A transformação institucional
A Lei 15.352/2026 (25 de fevereiro de 2026) institui a Autoridade Nacional de Proteção de Dados (ANPD) como Agência Nacional de Proteção de Dados, agora estruturada como autarquia em regime especial, equivalente a ANVISA, ANATEL e ANEEL.
O que muda na prática
- Orçamento próprio e maior autonomia financeira
- Carreira pública especializada — 200 cargos efetivos de Especialista em Regulação de Proteção de Dados + 44 cargos em comissão
- Poder regulamentar pleno — pode publicar normas técnicas vinculantes
- Poder de fiscalização ampliado — auditorias mais profundas, técnicas, frequentes
- Sanções administrativas com critérios mais robustos
Eixos prioritários de fiscalização em 2026
A ANPD definiu quatro eixos para o ciclo atual:
- Direitos dos titulares — atendimento, prazos, qualidade da resposta
- Tratamento de dados de crianças e adolescentes — incluindo ECA Digital (Lei 15.211/2025)
- Tratamento de dados pelo Poder Público — municípios, estados, União
- Inteligência Artificial e tecnologias emergentes — uso de IA generativa, decisões automatizadas
O que sua empresa deve revisar
Fiscalização técnica agora analisa PROCESSOS REAIS — fluxos de dados, contratos com fornecedores, sistemas, medidas de segurança. PowerPoint não convence mais.
Pontos críticos:
- Mapa de tratamento de dados atualizado e auditável
- Base legal correta para cada tratamento (consentimento, legítimo interesse, etc.)
- Contratos com operadores com cláusulas LGPD adequadas
- Política de privacidade publicada, atualizada e acessível
- Canal de atendimento ao titular funcionando dentro dos prazos
- Programa de Governança em Privacidade documentado
- Treinamento contínuo da equipe
- RIPD (Relatório de Impacto à Proteção de Dados) para tratamentos de risco
- Plano de resposta a incidentes testado
Multas e sanções em 2026
- Multa diária: até R$ 50.000,00 por dia de descumprimento
- Multa por infração: até 2% do faturamento da empresa no último exercício, limitado a R$ 50 milhões por infração
- Suspensão parcial ou total do banco de dados
- Bloqueio dos dados pessoais a que se refere a infração
- Publicização da infração
Setores no radar
- Tecnologia, fintechs, marketplaces (uso intensivo de dados pessoais)
- Educação e saúde (dados sensíveis)
- Setor público (tratamento massivo)
- Plataformas que tratam dados de crianças (ECA Digital)
- Empresas usando IA generativa sem governança
Como se preparar
- Diagnóstico de conformidade — gap analysis vs. LGPD pós-2026
- Atualização contratual com fornecedores e parceiros
- Treinamento técnico específico de DPO e equipe
- Testes de incidente — exercício prático de resposta
- Atualização do programa de governança
Empresas que se anteciparam economizam — quem só age depois da notificação paga em multa e na reputação.
