Legislação e ANPD12 min de leitura

Fiscalização temática da ANPD 2025-2026: setores na mira

Equipe Confidata·
Compartilhar

Em dezembro de 2024, a ANPD notificou 20 empresas em uma única operação — TikTok, Uber, Serasa, Vivo, Telegram, X Corp. e outras 14 — por ausência de Encarregado de Dados publicado ou canal de comunicação inadequado. Não houve aviso prévio de meses: as empresas receberam a notificação e tiveram prazo para se regularizar.

Esse episódio não foi isolado. Foi parte de uma agenda de fiscalização estruturada, publicada e previsível — o Mapa de Temas Prioritários, instrumento bianual da ANPD que define quais setores e condutas serão fiscalizados com ou sem denúncia. Para quem opera nesses setores, conhecer o mapa é a diferença entre se preparar antes e correr atrás depois.

Como a ANPD planeja sua fiscalização

A Resolução CD/ANPD Nº 1/2021 estabelece dois tipos de fiscalização:

Fiscalização reativa: Ativada por denúncias, reclamações de titulares de dados e comunicações de incidentes recebidas pela ANPD. Depende de provocação externa.

Fiscalização proativa (temática): Planejada e executada independentemente de denúncia. A ANPD seleciona setores e condutas com base no risco regulatório, volume de dados tratados, vulnerabilidade dos titulares e alinhamento com seu planejamento estratégico. A ação de dezembro de 2024 foi proativa: as 20 empresas não foram denunciadas por ninguém — estavam nos critérios do Mapa.

O Mapa de Temas Prioritários é o instrumento que antecipa onde a fiscalização proativa vai incidir. Ele é publicado bianualmente e, desde 2023, com suficiente detalhe para que organizações se preparem.

Mapa de Temas Prioritários 2024-2025

Publicado em 13 de dezembro de 2023 (formalizado pela Resolução CD/ANPD Nº 10/2023), o primeiro Mapa formal da ANPD estabeleceu quatro eixos para o biênio:

Eixo 1 — Direitos dos titulares

Foco em Poder Público, plataformas digitais, setor financeiro e telecomunicações. A verificação central: se os agentes de tratamento de alto impacto designam Encarregado e o divulgam publicamente com dados de contato funcionais, e se mantêm canal efetivo de comunicação com titulares.

A ação de dezembro de 2024 — com 20 empresas notificadas — foi a execução deste eixo.

Eixo 2 — Dados de crianças e adolescentes no ambiente digital

Compatibilidade das plataformas digitais com as regras da LGPD para menores (Art. 14). Consentimento de responsável legal, verificação de idade, publicidade direcionada a menores.

Eixo 3 — IA para reconhecimento facial

Sistemas de reconhecimento facial em locais públicos, estádios e eventos com alcance significativo ou envolvendo grupos vulneráveis. Análise de base legal, necessidade e proporcionalidade.

Eixo 4 — Raspagem de dados e agregadores

Quatro processos repressivos foram instaurados pela ANPD entre 2023 e 2024 nesta temática. Ação coordenada com Banco Central, Anatel e Senacom foi planejada.

A ação de dezembro de 2024: o modelo de fiscalização proativa em prática

Data: 13 de dezembro de 2024.

Fundamento: Art. 41 da LGPD + Art. 8º da Resolução CD/ANPD Nº 18/2024 — obrigatoriedade de designar e divulgar publicamente o Encarregado de Dados com dados de contato funcionais.

As 20 empresas notificadas (lista completa, conforme divulgação oficial da ANPD):

#Empresa
1BlueFit Academias de Ginástica e Participações S.A.
2Bytedance Brasil Tecnologia Ltda (TikTok)
3Dell Computadores do Brasil Ltda
4Equatorial Goiás Distribuidora de Energia Elétrica S/A
5Escritório Administrativo Clínicas Inteligentes Ltda
6Eventim Brasil — Sistemas e Serviços de Ingressos Ltda
7GRPQA Ltda (QuintoAndar)
8Hurb Technologies S.A.
9I.B.A.C Indústria Brasileira de Alimentos e Chocolates (Cacau Show)
10Latam Airlines Group S.A.
11Open Education LLC
12Parperfeito Comunicação S.A. (Tinder)
13Rede Saúde Total Cartão de Benefícios Ltda
14Ser Educacional S.A.
15Serasa S.A.
16SS Comércio de Cosméticos e Produtos de Higiene Pessoal Ltda (Jequiti)
17Telefônica Brasil S.A. (Vivo)
18Telegram Messenger Inc
19Uber do Brasil Tecnologia Ltda
20X Brasil Internet Ltda

O que essa lista revela sobre a lógica da fiscalização:

Ao contrário do que muitos imaginam, a ação não foi direcionada apenas às "maiores empresas de tecnologia". Estão na lista uma academia de ginástica (BlueFit), uma fabricante de chocolates (Cacau Show), uma distribuidora de energia (Equatorial), uma clínica médica, uma plataforma de ingressos (Eventim) e empresas de educação. A ANPD fiscalizou todos os setores representados no eixo de "Direitos dos titulares" do Mapa 2024-2025 — independentemente do tipo de produto ou serviço.

Modelo que a ação estabeleceu:

  1. Fiscalização sem aviso prévio além da notificação
  2. Prazo curto para regularização
  3. Exigência de que o canal do titular seja efetivamente funcional — não apenas existente
  4. Abrangência multissetorial dentro de um mesmo eixo temático

Mapa de Temas Prioritários 2026-2027

Publicado em 24 de dezembro de 2025 (Resolução CD/ANPD Nº 30/2025), o segundo Mapa define a agenda dos próximos dois anos. Quatro eixos com escala significativamente maior de ações:

Eixo 1 — Direitos dos titulares

30 ações previstas para o biênio. Foco ampliado para:

  • Dados biométricos, de saúde e financeiros
  • Publicidade direcionada (perfilamento para fins comerciais)
  • Plataformas digitais, setor financeiro e telecomunicações

Eixo 2 — Proteção de crianças e adolescentes no ambiente digital

30 ações previstas — o eixo que mais cresceu em importância. Impulsionado pela Lei Nº 15.211/2025 (ECA Digital), que entrou em vigor em 17 de março de 2026:

  • Privacidade como padrão (Privacy by Design para menores)
  • Verificação de idade eficaz em plataformas
  • Controle parental funcional
  • Proibição de publicidade direcionada a menores
  • Obrigação de RIPD para serviços que tratam dados de crianças

A ANPD recebeu competências específicas com o ECA Digital, incluindo poder de fiscalizar e sancionar com multas de até R$ 50 milhões por infração. A Agenda Regulatória 2025-2026 foi atualizada para incluir três novos itens regulatórios derivados do ECA Digital.

Eixo 3 — Poder Público

20 ações previstas, com início planejado para início de 2027:

  • Compartilhamento de dados pessoais entre órgãos públicos
  • Biometria em sistemas governamentais (verificação de identidade, acesso a serviços)
  • Governança de dados em entidades federais, estaduais e municipais

Eixo 4 — IA e tecnologias emergentes

20 ações previstas, também planejadas para 2027:

  • Supervisão intensificada sobre sistemas de IA que processam dados pessoais
  • Privacy by Design em desenvolvimento de sistemas com IA
  • Viés algorítmico e discriminação

Transformação institucional:

Em setembro de 2025, a ANPD foi transformada em agência reguladora autônoma (Medida Provisória Nº 1.317/2025), com previsão de 200 vagas de especialista regulatório via concurso público. A consequência prática: mais capacidade de fiscalização, mais rapidez nos processos e menos dependência de estrutura ministerial.

Quem está no radar: mapeando riscos por setor

Setor de saúde

Dados sensíveis (Art. 11 da LGPD), dados em larga escala e histórico de incidentes significativos (dois processos sancionatórios envolvendo o Ministério da Saúde em 2024) colocam o setor no centro do Eixo 1 do MTP 2026-2027. Hospitais, clínicas, planos de saúde, laboratórios e plataformas de saúde digital precisam priorizar RIPD, canal do titular e Encarregado publicado.

Setor financeiro

Dados financeiros e de crédito foram explicitamente incluídos no Eixo 1 do MTP 2026-2027. Bancos, fintechs, cooperativas de crédito, seguradoras e plataformas de pagamento operam no núcleo do que a ANPD definiu como prioritário.

Plataformas digitais com usuários menores

Com o ECA Digital em vigor desde março de 2026, qualquer plataforma que possa ser acessada por menores de 18 anos está sujeita a obrigações específicas. Redes sociais, jogos, streaming, aplicativos educacionais — todos os Eixos 2 e 4 convergem para esse perfil.

Poder Público

Prefeituras, autarquias, empresas públicas, tribunais, secretarias estaduais e federais: o Eixo 3 do MTP 2026-2027 mira especificamente o setor público. Órgãos que compartilham dados entre si sem base legal adequada, que usam biometria sem RIPD e que não têm Encarregado designado são o alvo principal.

Empresas com tratamento biométrico

Reconhecimento facial em controle de acesso físico, autenticação, monitoramento e identificação é uma das fronteiras de fiscalização mais ativas para 2026-2027. O Radar Tecnológico Vol. 2 da ANPD (junho/2024) já sinalizou preocupações com biometria.

O que esperar do modelo de fiscalização em 2026

Mais ações, mais rápidas: A transformação da ANPD em agência reguladora e o Mapa com 75 ações previstas no biênio sinaliza uma autoridade com maior capacidade operacional.

Fiscalização coordenada: A ANPD já indicou coordenação com Banco Central, Anatel e Senacom para o eixo de raspagem de dados. No ECA Digital, a fiscalização será exercida em conjunto com o Conselho Tutelar, o MP e a Justiça da Infância.

Foco em funcionamento real, não formal: A ação de dezembro de 2024 verificou se o canal do titular funcionava — não apenas se estava publicado. O modelo de fiscalização se orienta cada vez mais para resultados práticos, não apenas para conformidade documental.

Organizações que não estão em nenhum setor prioritário ainda correm risco reativo: Denúncias de titulares e comunicações de incidentes continuam ativando processos independentemente do Mapa.

Como usar o Mapa para se preparar

  1. Identifique em qual eixo sua organização se enquadra — ou em quantos. Uma plataforma de saúde digital que usa IA e tem usuários menores está nos eixos 1, 2 e 4 simultaneamente.

  2. Avalie a urgência por eixo: Eixos 1 e 2 têm 30 ações cada, respectivamente, e já estão em execução. Eixos 3 e 4 iniciam em 2027 mas a preparação demanda tempo.

  3. Priorize o que a ANPD verificou em 2024: Encarregado publicado e com canal funcional, canal do titular que responde de fato, RIPD para tratamentos de alto risco.

  4. Documente a conformidade existente: Se a fiscalização chegar, a organização precisa responder em dias, não semanas. Documentação pronta é o que torna isso possível.

  5. Monitore a Agenda Regulatória: A ANPD publica o que vai regulamentar em seguida. Organizações que acompanham a agenda se adaptam às novas regras antes de entrarem em vigor.

Conclusão

O Mapa de Temas Prioritários da ANPD é o documento mais importante para qualquer DPO ou C-Level que quer entender o risco regulatório concreto da organização. Ele não é um aviso vago de que a ANPD "pode fiscalizar" — é um plano publicado, com eixos definidos, ações quantificadas e setores identificados.

Com 75 ações previstas para 2026-2027, uma agência reguladora com estrutura ampliada e o ECA Digital como novo mandato, a pergunta não é mais "se" sua organização vai ser fiscalizada — é se ela vai ser encontrada preparada ou não.

O Confidata centraliza toda a documentação necessária para uma resposta rápida a qualquer ação de fiscalização: Encarregado registrado, canal do titular monitorado, ROPA atualizado, RIPDs elaborados e relatórios de conformidade prontos para apresentar à ANPD.

Compartilhar
#fiscalização ANPD#Mapa de Temas Prioritários#agenda regulatória#ANPD 2026#ECA Digital#reconhecimento facial#crianças e adolescentes#setor público#IA

Artigos relacionados

Avaliação de Impacto (AIPD) para produtos acessíveis por menores: guia práticoLegislação e ANPD · 14 minECA Digital e LGPD: como as duas leis se complementam na proteção de menoresLegislação e ANPD · 13 minVerificação de idade: como adequar seu produto digital ao ECA DigitalLegislação e ANPD · 13 minECA Digital: o que muda para empresas e o que fazer agoraLegislação e ANPD · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista