Confira artigo de Marco Zorzi, advogado da Andersen Ballão Advocacia
A Agência Nacional de Proteção de Dados (ANPD) publicou, em 24 de dezembro de 2025, dois atos centrais para a compreensão de sua atuação institucional no curto e médio prazo: o Mapa de Temas Prioritários para Fiscalização e Atuação Regulatória no biênio 2026–2027, e a versão atualizada da Agenda Regulatória da Autoridade para o período 2025–2026.
Embora distintos quanto à natureza e à função, ambos os instrumentos devem ser lidos de forma integrada. O Mapa orienta a atuação fiscalizatória, com foco em risco e impacto, enquanto a Agenda estrutura a produção normativa, os processos institucionais e a consolidação interpretativa da Lei Geral de Proteção de Dados (LGPD).
Em conjunto, esses documentos oferecem ao mercado sinais claros sobre prioridades regulatórias, áreas de maior exposição a riscos e expectativas crescentes quanto à maturidade dos programas de governança em proteção de dados pessoais.
Fiscalização orientada a risco e impacto
O Mapa (Resolução CD/ANPD nº 30/2025) prevê a realização de ao menos 75 atividades de fiscalização, organizadas em quatro eixos estratégicos. São eles a(i) proteção dos direitos dos titulares de dados, (ii) o uso de dados pessoais de crianças e adolescentes no ambiente digital, (iii) o tratamento de dados pessoais pelo Poder Público e (iv) a aplicação de inteligência artificial e tecnologias emergentes.
No primeiro eixo, dedicado à proteção dos direitos dos titulares, a ANPD prioriza tratamentos considerados de alto impacto, como aqueles que envolvem dados biométricos, de saúde e dados financeiros, bem como o uso secundário de informações pessoais para fins de publicidade direcionada e perfilamento. A escolha desses temas revela uma interpretação material da LGPD, segundo a qual a conformidade não se esgota na indicação formal de uma base legal, mas exige a demonstração efetiva de necessidade, proporcionalidade, transparência e mecanismos robustos de governança.
O segundo eixo, a proteção de crianças e adolescentes no ambiente digital, ganha relevo especial após a edição da Lei nº 15.211/2025 (Estatuto Digital da Criança e do Adolescente – ECA Digital), que atribuiu à ANPD competências específicas de monitoramento e fiscalização nesse contexto. O Mapa sinaliza uma atuação rigorosa sobre produtos e serviços digitais voltados ou potencialmente acessíveis a esse público, abrangendo desde configurações de privacidade por padrão até mecanismos eficazes de verificação etária e de mitigação de riscos de exposição a conteúdos inadequados.
Nesse cenário, casos recentes de empresas que anunciaram a restrição de funcionalidades de chat e a adoção de mecanismos mais rigorosos de verificação de idade, ilustram como plataformas digitais vêm antecipando, na prática, exigências regulatórias associadas à proteção de crianças e adolescentes no ambiente on-line. A abordagem da ANPD aponta para uma exigência crescente de medidas estruturais e preventivas, incorporadas desde o desenho dos sistemas e serviços (privacy-by-design), reforçando a centralidade do melhor interesse da criança e do adolescente.
Por sua vez, o terceiro eixo aborda o tratamento de dados pessoais pelo Poder Público, com foco na governança da informação, no compartilhamento de dados e no uso de tecnologias sensíveis, como a biometria. A ANPD demonstra preocupação com projetos de integração de bases, interoperabilidade e soluções tecnológicas adotadas por entes públicos, especialmente quando envolvem múltiplos agentes de tratamento e grandes volumes de dados pessoais, ampliando riscos sistêmicos e desafios de responsabilização.
Já o quarto eixo consolida a inteligência artificial e as tecnologias emergentes como foco central da atuação fiscalizatória da ANPD. Ainda que não exista, até o momento, um marco legal específico plenamente vigente para a inteligência artificial, a Agência deixa claro que sistemas baseados em IA que envolvam tratamento de dados pessoais estarão sujeitos a avaliação rigorosa quanto à transparência, mitigação de vieses, segurança da informação e impactos sobre os direitos dos titulares.
Previsibilidade normativa e consolidação institucional
De forma complementar ao Mapa, a Agenda Regulatória 2025–2026 (Resolução CD/ANPD nº 31/2025) estabelece as prioridades normativas e institucionais da ANPD, cumprindo papel central na organização temporal e estratégica de sua atuação regulatória.
Entre as prioridades já previstas no ciclo regulatório anterior, destaca-se, na prática, o avanço da regulamentação dos direitos dos titulares de dados pessoais. A consolidação desses direitos, que abrangem, entre outros, acesso, correção, portabilidade e a revisão de decisões automatizadas, é elemento-chave para a efetiva operacionalização do regime de proteção de dados no Brasil.
Outro eixo de relevo é a previsão de regulamentação do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), instrumento que vem assumindo importância crescente e caráter estratégico em atividades de maior risco. A própria LGPD já indica hipóteses específicas em que o RIPD poderá ser exigido pela ANPD, como nos tratamentos fundamentados no legítimo interesse (art. 10, § 3º) e, de forma mais ampla, em operações de tratamento realizadas por controladores, inclusive aquelas que envolvam dados pessoais sensíveis (art. 38). A regulamentação desse instrumento tende a aprofundar a lógica de avaliação prévia de riscos e a reforçar modelos de responsabilização baseados em evidências e adequada documentação.
Nesse movimento, sinaliza-se uma transição relevante na atuação da ANPD de uma fase predominantemente estruturante, voltada à edição de normas gerais, para um estágio de consolidação, interpretação e operacionalização da LGPD, especialmente em contextos de alto risco. Nesse sentido, a Agenda aponta para o aprimoramento dos procedimentos administrativos, o refinamento dos critérios de responsabilização e uma integração mais estreita entre as atividades normativas, fiscalizatórias e sancionatórias.
Em conjunto, o Mapa de Temas Prioritários e a Agenda Regulatória funcionam como um guia claro de priorização regulatória. A mensagem institucional é inequívoca: a atuação da ANPD tende a se tornar cada vez mais seletiva, estratégica e orientada a impacto, favorecendo estruturas sólidas de governança em proteção de dados e desencorajando abordagens meramente formais ou reativas de conformidade com a LGPD.
