Dia da Proteção de Dados: destaques da atuação da ANPD e as perspectivas para 2026

O Dia Internacional da Proteção de Dados Pessoais é comemorado em 28 de janeiro. No Brasil, o papel de zelar pela proteção de dados pessoais e de fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) é exercido pela Agência Nacional de Proteção de Dados (ANPD).

Desde o início de seu funcionamento, em 2020, quando houve a nomeação do primeiro corpo diretivo da instituição por meio do Decreto 10.474/2020, a ANPD vem emitindo resoluções, guias e entendimentos que detalham como a LGPD deve ser aplicada na prática.

Em 2025, diversos temas marcaram a atuação da ANPD, oferecendo perspectivas para o papel da Agência em 2026. Em comemoração à data, a prática de Proteção de Dados e Cybersecurity reuniu as principais atividades da ANPD em 2025 e sua expectativa de atuação para 2026, que impactarão diretamente os agentes de tratamento de dados pessoais. Confira:

Atividades de monitoramento e fiscalização

Em 2025:

Fiscalização de cumprimento ao Regulamento de DPOs

Conforme divulgado no processo da proposição dos temas para o Mapa de Temas Prioritários da ANPD para 2026-2027, em 2024 e 2025 foram realizadas atividades de fiscalização voltadas ao Poder Público, ao setor financeiro, a plataformas digitais e ao cumprimento da obrigação, pelos controladores, de indicar encarregado pelo tratamento de dados pessoais, conforme previsto no Regulamento sobre a Atuação do Encarregado pelo Tratamento de Dados Pessoais.

Para acompanhar em 2026:

Lançamento do Painel de Fiscalização

Em novembro de 2025, a ANPD lançou o Painel de Fiscalização, uma ferramenta interativa com dados agregados sobre os procedimentos de fiscalização, os procedimentos preparatórios e os processos administrativos sancionadores conduzidos pela ANPD.

O painel indica, por exemplo, se os procedimentos envolvem análise sobre tratamento de dados de crianças e adolescentes, dados sensíveis, faixa estimada de pessoas afetadas e o ramo de atividade que o controlador exerce.

Essa iniciativa soma-se a outras já implementadas pela Agência sobre a transparência da sua atuação, como os painéis sobre os comunicados de incidentes de segurança reportados à Agência, que apresentam dados agregados de 2025 e de anos anteriores.

Transferências Internacionais de Dados Pessoais

Em 2025:

Encerramento do prazo de adequação das cláusulas-contratuais padrão

Em agosto de 2025, foi encerrado o prazo de adequação das cláusulas-padrão contratuais previstas na Resolução CD/ANPD nº 19/2024 (Regulamento de Transferência Internacional de Dados). Na prática, os controladores que utilizam as cláusulas-padrão contratuais como mecanismo de transferência internacional devem estar adequados quanto à incorporação dessas cláusulas conforme modelo previsto no Regulamento de Transferência Internacional de Dados.

Devido ao encerramento do prazo, tal adequação pode ser exigida em eventual procedimento perante a ANPD.

Em 2026:

Decisão de adequação entre Brasil e União Europeia

Em 26 de janeiro de 2026, a ANPD e a Comissão Europeia concluíram que a LGPD e o GDPR oferecem níveis equivalentes de proteção, o que facilitará o fluxo internacional de dados.

A ANPD publicou a Resolução nº 32/2026, que dispõe sobre o reconhecimento da União Europeia como organismo internacional com grau de proteção de dados pessoais adequado ao previsto na LGPD para fins de transferência internacional.

Com esse reconhecimento, não haverá mais a necessidade da adoção de instrumentos específicos para o compartilhamento de dados entre empresas no Brasil e na União Europeia.

A decisão está em linha com as recentes discussões envolvendo a aprovação do acordo de livre comércio entre UE e Mercosul.

Novas atribuições da ANPD

Em 2025:

Conversão da ANPD de autoridade em agência

Em setembro de 2025, foi publicada a Medida Provisória (MP) 1.317/2025, que transformou a ANPD em agência reguladora. Com a mudança, a ANPD foi inserida no rol das agências reguladoras previsto na Lei 13.848/2019 e passa a contar com autonomia funcional, técnica, decisória, administrativa e financeira, consolidando a entidade como reguladora da proteção de dados no país. Além disso, a ANPD vincula-se ao Ministério da Justiça e Segurança Pública.

Na prática, a nova configuração tem como objetivo garantir maior independência e dotar a agência de instrumentos adequados para regular, fiscalizar e sancionar de forma mais efetiva.

A MP passou a vigorar desde o momento em que foi publicada, mas ainda precisa ser aprovada pelo Congresso Nacional para se converter definitivamente em lei.

Para 2026:

ECA Digital

Em março de 2026 entrará em vigor a Lei nº 15.211/2025 (ECA Digital), que cria regras para a proteção de crianças e adolescentes quanto ao uso de aplicativos, jogos eletrônicos, redes sociais e programas de computador.

O ECA Digital conferiu à ANPD a competência de atuar como a autoridade administrativa autônoma de proteção dos direitos de crianças e de adolescentes no ambiente digital.

Logo, é esperado que a ANPD atue ainda mais no tema de crianças e adolescentes. A Agência já instituiu um grupo de trabalho interno para analisar as disposições do ECA Digital e planejar a execução das novas competências legais.

Tratamento de Dados Biométricos

Em 2025:

Tomada de subsídios sobre dados biométricos

Em junho de 2025, a ANPD publicou uma Tomada de Subsídios sobre o projeto de normatização do tema Tratamento de Dados Pessoais Sensíveis – Dados Biométricos.

A Tomada de Subsídios apresentou 18 perguntas sobre: definições e princípios; hipóteses legais; tecnologias de reconhecimento facial e tecnologias emergentes; segurança, boas práticas e governança; direitos dos titulares e grupos vulneráveis.

Em dezembro de 2025, a ANPD divulgou o resultado da Tomada de Subsídios, que recebeu 88 contribuições. Em Nota Técnica, a ANPD apresentou os pontos de convergências e divergências entre as contribuições.

Para 2026:

Após a Tomada de Subsídios, há expectativa de que a ANPD publique documento para estabelecer parâmetros para a realização do tratamento de dados biométricos de forma equilibrada e compatível com a legislação de proteção de dados pessoais, conforme a sua Agenda Regulatória 2025-2026, que estabelece o tema na primeira fase de priorização.

Agenda regulatória

Diante da competência conferida pelo ECA Digital, a ANPD atualizou a sua Agenda Regulatória 2025-2026 para prever a regulação de três novos temas:

• Mecanismos de aferição de idade;
• Fornecedores de produtos ou serviços de tecnologia da informação: escopo e obrigações gerais do ECA Digital; e
• Fiscalização e sanção do ECA Digital: revisão do regulamento do processo de fiscalização e do processo administrativo sancionador; e do regulamento de dosimetria e aplicação de sanções administrativas.

Além disso, a Agenda Regulatória foi atualizada para incluir a revisão das regras da agência para fiscalização, sanção e produção normativa. A revisão dos regulamentos que tratam de fiscalização e sanção poderá abarcar esclarecimentos sobre a participação de amicus curiae e terceiros interessados e fases e prazos processuais. No âmbito da normatização, a Agenda Regulatória passa a contar com um item relacionado à revisão do processo normativo no âmbito da ANPD, que tem por objetivo ajustar as suas práticas regulatórias ao disposto na Lei das Agências (Lei nº 13.848/2019).

Por fim, a agenda contempla iniciativas relacionadas a direitos dos titulares, relatório de impacto à proteção de dados pessoais, compartilhamento de dados pelo Poder Público, dados biométricos, entre outras.

Mapa de temas prioritários

A partir da análise de informações obtidas com requerimentos, comunicações de incidentes, ações de fiscalização e outros insumos colhidos pela Coordenação-Geral de Fiscalização nos últimos dois anos, a ANPD publicou o Mapa de Temas Prioritários para a atividade de fiscalização no biênio 2026-2027. As atividades de fiscalização previstas são os temas:

Direitos dos titulares

• Realizar 25 atividades de fiscalização relacionadas a direitos dos titulares em temas diversos;
• Realizar 10 atividades de fiscalização relacionadas a tratamentos de dados biométricos, de saúde ou financeiro;
• Realizar cinco atividades de fiscalização relacionadas ao uso secundário de dados pessoais para entrega de publicidade comercial direcionada, especialmente mediante técnicas de perfilamento.

Proteção de crianças e adolescentes no ambiente digital, nos termos da LGPD e do ECA Digital

• Realizar atividades de monitoramento sobre a adequação às exigências legais do ECA Digital, de fornecedores de produtos ou serviços de tecnologia da informação direcionados a crianças e a adolescentes, ou de acesso provável por eles;
• Realizar 15 atividades de fiscalização a fim de verificar, em fornecedores de produtos ou serviços de tecnologia da informação direcionados a crianças e a adolescentes, ou de acesso provável por eles, a configuração, por design e por padrão, de modelo mais protetivo disponível em relação à privacidade e à proteção de dados pessoais, considerando, inclusive, ferramentas de supervisão parental;
• Realizar 15 atividades de fiscalização a fim de verificar, em fornecedores de produtos ou serviços de tecnologia da informação direcionados a crianças e a adolescentes, ou de acesso provável por eles, a adoção de medidas para impedir que crianças e adolescentes acessem conteúdos impróprios, inadequados ou proibidos por lei, incluindo mecanismos de aferição de idade.

Tratamento de dados pessoais pelo Poder Público

• Realizar 20 atividades de fiscalização que contemplem tratamento de dados pessoais pelo Poder Público;
• Realizar atividades de monitoramento sobre a adequação ao regulamento de uso compartilhado de dados pessoais pelo Poder Público.

Inteligência artificial e tecnologias emergentes no contexto do tratamento de dados pessoais

Realizar 20 atividades de fiscalização relacionadas ao tratamento de dados pessoais, inclusive de crianças e adolescentes, no contexto de sistemas de inteligência artificial e tecnologias emergentes.

Para mais informações sobre o tema, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.