LGPD em 2026: o primeiro ano real de fiscalização e o que mudou para empresas e consumidores

Sete anos de LGPD: da fase de orientação à era da fiscalização efetiva

A Lei Geral de Proteção de Dados Pessoais completou sete anos de vigência em agosto de 2025. Sancionada em 14 de agosto de 2018 e com as sanções administrativas entrando em vigor em agosto de 2020, a legislação brasileira de proteção de dados atravessou um longo período de maturação institucional. Até 2024, a Autoridade Nacional de Proteção de Dados aplicara apenas 18 sanções administrativas, sendo apenas duas multas, ambas contra a microempresa Telekall, segundo dados da própria ANPD. A imagem de uma lei sem dentes predominou por anos no debate público.

O cenário começou a mudar de forma substantiva em 2025. Com a estruturação da capacidade fiscalizatória da ANPD e a publicação do primeiro Mapa de Temas Prioritários, a agência passou a conduzir operações proativas que não dependiam de denúncias externas. Em dezembro de 2024, uma operação coordenou a notificação de 20 empresas em uma única ação, incluindo nomes como TikTok, Uber, Serasa, Vivo, Telegram e X Corp, por ausência de Encarregado de Dados publicado ou canal de comunicação inadequado.

A transformação da ANPD em agência reguladora autônoma

Em setembro de 2025, uma mudança institucional relevante alterou o cenário da proteção de dados no Brasil. A ANPD foi transformada em agência reguladora autônoma por meio da Medida Provisória 1.317/2025, com previsão de abertura de 200 vagas de especialista regulatório via concurso público. Essa alteração promete ampliar significativamente a capacidade de fiscalização e a velocidade dos processos administrativos, reduzindo a dependência de estrutura ministerial.

Antes disso, em dezembro de 2025, a ANPD publicou o segundo Mapa de Temas Prioritários para o biênio 2026-2027, que definiu uma agenda significativamente ampliada. Foram estabelecidas 30 ações previstas para o eixo de Direitos dos Titulares, 30 para o eixo de Proteção de Crianças e Adolescentes, 20 para Poder Público e 20 para IA e tecnologias emergentes, totalizando uma escala de ações muito superior à do período anterior.

O novo padrão de fiscalização e os setores na mira

A fiscalização da ANPD em 2025 e 2026 não seguiu um padrão aleatório. A agência utilizou uma combinação de fiscalizações reativas, ativadas por denúncias e comunicações de incidentes, e fiscalizações proativas, planejadas independentemente de qualquer provocação externa. O instrumento central do segundo tipo é o Mapa de Temas Prioritários, que define setores e condutas com base no risco regulatório, volume de dados tratados e vulnerabilidade dos titulares.

Em 2025, o relatório semestral da ANPD indicou mais de 120 autos de infração aplicados entre janeiro e junho, totalizando R$ 45 milhões em sanções, segundo dados compilados por escritórios de advocacia especializados. Trata-se de um salto expressivo em comparação com o acumulado de anos anteriores, sinalizando uma guinada na postura da agência.

Infrações mais comuns e os padrões de autuação

As fiscalizações do primeiro ciclo revelaram padrões claros de infração. Vazamentos de dados, sejam eles intencionais ou acidentais, foram um gatilho comum para autuações. A ausência de base legal clara para o tratamento de dados de clientes, especialmente em práticas de prospecção comercial via canais digitais, também foi um fator determinante em diversas penalidades aplicadas.

Outra falha recorrente é a falta de transparência com o titular dos dados. Empresas que não conseguem demonstrar que informam claramente como os dados serão usados, ou que não oferecem um canal funcional para o titular exercer seus direitos de acesso, correção ou exclusão, têm sido consideradas negligentes pela ANPD. A agência também mostrou-se atenta à organização interna das empresas, fiscalizando a ausência de programas de governança em privacidade com políticas e procedimentos claros.

O impacto da Lei 15.211/2025 no cenário regulatório

Um marco regulatório de 2026 que alterou significativamente o panorama da proteção de dados foi a entrada em vigor da Lei 15.211/2025, que alterou o Estatuto da Criança e do Adolescente para estabelecer regras de proteção de menores no ambiente digital. A norma, conhecida como ECA Digital, entrou em vigor em 17 de março de 2026 e conferiu à ANPD competências específicas para fiscalizar e sancionar plataformas digitais que tratem dados de crianças e adolescentes, com multas de até R$ 50 milhões por infração.

Entre as obrigações impostas pela nova legislação estão a verificação de idade eficaz em plataformas, o controle parental funcional, a privacidade como padrão desde a concepção de serviços voltados a menores e a proibição de publicidade direcionada a crianças e adolescentes. A Agenda Regulatória 2025-2026 da ANPD foi atualizada para incluir três novos itens derivados do ECA Digital.

Os limites do modelo sancionatório: multas baixas e o debate sobre eficácia

Apesar do aumento no número de autuações, especialistas e veículos especializados apontam para um problema estrutural: o valor das multas aplicadas pela ANPD ainda é considerado baixo em muitos casos, o que alimenta o debate sobre se a LGPD efetivamente mudou o custo de ser descumpridor no Brasil. Análises do site TI Inside, do jornal Correio Braziliense e de escritórios jurídicos indicam que, mesmo com a elevação do número de sanções, o valor médio das multas não tem sido suficiente para representar um desestímulo real para grandes empresas.

A legislação prevê multas de até 2% do faturamento bruto anual da empresa, limitadas a R$ 50 milhões por infração. Contudo, na prática, a maior parte das sanções ainda consiste em advertências ou multas de baixo valor, aplicadas principalmente a micro e pequenas empresas. As duas multas aplicadas pela ANPD até 2024, ambas contra a Telekall, são frequentemente citadas como evidência da timidez sancionatória do modelo.

A perspectiva das empresas e os custos de adequação

Do ponto de vista das empresas, especialmente pequenas e médias, o custo de adequação à LGPD frequentemente é visto como proibitivo. A contratação de um Encarregado de Dados, a implementação de medidas técnicas de segurança, a revisão de políticas de privacidade e a criação de canais de atendimento aos direitos dos titulares representam investimentos que muitas organizações não estão preparadas para realizar. Esse cenário é agravada pela percepção de que a fiscalização, embora crescente, ainda atinge uma fração ínfima do universo de empresas que tratam dados pessoais no país.

Por outro lado, defensores da LGPD argumentam que a mudança de comportamento corporativo inducedida pela lei, mesmo sem multas massivas, representa um avanço significativo. A consciência sobre a necessidade de governança de dados, a profissionalização da figura do Encarregado de Dados e a inclusão de cláusulas de proteção de dados em contratos comerciais são mudanças que transcendem o efeito direto das sanções administrativas.

Dados, evidências e o que os números ainda não mostram

Os dados oficiais da ANPD sobre o número de incidentes de segurança e sanções aplicadas são públicos, mas sua interpretação requer cautela. O órgão não divulga uma lista detalhada de todas as sanções aplicadas, o que dificulta a análise comparativa do impacto real da LGPD em diferentes setores. Relatórios semestrais e o balanço anual oferecem informações agregadas, mas carecem do nível de granularidade necessário para avaliações mais precisas.

O número de processos administrativos em tramitação na ANPD também não é amplamente divulgado, o que impede uma avaliação mais completa do estoque de casos pendentes. Especialistas advertem que, mesmo com o aumento de autuações, o tempo médio de tramitação de processos na agência pode limitar o efeito dissuasório das sanções, já que empresas sabem que processos podem levar anos para serem concluídos.

A questão da retroatividade das multas

Uma discussão jurídica relevante que ainda aguarda definição diz respeito à possível aplicação retroativa de multas por violação da LGPD. Segundo publicações especializadas, a ANPD informou que, em breve, serão divulgadas as regras para o cálculo das sanções, o que poderá aclarar essa questão. A aplicação retroativa de multas é contestada por parte do setor empresarial, que argumenta violação ao princípio da não retroatividade de sanções administrativas.

Contrapontos, críticas e limites da análise

Qualquer avaliação do impacto da LGPD precisa considerar limitações importantes. Primeiro, não há um grupo de controle para comparar o comportamento de empresas antes e depois da lei, o que torna difícil separar o efeito causal da legislação de outras mudanças comportamentais que ocorreram no mesmo período. A crescente preocupação global com privacidade e os escândalos de vazamentos de dados em grandes empresas de tecnologia também podem ter influenciado empresas brasileiras, independentemente da LGPD.

Segundo, a própria existência de uma lei de proteção de dados pode ter gerado efeitos simbólicos que não se traduzem em proteção efetiva de dados. Empresas podem ter se concentrado em cumprir formalidades, como a publicação de políticas de privacidade extensas e a designação de Encarregados de Dados, sem efetivamente alterar práticas de tratamento de dados que representam riscos para os titulares.

Terceiro, o acesso à justiça para titulares de dados cujos direitos foram violados permanece limitado na prática. Processos individuais contra empresas por violações de dados pessoais são raros no Brasil, e não há mecanismos consolidados de ações coletivas específicas para esse tipo de violação, o que reduz a pressão social sobre empresas para além da fiscalização administrativa.

Cenários e perspectivas para os próximos anos

Para o biênio 2026-2027, a ANPD sinalizou que pretende intensificar a fiscalização baseada em risco, com foco em incidentes de segurança, descumprimento de direitos de titulares e tratamento de dados sensíveis, especialmente biométricos, de saúde e financeiros. O eixo de inteligência artificial e tecnologias emergentes também promete ocupar espaço crescente na agenda, com a supervisão intensificada sobre sistemas que processam dados pessoais.

A transformação da ANPD em agência reguladora autônoma, se confirmada pelo Congresso Nacional, tende a alterar o equilíbrio de poder entre reguladores e regulados, ampliando a capacidade institucional da agência. O concurso público previsto para 200 vagas pode representar um salto na capacidade técnica de análise e processamento de casos. Contudo, resta saber se a expansão de pessoal será acompanhada de recursos orçamentários suficientes para operar.

O debate sobre a eficácia do modelo sancionatório brasileiro provavelmente continuará. Especialistas apontam que, para que a LGPD efetivamente altere o custo de ser descumpridor, será necessário não apenas mais autuações, mas também multas de valor significativo aplicadas a empresas de grande porte, processos ágeis e divulgação pública dos nomes das empresas sancionadas. Sem esses elementos, a lei corre o risco de permanecer no campo das boas intenções, apesar dos progressos inegáveis dos últimos dois anos.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.