Insights

ANPD define prioridades regulatórias para os próximos biênios (2025/2026 e 2026/2027)

No biênio 2025/2026 e no biênio 2026/2027, é possível identificar os objetivos e as prioridades regulatórias da Autoridade Nacional de Proteção de Dados (ANPD) para os próximos anos. Nesse contexto, observa-se que as organizações devem se orientar pelas prioridades estabelecidas pela ANPD para o biênio 2025/2026, conforme disposto na Resolução nº 31, de 22 de dezembro de 2025, bem como pelas prioridades definidas para o biênio 2026/2027, previstas na Resolução nº 30, publicada na mesma data.

Diante disso, torna-se fundamental que as organizações estejam atentas aos temas elencados como prioritários pela ANPD, a fim de assegurar a conformidade regulatória e o adequado alinhamento às diretrizes de proteção de dados pessoais.

Temas prioritários e principais impactos – 2025/2026 e Biênio 2026/2027

Proteção de crianças e adolescentes
Empresas que tratam dados pessoais de crianças e adolescentes deverão ser mais transparente no que tange o tratamento de dados pessoais, maior rigor sobre a finalidade do tratamento, empresas como streamings e games deverão implantar mecanismos de validação de idade, implantação de coleta de consentimento do responsável legal quando necessário, com mecanismo de autenticidade e manutenção de consentimento.

Em 14/10/25 foi publicado o Radar Tecnológico 5 – Mecanismos de Aferição de Idade que possui correlação com o ECA Digital (vide art. 9º, 10 e seguintes).

Está previsto para o 1º semestre de 2026 a realização de atividades de monitoramento sobre a adequação às exigências legais da Lei nº 15.211, de 17 de setembro de 2025, de fornecedores de produtos ou serviços de tecnologia da informação direcionados a crianças e a adolescentes, ou de acesso provável por eles.

Inteligência Artificial
Empresas que utilizam IA para tomadas de decisões deverão estabelecer parâmetros mais rígidos para que os direitos dos titulares não sejam desrespeitados, com observância dos princípios da LGPD. As decisões tomadas via IA deverão ser revistas de forma regular para eliminar qualquer caráter discriminatórios ilícito de suas decisões.

Em 2025 foi elaborada uma Nota Técnica consolidando as contribuições recebidas na Tomada de Subsídios sobre Inteligência Artificial. A primeira minuta da regulamentação está em fase final de rascunho perante a Coordenação de Normatização.

Para 2027, está prevista a realização de (ao menos) 20 atividades de fiscalização relacionadas ao tratamento de dados pessoais.

Dados pessoais sensíveis (biométricos) – em ambientes relacionados ao sistema financeiro e à saúde e condomínios
Empresas que utilizam dados sensíveis, principalmente biométricos, deverão ser claros e transparentes referente ao seu tratamento para com o titular de dados, sendo vedado o tratamento de dados para obtenção de vantagens econômicas; com gestão periódica na coleta de consentimento.

O setor de Condomínios deve ser considerado como prioridade, haja vista que a coleta de dados biométricos por esses controladores apresenta características particulares que demandam regulamentação específica. Além disso, por serem ambientes de uso cotidiano e obrigatório, nos quais os titulares (moradores, visitantes e prestadores de serviço) muitas vezes não dispõem de alternativas viáveis ao fornecimento de seus dados.

Essa ausência de escolha reforça a necessidade de garantir que o tratamento seja realizado com base legal adequada, respeitando os princípios da finalidade, necessidade e proporcionalidade previstos na LGPD.

Medidas de segurança e padrões técnicos mínimos
As empresas que executam tratamento de dados, deverão garantir minimamente padrões de segurança e padrões técnicos sobre o tratamento de dados pessoais a fim de garantir a segurança dos dados pessoais à acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei.

Com previsão de divulgação ainda em 2026, a definição dos padrões técnicos mínimos exigíveis encontra-se em fase de elaboração do relatório de Análise de Impacto Regulatório (AIR).

Relatório de Impacto à Proteção de Dados (RIPD)
Empresas que tratam dados pessoais em grande escala e de alto risco, deverão elaborar o relatório de impacto (RIPD) das atividades, como forme de mensurar o impacto do tratamento de dados da atividade. O objetivo da ANPD é regulamentar o procedimento para solicitação e elaboração do Relatório de Impacto à Proteção de Dados Pessoais, nos termos do disposto nos artigos 10, §3º e 38.

De acordo com a última atualização divulgada em setembro/2025, a regulamentação encontra-se em etapa de finalização de elaboração do relatório de Análise de Impacto Regulatório (AIR)

Agregadores de dados pessoais e hipóteses legais
Empresas que realizam raspagem de dados ou de alguma forma possuem agregadores de dados, deverão se atentar a coletar somente o necessário, visando a transparência sobre a coleta e limitando o uso. 

O fornecimento, pela ANPD, de orientação clara acerca das medidas de transparência a serem adotadas, das hipóteses legais adequadas aos tratamentos de dados pessoais realizados pelos agregadores e dos limites ao uso de dados públicos e tornados manifestamente públicos, entre outros aspectos, é essencial para melhor guiar os agentes de tratamento e prevenir abusos.

As prioridades estabelecidas pela ANPD reforçam a consolidação da proteção de dados como elemento estratégico de governança, exigindo das organizações uma postura preventiva, estruturada e alinhada às diretrizes regulatórias em evolução.

Acompanhar a evolução regulatória é essencial para decisões seguras e sustentáveis.
Seguimos compartilhando análises, informativos e conteúdos técnicos sobre proteção de dados, tecnologia, compliance e governança.

Conteúdo relacionado

22 de janeiro de 2026

PDK Advogados recebe reconhecimento internacional no Global 100 – 2026

8 de janeiro de 2026

STF veda cobrança retroativa da contribuição assistencial e consolida critérios para sua aplicação

22 de dezembro de 2025

REARP e a Lei nº 15.265/2025: atualização patrimonial como decisão jurídica, fiscal e estratégica

MENU

Fale conosco
+55 (21) 99073 4906
contato@pdka.com.br