Legislação e ANPD10 min de leitura

LGPD em 2026: o que a ANPD espera das organizações brasileiras

Equipe Confidata·
Compartilhar

Em 24 de dezembro de 2025, a ANPD publicou dois documentos que sinalizam uma mudança concreta de postura regulatória: a Resolução CD/ANPD Nº 30/2025 (Mapa de Temas Prioritários para o biênio 2026-2027) e a Resolução CD/ANPD Nº 31/2025 (atualização da Agenda Regulatória 2025-2026).

O sinal é inequívoco: a fase de orientação está sendo superada pela fase de responsabilização.

Este artigo explica o que esses documentos significam na prática, quais setores e temas estão na mira da ANPD, e o que sua organização precisa fazer para estar preparada.

O que é o Mapa de Temas Prioritários?

O Mapa de Temas Prioritários é o instrumento pelo qual a ANPD comunica formalmente suas prioridades de fiscalização para um biênio. Ele funciona como um calendário público de enforcement — as organizações sabem, com antecedência, quais temas serão investigados.

Para o biênio 2026-2027, o Mapa (Resolução CD/ANPD Nº 30/2025) prevê pelo menos 75 ações de fiscalização, organizadas em quatro eixos estratégicos.

Os 4 eixos prioritários da ANPD para 2026-2027

Eixo 1: Direitos dos Titulares (30 ações de fiscalização)

Este é o eixo com maior número de ações planejadas — 30 ao longo de dois anos, empatado com o eixo de crianças e adolescentes. O foco está em três grandes temas:

Dados biométricos, de saúde e financeiros (10 ações) A ANPD identificou que o tratamento de dados sensíveis — especialmente biometria, dados de saúde e dados financeiros — é onde os riscos aos direitos dos titulares são mais altos. As organizações que coletam, armazenam ou compartilham esses dados devem garantir:

  • Base legal específica conforme o Art. 11 da LGPD (dados sensíveis têm bases legais mais restritas)
  • Medidas de segurança reforçadas
  • RIPD documentado quando o tratamento puder gerar risco elevado

Uso secundário de dados para publicidade comercial segmentada e profiling (5 ações) O uso de dados pessoais coletados para uma finalidade em ações de publicidade direcionada — especialmente com técnicas de profiling e decisões automatizadas — está no radar da ANPD. Isso afeta diretamente setores como marketing digital, e-commerce, fintechs e plataformas digitais.

Demais direitos dos titulares As ações restantes cobrem o espectro completo dos direitos previstos no Art. 18 da LGPD: acesso, correção, portabilidade, eliminação e revogação de consentimento.

Eixo 2: Proteção de Crianças e Adolescentes no Ambiente Digital

A proteção de menores no ambiente digital é prioridade global — o Brasil não é exceção. Com a vigência do Estatuto da Criança e do Adolescente Digital (ECA Digital) e das obrigações específicas da LGPD para dados de crianças e adolescentes (Art. 14), a ANPD vai intensificar a fiscalização de:

  • Plataformas digitais e aplicativos usados por menores
  • Sistemas educacionais e EdTechs
  • Serviços que coletam dados de crianças sem o consentimento dos responsáveis

O Art. 14 da LGPD exige que o tratamento de dados de crianças (até 12 anos) seja realizado somente com o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal.

Eixo 3: Tratamento de Dados pelo Poder Público

O setor público segue como alvo prioritário. A ANPD reconhece que órgãos governamentais tratam enormes volumes de dados pessoais — muitas vezes de grupos vulneráveis — frequentemente com controles inadequados.

Prefeituras, secretarias estaduais, autarquias, empresas públicas e fundações governamentais estão sob vigilância. As principais vulnerabilidades identificadas nos casos já sancionados:

  • Ausência de ROPA (registro das operações de tratamento)
  • Falha na comunicação de incidentes
  • Ausência de medidas técnicas de segurança

Para o setor público, a ausência de multa financeira não significa ausência de consequências: publicização, bloqueio de dados e advertências geram custos políticos e operacionais relevantes.

Eixo 4: Inteligência Artificial e Tecnologias Emergentes (20 ações em 2027)

A ANPD está monitorando de perto o crescimento do uso de IA em sistemas que tratam dados pessoais. As 20 ações de fiscalização neste eixo estão concentradas em 2027, o que significa que as organizações têm 2026 para se preparar.

O foco inclui:

  • Decisões automatizadas (Art. 20 da LGPD): o titular tem o direito de solicitar revisão humana de decisões tomadas exclusivamente por algoritmos com impacto significativo sobre ele
  • IA generativa no ambiente corporativo: uso de LLMs e ferramentas de IA com dados pessoais de clientes ou funcionários
  • Sistemas de reconhecimento facial e biometria
  • Profiling e scoring baseados em IA

A Agenda Regulatória 2025-2026: os 16 temas regulatórios

Além do Mapa de Fiscalização, a Resolução CD/ANPD Nº 31/2025 atualiza a Agenda Regulatória 2025-2026 — o plano de novos regulamentos que a ANPD pretende publicar.

Os 16 temas incluem (entre outros):

  • Regulamentação de dados de crianças e adolescentes
  • Normas sobre reconhecimento facial e biometria
  • Transferência internacional de dados (Resoluções sobre adequação e garantias)
  • Cookies e rastreamento online
  • Regulamentação sobre IA e decisões automatizadas
  • Requisitos de segurança da informação para agentes de tratamento

Cada novo regulamento que entrar em vigor amplia as obrigações formais das organizações — e os critérios pelos quais serão fiscalizadas.

O que já está acontecendo: o enforcement em curso

O Mapa de Temas Prioritários não é futuro — a ANPD já está agindo:

Fiscalização de 20 grandes empresas (final de 2024)

No final de 2024, a ANPD notificou 20 grandes empresas dos setores de tecnologia, telecomunicações, educação, saúde e varejo por duas infrações específicas: ausência de Encarregado (DPO) nomeado e ausência de canal de comunicação adequado para titulares. Ambas são obrigações básicas da LGPD (Arts. 41 e 18).

Deliberação CD-10/2025: multas diárias por descumprimento cautelar

A ANPD introduziu em 2025 o instrumento de multas diárias para casos em que organizações descumprem medidas cautelares determinadas no curso de um processo administrativo. Isso significa que uma organização que ignora uma ordem da ANPD pode acumular sanções financeiras dia após dia.

Volume crescente de denúncias

Em 2025, a ANPD registrou aproximadamente 8.700 requerimentos — entre denúncias e petições de titulares contra agentes de tratamento. Esse número cresce a cada ano, aumentando a probabilidade de qualquer organização se tornar alvo de uma investigação iniciada por denúncia de titular.

O que sua organização precisa fazer em 2026

Dadas as prioridades da ANPD, as ações mais urgentes para 2026 são:

1. Revisar o tratamento de dados sensíveis

Se sua organização trata dados de saúde, biometria ou dados financeiros, revise imediatamente:

  • A base legal aplicada (Art. 11 para dados sensíveis)
  • As medidas de segurança implementadas
  • A necessidade de RIPD

2. Garantir o DPO e o canal do titular

A fiscalização de 20 empresas no final de 2024 foi motivada justamente pela ausência de Encarregado e canal de comunicação. São obrigações básicas — e estão sendo fiscalizadas.

3. Preparar-se para decisões automatizadas e IA

Se sua organização usa IA para tomar ou apoiar decisões sobre titulares de dados (concessão de crédito, triagem de candidatos, recomendações médicas), avalie a adequação à LGPD antes que a ANPD bata à porta em 2027.

4. Revisar práticas de publicidade digital

O uso de dados para publicidade segmentada e profiling está diretamente no escopo do Eixo 1. Revise a base legal (consentimento ou legítimo interesse), documente e garanta que o opt-out é funcional.

5. Documentar o programa de conformidade

Em qualquer processo de fiscalização, a organização que tem documentação estruturada — inventário de dados, políticas, contratos com operadores, registros de treinamento, evidências de resposta a incidentes — parte em vantagem. O Regulamento de Dosimetria da ANPD explicitamente reduz sanções para organizações que demonstram adoção de boas práticas.

Perspectiva: por que 2026 é diferente dos anos anteriores

Aspecto2021-20232024-2026
Postura da ANPDEducativaProgressivamente punitiva
FocoRegulamentos e orientaçõesFiscalização e enforcement
AlvosSetor público como pilotosPúblico + privado (grandes empresas)
InstrumentosAdvertências e publicizaçõesMultas, cautelares, multas diárias
PlanejamentoAd hocMapa formal de 75 fiscalizações
Denúncias de titularesCrescente~8.700/ano (2025)

Conclusão

2026 marca o início de uma nova fase da LGPD no Brasil: a fase em que a conformidade deixa de ser recomendação e passa a ter custo concreto para quem não a respeita. A ANPD telegrafou suas prioridades — dados sensíveis, crianças, poder público e IA — com meses de antecedência.

Organizações que usam esse tempo para estruturar seus programas de conformidade chegam às fiscalizações com muito mais segurança. As que esperam, chegam correndo.

Precisa estruturar ou revisar seu programa de conformidade LGPD antes das fiscalizações da ANPD? A Confidata oferece uma plataforma completa para gestão de privacidade — do inventário de dados ao monitoramento contínuo.

Compartilhar
#LGPD#ANPD#2026#agenda regulatória#fiscalização#compliance

Artigos relacionados

Mapa de Sanções da ANPD — Todos os Casos Aplicados Até 2026Legislação e ANPD · 15 minANPD Agência Reguladora: O Que Muda na Fiscalização em 2026Legislação e ANPD · 13 minANPD Sanciona Secretaria de Educação do DF: Lições para Escolas e SecretariasLegislação e ANPD · 12 minDenúncia anônima no Brasil: o que a lei realmente diz sobre canais de éticaLegislação e ANPD · 16 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista