente em conformidade com a LGPD. Essa postura da ANPD, que não aguarda a aprovação do PL 2338/2023 para atuar sobre inteligência artificial, sinaliza que a regulação de inteligência artificial no Brasil já está em curso por outras vias normativas.

Impactos para empresas e órgãos públicos

A reestruturação da ANPD não é apenas uma questão administrativa: tem consequências concretas para a governança corporativa de empresas e para a gestão de dados no setor público. O reconhecimento formal de que a ANPD se consolida como agência reguladora com prerrogativas iguais às demais agências federais muda a expectativa de aplicação de normas. O cenário em que multas eram raras e aplicadas com extrema lentidão começa a dar lugar a um cenário em que a fiscalização ativa e a aplicação de sanções se tornam possibilidades reais e próximas.

Para empresas, isso implica que a adequação à LGPD precisa ser tratada como obrigação corrente e exigível, não como etapa preparatória para uma futura lei específica. A postura da ANPD em casos recentes — como a suspensão de funcionalidades de plataformas de tecnologia que utilizavam dados de usuários para treinamento de sistemas sem base legal adequada — demonstra que a fiscalização já está acontecendo na prática. O Mapa de Temas Prioritários indica que esse ritmo tende a se intensificar significativamente ao longo de 2026 e 2027.

Para órgãos públicos, a fiscalização do tratamento de dados pelo Poder Público representa uma mudança de paradigma. Instituições que armazenam dados de milhões de cidadãos — incluindo dados sensíveis como informações de saúde, situação fiscal e histórico educacional — precisarão demonstrar capacidade efetiva de proteção desses dados, não apenas existência de documentos internos de política de privacidade. A diferença entre conformidade formal e conformidade efetiva será, a partir de agora, objeto de escrutínio regulatório.

Contrapontos, limites e incertezas

A expansão da capacidade regulatória da ANPD também traz à tona questões que não podem ser ignoradas na análise. Primeiro, há o limite da capacidade operacional: por mais que a agência tenha crescido de 5 diretores para aproximadamente 500 pessoas, o universo de empresas e órgãos públicos que tratam dados pessoais no Brasil é vastíssimo, e a fiscalização por amostragem sempre deixará pontos cegos. A eficácia do sistema dependerá, em grande medida, da capacidade de criar mecanismos de autorregulação assistida e de incentivar empresas a investirem em conformidade genuína, e não apenas em papel.

Segundo, há a questão do risco de concentração de poder regulatório. Uma agência com estrutura reforçada e poder de fiscalização ampliado exerce influência significativa sobre como a economia digital se organiza no Brasil. A transparência dos processos decisórios, a previsibilidade das orientações e a possibilidade de contestação por parte dos regulados são garantias democráticas que precisam funcionar de forma efetiva para que a regulação não se transforme em barreira indevida à inovação ou em instrumento de captura por interesses estabelecidos.

Terceiro, permanece a incerteza sobre o reconhecimento internacional. Em janeiro de 2026, a ANPD e a Comissão Europeia concluíram que a LGPD e o GDPR oferecem níveis equivalentes de proteção de dados, o que deveria facilitar transferências de dados entre as duas jurisdições. No entanto, a implementação efetiva desse reconhecimento depende de desenvolvimentos adicionais, e as empresas que operam globalmente precisam monitorar como essa equivalência será interpretada na prática por reguladores europeus.

Por fim, é importante reconhecer que a análise do impacto da ANPD reestruturada ainda está em estágio inicial. Os 75 processos de fiscalização planejados para o biênio são um começo, não uma resolução. A verdadeira medida do sucesso institucional será observada ao longo dos próximos anos, quando os primeiros casos concretos de sanção e as primeiras orientações vinculantes começarem a construir um corpo regulatório que dê previsibilidade ao mercado e proteção real aos cidadãos.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.