ANPD intensifica fiscalização em 2026: o que muda para empresas com a nova era da LGPD

A virada regulatória: de orientação para responsabilização

A publicação da Resolução CD/ANPD Nº 30/2025, que estabelece o Mapa de Temas Prioritários para o biênio 2026-2027, representa uma mudança de postura da Autoridade Nacional de Proteção de Dados que especialistas consideram irreversível. Após anos em que a ANPD priorizou a orientação e a capacitação das organizações, o órgão federal sinaliza claramente que a fase de fiscalização e responsabilização está em curso. O documento prevê pelo menos 75 ações de fiscalização, número significativamente superior aos anos anteriores e que revela a capacidade operacional que a agência desenvolveu desde sua criação.

O instrumento do Mapa de Temas Prioritários funciona como um calendário público de enforcement. As organizações sabem, com antecedência, quais temas serão investigados, o que permite que adotem medidas preventivas antes de serem alvo de fiscalização. Essa transparência é ao mesmo tempo uma ferramenta de conformidade e um aviso claro: a ANPD espera que as empresas usem 2026 para se adequarem, porque a partir de 2027 as auditorias serão realizadas com rigor.

Os quatro eixos prioritários e o que cada um representa

O Mapa de Fiscalização é organizado em quatro eixos estratégicos que orientarão as ações da ANPD no próximo biênio. O primeiro deles, Direitos dos Titulares, concentra 30 ações de fiscalização ao longo de dois anos. O foco está no tratamento de dados biométricos, de saúde e financeiros, no uso secundário de dados para publicidade comercial segmentada e profiling, e no atendimento aos direitos previstos no artigo 18 da LGPD, que inclui acesso, correção, portabilidade, eliminação e revogação de consentimento.

O segundo eixo aborda a Proteção de Crianças e Adolescentes no Ambiente Digital, também com 30 ações. Com a vigência do Estatuto da Criança e do Adolescente Digital e das obrigações específicas do artigo 14 da LGPD, a ANPD vai intensificar a fiscalização de plataformas digitais e aplicativos usados por menores, sistemas educacionais e EdTechs, e serviços que coletam dados de crianças sem o consentimento adequado dos responsáveis.

O terceiro eixo trata do Tratamento de Dados pelo Poder Público. A ANPD reconhece que órgãos governamentais tratam enormes volumes de dados pessoais frequentemente com controles inadequados. Para o setor público, a ausência de multa financeira não significa ausência de consequências: publicização, bloqueio de dados e advertências geram custos políticos e operacionais relevantes.

O quarto eixo, com 20 ações concentradas em 2027, trata de Inteligência Artificial e Tecnologias Emergentes. Esse é o ponto que mais demanda atenção das empresas, porque muitas não perceberam ainda que seus sistemas de IA já estão no radar da autoridade reguladora.

Inteligência artificial no centro da fiscalização: o que as empresas precisam saber

O artigo 20 da LGPD assegura ao titular de dados o direito de solicitar a revisão de decisões tomadas exclusivamente com base em tratamento automatizado, quando essas decisões puderem afetar seus direitos. A ANPD já sinalizou, por meio da Nota Técnica nº 12/2025/CON1/CGN/ANPD, que pretende regulamentar esse dispositivo com critérios específicos para o grau de explicabilidade exigível por tipo de decisão. Essa regulamentação definirá como as empresas precisam explicar aos titulares por que um algoritmo tomou determinada decisão sobre eles.

O desafio para as empresas é dupla. Primeiro, precisam identificar quais de seus sistemas de IA tomam decisões automatizadas com impacto significativo sobre os direitos dos titulares. Segundo, precisam garantir que conseguem explicar, em linguagem acessível, quais foram os critérios utilizados. O conceito de explicabilidade algorítmica ainda é objeto de debate técnico, especialmente quando se trata de modelos de aprendizado profundo, nos quais o caminho percorrido para chegar a uma decisão é intrinsecamente complexo e frequentemente incerto mesmo para os desenvolvedores do sistema.

A ANPD também monitora o uso de IA generativa no ambiente corporativo, especialmente quando essas ferramentas tratam dados pessoais de clientes ou funcionários. O uso de large language models para atendimento ao cliente, triagem de currículos, recomendações médicas ou avaliação de crédito precisa estar alinhado às exigências da LGPD, o que inclui base legal específica, transparência sobre o uso de IA e mecanismos para exercício de direitos pelos titulares.

Dados sensíveis: o ponto crítico para empresas de todos os setores

O tratamento de dados sensíveis, especialmente biometria, dados de saúde e dados financeiros, é onde a ANPD identifica os maiores riscos aos direitos dos titulares. O artigo 11 da LGPD estabelece que o tratamento de dados pessoais sensíveis tem bases legais mais restritas que o tratamento de dados comuns, exigindo justificativa específica para cada finalidade. As organizações que coletam, armazenam ou compartilham esses dados devem garantir que têm base legal adequada, medidas de segurança reforçadas e, quando necessário, Relatório de Impacto à Proteção de Dados Pessoais documentado.

A Nota Técnica nº 5/2025/FIS/CGF/ANPD, sobre o tratamento de dados biométricos de torcedores por clubes de futebol, demonstrou como a ANPD aplica os princípios da LGPD na prática. A nota reafirmou que a omissão ou insuficiência de salvaguardas configura potencial afronta ao princípio da segurança quando os riscos incidem sobre direitos e liberdades fundamentais dos titulares. O caso é relevante porque envolveu dados biométricos de crianças e adolescentes, somando dois eixos prioritários do Mapa de Fiscalização.

Para empresas que ainda não têm inventário atualizado de seus dados sensíveis, o momento é de urgência. A ANPD pediu a elaboração do Relatório de Impacto à Proteção de Dados Pessoais independentemente de norma complementar específica, tratando a obrigação como questão de postura permanente. Isso significa que uma empresa pode ser considerada em descumprimento se não conseguir demonstrar que avaliou os riscos de seus tratamentos de dados sensíveis, mesmo antes de qualquer regulamentação detalhada sobre o tema.

O papel da segurança e da prevenção segundo os princípios da LGPD

A ANPD inúmeras vezes reafirmou que os princípios do artigo 6º da LGPD não são apenas conceitos abstratos, mas obrigações concretas com desdobramentos em investigações específicas. O princípio da segurança, por exemplo, exige a adoção de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas. A agência publicou o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte, que serve como patamar mínimo de referência para organizações de todos os portes, incluindo órgãos públicos.

O princípio da prevenção, por sua vez, impõe a adoção de medidas para prevenir danos decorrentes do tratamento de dados. Em vez de aguardar o dano para remediar, a LGPD exige que a proteção seja incorporada desde o início, como parte constitutiva dos produtos, sistemas e serviços. Esse conceito, conhecido internacionalmente como privacy by design, está alinhado ao artigo 46, parágrafo 2º, da LGPD, que determina que as medidas de segurança sejam observadas desde a fase de concepção do produto ou serviço até a sua execução.

A combinação desses dois princípios significa que as empresas não podem simplesmente implementar controles reativos. Precisam demonstrar que pensaram na proteção de dados desde o momento em que conceberam um novo produto ou serviço, o que na prática se traduz em documentação de decisões de design, avaliações de risco antes do lançamento e revisões periódicas à medida que os riscos evoluem.

A fiscalização do poder público: desafios específicos do setor governamental

O poder público é alvo prioritário da ANPD não apenas pelo volume de dados que trata, mas também pela vulnerabilidade de muitos órgãos que ainda não desenvolveram estruturas adequadas de governança. A fiscalização de 20 grandes empresas no final de 2024 demonstrou que mesmo organizações com recursos significativos podem falhar em obrigações básicas, como a nomeação de Encarregado e a disponibilização de canal de comunicação adequado para titulares.

Para o setor público, os principais pontos de vulnerabilidade identificados nos casos já sancionados incluem ausência de ROPA, falha na comunicação de incidentes e ausência de medidas técnicas de segurança. A publicização dessas falhas gera custos políticos significativos para os órgãos envolvidos, mesmo quando não há aplicação de multa. O poder reputacional da sanção pública é especialmente relevante para entidades governamentais, que estão sujeitas a maior escrutínio social.

As prefeituras, secretarias estaduais, autarquias, empresas públicas e fundações governamentais precisam desenvolver programas de conformidade estruturados, com inventário de dados, políticas de privacidade, treinamento de servidores e processos para resposta a incidentes. A ANPD sinalizou que não aceitará a ausência de preparação institucional como justificativa para o descumprimento, especialmente quando dados de grupos vulneráveis estiverem em jogo.

Contrapontos e limites da análise

A mudança de postura da ANPD gera preocupações legítimas sobre a capacidade operacional da agência para fiscalizar efetivamente 75 ações em dois anos, especialmente considerando seu histórico de recursos limitados. Além disso, há debate sobre se o foco em grandes empresas não deixará de lado organizações menores que, apesar de manipularem menos dados, podem apresentar riscos proporcionais elevados.

Outro ponto de atenção é a tensão entre a exigência de explicabilidade algorítmica e o segredo industrial. Empresas que desenvolveram vantagens competitivas baseadas em modelos de IA podem enfrentar dificuldades para atender às exigências de transparência sem comprometer seus ativos estratégicos. A regulamentação do artigo 20, prevista para os próximos anos, precisará equilibrar a proteção dos titulares com a viabilidade operacional dos sistemas automatizados.

Também é importante considerar que a ANPD está construindo precedentes regulatórios a partir de casos concretos, o que significa que os critérios de conformidade se tornarão mais claros ao longo do tempo. Para empresas que buscam genuína adequação, o momento atual é de oportunidade: podem contribuir para a construção desses precedentes adotando práticas responsáveis e documentando suas decisões, em vez de esperar que a normativa se torne mais precisa para então agir.

Cenários e implicações para o ambiente de negócios em 2026

O cenário mais provável é de concentração de esforços de conformidade nos próximos 12 meses, com empresas líderes investindo em estruturas de governança de dados mais robustas. Para as demais, o risco é de chegar às fiscalizações de 2027 sem ter concluído a adequação, o que pode resultar em sanções administrativas, publicização de falhas e custos de remediação significativamente maiores do que os investimentos necessários para prevenção.

As empresas que investirem em documentação estruturada, inventário de dados, políticas internas e treinamento terão vantagem significativa em qualquer processo de fiscalização. O Regulamento de Dosimetria da ANPD explicitamente reduz sanções para organizações que demonstram adoção de boas práticas, o que significa que a conformidade não é apenas uma obrigação legal, mas também uma estratégia de redução de risco financeiro.

A tendência é que o mercado passe a exigir certificações e selos de conformidade como condição para parcerias comerciais, especialmente em setores que tratam dados sensíveis. Empresas que não conseguirem demonstrar conformidade à LGPD podem enfrentar dificuldades para fechar contratos com grandes compradores públicos ou privados que já internalizaram as exigências regulatórias.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.