Resoluções da ANPD que todo DPO precisa conhecer em 2026
A LGPD deixou ampla margem para a ANPD regulamentar os detalhes operacionais da lei. Desde 2021, a autoridade publicou dezenas de atos normativos — resoluções, guias, enunciados, notas técnicas — que definem como a proteção de dados pessoais se aplica na prática.
Para um DPO, o desafio não é apenas conhecer a lei: é acompanhar continuamente o que a ANPD está publicando e entender qual a força normativa de cada instrumento. Este guia apresenta o que você precisa conhecer em 2026.
A hierarquia normativa da ANPD
Antes de entrar nas resoluções específicas, é fundamental entender que nem tudo que a ANPD publica tem o mesmo efeito vinculante:
| Instrumento | Força normativa | Efeito prático |
|---|---|---|
| Resolução CD/ANPD | Vinculante — descumprir é infração à LGPD | Obrigação legal para todos os agentes de tratamento |
| Enunciado | Vinculante quanto à interpretação — efeito declaratório | A ANPD interpretará a LGPD dessa forma; reflexamente orienta agentes |
| Guia Orientativo | Não vinculante — mas indica como a ANPD avaliará conformidade | Descumprir guia não é infração direta, mas a ANPD usa seus guias como parâmetro de avaliação |
| Recomendação / Nota Técnica | Não vinculante | Orientação e posicionamento institucional |
Conclusão prática: Uma Resolução tem a mesma força obrigatória que um regulamento. Um Guia Orientativo não — mas ignorá-lo é arriscado: se você toma uma decisão diferente da orientada pelo guia e a ANPD fiscaliza, você precisará justificar tecnicamente por que se afastou do entendimento da autoridade.
As resoluções com impacto operacional para DPOs
A ANPD publicou mais de 30 resoluções desde 2021. A maioria são de gestão interna (organograma, planejamento estratégico, sistema de informações). As que têm impacto direto para DPOs de organizações privadas e públicas são as seguintes:
Resolução CD/ANPD Nº 1/2021 — Fiscalização e Processo Sancionatório
Data: 28 de outubro de 2021
Regulamenta o processo de fiscalização (preventivo) e o Processo Administrativo Sancionador — PAS (repressivo). Define as três fases da fiscalização preventiva (monitoramento, orientação, atuação preventiva) e as cinco etapas do PAS.
Por que o DPO precisa conhecer:
- Define o prazo de 10 dias úteis para apresentação de defesa no PAS e para recurso ao Conselho Diretor
- Estabelece os poderes de acesso da ANPD: documentos, sistemas e instalações
- Regulamenta a fiscalização proativa (temática) e reativa (por denúncia)
- Base legal para a ação de dezembro de 2024 (20 empresas notificadas)
Atenção: A Agenda Regulatória 2025-2026 prevê revisão desta resolução para adequação ao ECA Digital.
Resolução CD/ANPD Nº 2/2022 — Agentes de Tratamento de Pequeno Porte
Data: 27 de janeiro de 2022
Regulamenta a aplicação da LGPD para microempresas (ME), empresas de pequeno porte (EPP), microempreendedores individuais (MEI) e startups (até R$ 16 milhões de receita anual, conforme LC 182/2021).
Benefícios concedidos:
- Dispensa da designação formal do Encarregado de Dados
- Registro de operações de tratamento simplificado
- Política de segurança simplificada (medidas "essenciais e necessárias")
- Prazos em dobro para atendimento a titulares e notificação de incidentes (6 dias úteis em vez de 3)
Atenção crítica: A dispensa dos benefícios ocorre quando o agente realiza tratamento de alto risco, mesmo que seja ME ou MEI. Tratamento em larga escala, dados de crianças, dados sensíveis, decisões automatizadas ou uso de tecnologias emergentes excluem o agente do regime simplificado. O caso Telekall — uma microempresa — demonstrou isso na prática.
Resolução CD/ANPD Nº 4/2023 — Dosimetria e Aplicação de Sanções
Data: 24 de fevereiro de 2023
Define como a ANPD calcula e aplica as sanções do Art. 52 da LGPD. É a norma que todo DPO precisa conhecer para quantificar o risco financeiro e construir argumentos atenuantes.
Principais elementos:
Atenuantes:
| Atenuante | Redução |
|---|---|
| Cessação da infração antes de qualquer procedimento da ANPD | 75% |
| Cessação após procedimento preparatório e antes do PAS | 50% |
| Cessação após instauração do PAS e antes da 1ª decisão | 30% |
| Programa de boas práticas e governança implementado | 20% |
| Medidas para reverter ou mitigar efeitos da infração | 20% ou 10% |
Agravantes: descumprimento de medidas orientativas ou corretivas da ANPD acrescenta percentuais significativos sobre a base calculada.
Dosimetria em fases: A sanção não é calculada diretamente do faturamento. Parte de uma base proporcional à gravidade da infração, modulada por agravantes e atenuantes, limitada ao teto legal de R$ 50 milhões por infração.
Resolução CD/ANPD Nº 15/2024 — Comunicação de Incidentes de Segurança
Data: 24 de abril de 2024
Regulamenta o Art. 48 da LGPD com precisão operacional. É a norma mais frequentemente violada nos processos sancionatórios: a ausência ou o atraso na comunicação de incidentes foi infração identificada em 7 dos 9 processos concluídos.
O que determina:
- Prazo: 3 dias úteis a partir do momento em que o controlador toma conhecimento de que o incidente afetou dados pessoais (6 dias úteis para agentes de pequeno porte)
- Comunicação preliminar: Quando não for possível reunir todas as informações em 3 dias úteis, é possível enviar comunicação preliminar com o que está disponível e complementar em até 20 dias úteis adicionais
- Canal: Super.GOV.BR (sistema federal de processo eletrônico) ou e-mail para fiscalizacao@anpd.gov.br
- Registro obrigatório: Todos os incidentes — incluindo os que não precisam ser comunicados — devem ser registrados internamente por pelo menos 5 anos
- Critérios de relevância: O incidente deve ser comunicado quando puder afetar significativamente interesses e direitos dos titulares E envolver categorias específicas de dados (sensíveis, crianças, financeiros, autenticação, dados em larga escala)
Resolução CD/ANPD Nº 18/2024 — Encarregado pelo Tratamento de Dados Pessoais
Data: 16 de julho de 2024
Regulamenta o Art. 41 da LGPD e define com precisão os requisitos para designação, publicação e atuação do Encarregado de Dados (DPO).
O que determina:
- Publicação obrigatória: Nome ou razão social do Encarregado E endereço de e-mail de contato, em local de fácil acesso no site da organização (Art. 8º)
- Funcionamento efetivo: A ANPD verificou na ação de dezembro de 2024 se os canais eram efetivamente funcionais — não apenas publicados
- Conflito de interesses: O acúmulo de funções do Encarregado é permitido somente quando não gera conflito de interesses. A resolução lista funções incompatíveis — DPO não pode supervisionar o próprio trabalho de tratamento de dados que deveria fiscalizar
- Autonomia: O Encarregado deve ter autonomia técnica e acesso irrestrito às informações necessárias para exercer suas funções
- DPO como serviço: A resolução admite expressamente o modelo de DPO-as-a-Service (Encarregado externo), com responsabilidades equivalentes ao interno
Esta resolução é a base legal direta para a ação contra as 20 empresas em dezembro de 2024.
Resolução CD/ANPD Nº 19/2024 — Transferência Internacional de Dados e Cláusulas-Padrão Contratuais
Data: 23 de agosto de 2024 — Prazo de implementação: 23 de agosto de 2025
Regulamenta os Arts. 33 a 36 da LGPD. Uma das normas mais práticas publicadas pela ANPD — e das mais ignoradas.
O que determina:
- Mecanismos habilitados: Cláusulas-padrão contratuais (SCCs), cláusulas específicas para transferências pontuais, normas corporativas globais (NCGs), decisões de adequação
- Modelo de SCCs: Aprovado no Anexo II da resolução — deve ser usado sem modificações substanciais
- NCGs: Para transferências intragrupo econômico multinacional; requerem aprovação prévia da ANPD
- Prazo encerrado: O período de carência para implementação encerrou em 23 de agosto de 2025. Transferências internacionais sem mecanismo adequado são irregulares desde então
Impacto prático: Qualquer organização que usa serviços em nuvem com servidores fora do Brasil (AWS, Azure, Google Cloud), ferramentas SaaS internacionais (Salesforce, SAP, ferramentas de marketing) ou que transfere dados para empresas do mesmo grupo no exterior precisa ter implementado as SCCs ou outro mecanismo previsto.
Resolução CD/ANPD Nº 32/2026 — Reconhecimento da União Europeia como País Adequado
Data: 26 de janeiro de 2026
A ANPD e a Comissão Europeia se reconheceram mutuamente como proporcionando proteção adequada de dados pessoais.
Impacto prático:
- Transferências de dados entre Brasil e países membros da UE (mais Islândia, Liechtenstein e Noruega) não requerem mais SCCs ou outros mecanismos adicionais
- O fluxo é direto e simplificado — basta o controlador verificar que o destinatário está em país da UE/EEE
- Exceção: transferências exclusivamente para fins de segurança pública, defesa nacional ou investigação criminal não se beneficiam da adequação
- Reavaliação prevista em até 4 anos
Guias e instrumentos complementares relevantes
Além das resoluções, a ANPD publicou guias orientativos que, embora não vinculantes, definem como a autoridade interpreta a LGPD em situações específicas:
| Guia | Data | Temas abordados |
|---|---|---|
| Guia de Cookies e Proteção de Dados Pessoais | Outubro 2022 | Cookies, rastreamento online, gestão de preferências, banner de consentimento |
| Guia de Hipóteses Legais — Legítimo Interesse | 2024 | Quando usar legítimo interesse, modelo de teste de balanceamento (LIA) |
| Guia de Tratamento de Dados pelo Poder Público | Junho 2023 | Bases legais e obrigações específicas para órgãos públicos |
| Radar Tecnológico Vol. 2: Biometria e Reconhecimento Facial | Junho 2024 | Análise técnica de risco e orientações para sistemas biométricos |
| Radar Tecnológico Vol. 3: IA Generativa e Raspagem de Dados | 2024 | Riscos de IA generativa no tratamento de dados, data scraping |
| Glossário de Proteção de Dados | Janeiro 2024 | Definições de termos técnicos usados pela ANPD |
Sobre o Guia de Cookies: Publicado em outubro de 2022, está entre os guias mais operacionalmente relevantes. Define o que é e o que não é consentimento válido para cookies analíticos e de marketing, e como deve funcionar o banner de gestão de preferências. Plataformas digitais que ainda usam banner com "aceitar tudo" sem opção granular de recusa estão em desacordo com o entendimento da ANPD.
Enunciado Nº 1/2023: Emitido em maio de 2023, trata especificamente do tratamento de dados de crianças e adolescentes. Tem efeito vinculante para a interpretação da ANPD — organizações que tratam dados de menores devem observá-lo.
O que está por vir: regulamentações previstas para 2026
A Agenda Regulatória 2025-2026 (atualizada em dezembro de 2025) lista os temas que a ANPD pretende regulamentar durante o biênio:
| Tema | Status esperado em 2026 |
|---|---|
| Direitos dos titulares (operacionalização dos Arts. 9, 18, 19, 20) | Consulta pública ou publicação |
| RIPD — critérios e procedimentos para tratamentos de alto risco | Consulta pública ou publicação |
| Dados biométricos — parâmetros para tratamento adequado | Consulta pública |
| Medidas de segurança — padrões técnicos mínimos | Em definição |
| IA — regulamentação de sistemas de IA no tratamento de dados | Em desenvolvimento |
| Dados de saúde — regulamentação específica | Em desenvolvimento |
| ECA Digital — 3 regulamentações derivadas (verificação de idade, fornecedores TI, revisão Res. 1/2021 e 4/2023) | Com entrada em vigor do ECA Digital em março/2026, urgentes |
O que isso significa na prática: O volume de novas regulamentações em 2026 será alto. Organizações que não têm processo estruturado de monitoramento da agenda regulatória da ANPD correm o risco de descobrir novas obrigações após o prazo de adequação.
Como um DPO deve organizar o acompanhamento normativo
Fontes primárias (monitorar regularmente):
- gov.br/anpd — atos normativos, notícias, agenda regulatória, consultas públicas
- Diário Oficial da União — publicação formal de todas as resoluções
- Consultas públicas abertas da ANPD — oportunidade de participar do processo antes da norma ser publicada
Processo interno recomendado:
- Monitoramento mensal da página de regulamentações da ANPD
- Avaliação de impacto: cada nova norma é analisada contra as atividades de tratamento da organização
- Plano de adequação: prazo e ações para cada nova obrigação
- Registro de conformidade: documentação de que cada resolução foi avaliada e atendida
Resumo: as 5 resoluções mais críticas para um DPO em 2026
| Resolução | Impacto imediato |
|---|---|
| Res. 15/2024 | Prazo de 3 dias úteis para comunicar incidentes — a mais violada |
| Res. 18/2024 | Encarregado publicado e canal funcional — verificado ativamente pela ANPD |
| Res. 19/2024 | SCCs obrigatórias desde agosto/2025 para transferências internacionais |
| Res. 4/2023 | Dosimetria de sanções — guia para quantificar risco e construir atenuantes |
| Res. 32/2026 | Transferências Brasil-UE dispensam SCCs desde janeiro/2026 |
Conclusão
Em 2026, o arcabouço normativo da ANPD está substancialmente mais maduro do que era em 2021. As resoluções sobre incidentes, encarregado e transferência internacional fecharam as principais lacunas operacionais da LGPD. E com a agenda regulatória prevendo novas normas sobre direitos dos titulares, RIPD, IA e ECA Digital, o trabalho de acompanhamento normativo para DPOs vai intensificar.
Conhecer o que já está publicado é o ponto de partida. Acompanhar o que está por vir é o que diferencia conformidade reativa de conformidade estratégica.
O Confidata acompanha a agenda regulatória da ANPD e alerta automaticamente quando novas normas impactam as atividades de tratamento cadastradas na plataforma. Conheça como centralizamos o monitoramento normativo para sua equipe de privacidade.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.