Voltar ao blog

Lei 15.352/2026: ANPD vira Agência Nacional de Proteção de Dados

A ANPD nasceu autarquia em transição. Em 2026, ganhou estatura de Agência Reguladora plena — com orçamento próprio, carreira técnica e poder ampliado de aplicar a LGPD.

A transformação institucional

A Lei 15.352/2026 (25 de fevereiro de 2026) institui a Autoridade Nacional de Proteção de Dados (ANPD) como Agência Nacional de Proteção de Dados, agora estruturada como autarquia em regime especial, equivalente a ANVISA, ANATEL e ANEEL.

O que muda na prática

  • Orçamento próprio e maior autonomia financeira
  • Carreira pública especializada — 200 cargos efetivos de Especialista em Regulação de Proteção de Dados + 44 cargos em comissão
  • Poder regulamentar pleno — pode publicar normas técnicas vinculantes
  • Poder de fiscalização ampliado — auditorias mais profundas, técnicas, frequentes
  • Sanções administrativas com critérios mais robustos

Eixos prioritários de fiscalização em 2026

A ANPD definiu quatro eixos para o ciclo atual:

  1. Direitos dos titulares — atendimento, prazos, qualidade da resposta
  2. Tratamento de dados de crianças e adolescentes — incluindo ECA Digital (Lei 15.211/2025)
  3. Tratamento de dados pelo Poder Público — municípios, estados, União
  4. Inteligência Artificial e tecnologias emergentes — uso de IA generativa, decisões automatizadas

O que sua empresa deve revisar

Não é só documento

Fiscalização técnica agora analisa PROCESSOS REAIS — fluxos de dados, contratos com fornecedores, sistemas, medidas de segurança. PowerPoint não convence mais.

Pontos críticos:

  • Mapa de tratamento de dados atualizado e auditável
  • Base legal correta para cada tratamento (consentimento, legítimo interesse, etc.)
  • Contratos com operadores com cláusulas LGPD adequadas
  • Política de privacidade publicada, atualizada e acessível
  • Canal de atendimento ao titular funcionando dentro dos prazos
  • Programa de Governança em Privacidade documentado
  • Treinamento contínuo da equipe
  • RIPD (Relatório de Impacto à Proteção de Dados) para tratamentos de risco
  • Plano de resposta a incidentes testado

Multas e sanções em 2026

  • Multa diária: até R$ 50.000,00 por dia de descumprimento
  • Multa por infração: até 2% do faturamento da empresa no último exercício, limitado a R$ 50 milhões por infração
  • Suspensão parcial ou total do banco de dados
  • Bloqueio dos dados pessoais a que se refere a infração
  • Publicização da infração

Setores no radar

  • Tecnologia, fintechs, marketplaces (uso intensivo de dados pessoais)
  • Educação e saúde (dados sensíveis)
  • Setor público (tratamento massivo)
  • Plataformas que tratam dados de crianças (ECA Digital)
  • Empresas usando IA generativa sem governança

Como se preparar

  1. Diagnóstico de conformidade — gap analysis vs. LGPD pós-2026
  2. Atualização contratual com fornecedores e parceiros
  3. Treinamento técnico específico de DPO e equipe
  4. Testes de incidente — exercício prático de resposta
  5. Atualização do programa de governança

Empresas que se anteciparam economizam — quem só age depois da notificação paga em multa e na reputação.