Introdução
O ano de 2025 foi bastante intenso para aqueles que trabalham nas áreas de proteção de dados pessoais, da preservação da privacidade e da segurança da informação, especialmente para o setor público. Este artigo propõe discutir alguns dos avanços observados, os desafios que estão colocados e as perspectivas para 2026, que promete ser um ano ainda mais intenso do que este que se encerra.
1. Avanços em proteção de dados pessoais observados em 2025
Em 2025, a LGPD (lei Federal 13.709 de 14/8/18) completou sete anos de publicação e cinco anos de existência da ANPD. Neste ano, a Agência (que trocou a nomenclatura de “Autoridade” para “Agência”) divulgou o seu balanço de cinco anos da ANPD1 com muitas informações interessantes sobre os avanços da agência regulatória e fiscalizatória nacional sobre o tema. Alguns destaques merecem destaques:
1.1. Ampliação da estrutura administrativa da ANPD, com a realização do PSS - Processo Seletivo Simplificado, que permitiu a contratação de profissionais temporários de nível superior, visando suprir a carência imediata de pessoal técnico. Além disso, a regulamentação da carreira de especialista em regulação de dados pessoais e tecnologia da Informação por meio da medida provisória 1.240/24 (posteriormente convertida na lei 14.904/24) ampliará a estabilidade técnica e institucional da autarquia.
1.2. Principais regulamentos, notas técnicas e guias orientativos publicados em 2025:
O ano de 2025 não se destacou pela quantidade de regulamentos publicados, registrando apenas dois: (i) resolução CD/ANPD 31, de 22/12/25 - altera a Agenda Regulatória para o biênio 2025-2026; e (ii) resolução CD/ANPD 30, de 23/12/25 - aprova o Mapa de Temas Prioritários para o biênio 2026-2027.
Contudo, houve algumas iniciativas importantes que ampliaram a maturidade do ambiente regulatório da proteção de dados pessoais, entre as quais destacam-se: (i) a publicação de três edições da revista Radar Tecnológico (IA generativa, neurotecnologias e mecanismos de aferição de idade); (ii) divulgação pela União Europeia de versão preliminar de decisão de adequação Iniciativa reconhece que o nível de proteção de dados assegurado no Brasil é equivalente ao europeu, o que se traduz em mais confiança e segurança jurídica para as transferências internacionais de dados; (iii) consultas da ANPD à sociedade para tomada de subsídios para elaboração de normativos, seja através de audiências públicas (minuta do regulamento sobre o compartilhamento de dados pessoais no setor público), seja através de consultas públicas (também para o regulamento sobre o compartilhamento de dados pessoais no setor público) ou seja através das tomadas de subsídios (ECA Digital, Dados Biométricos e revisão da Agenda Regulatória para o biênio 2025/2026). Até a data em que este artigo foi escrito, não foram publicados novos guias orientativos nem cartilhas.
1.3. Monitoramento: Requerimentos (petições e denúncias) de titulares
De acordo com o balanço de cinco anos de atuação da ANPD, as ações de monitoramento procuram identificar práticas inadequadas e potenciais riscos, produzindo informações relevantes para as demais ações fiscalizatórias e assegurando que os agentes de tratamento de dados pessoais atuem em conformidade com as obrigações legais previstas na LGPD. De acordo com o mesmo documento, em 2025 a ANPD registrou um número significativo de requerimentos, cerca de 8.700 (somatório de denúncias e de petições) de titulares de dados contra agentes de tratamento.
Figura 01: Total de requerimentos apresentados pelos titulares em 2025 para a ANPD
Fonte: Balanço - 05 anos de atuação da ANPD, página 25
O aumento de requerimentos sinaliza que os titulares de dados estão aprendendo a exercer mais ativamente seus direitos perante à ANPD. Contudo, essa ampliação das petições e reclamações não necessariamente tem se convertido em processos fiscalizatórios e administrativos sancionadores, uma vez que estes não aumentaram na mesma proporção do que as demandas feitas pelos titulares, conforme se verifica a seguir.
1.4. Fiscalização: Processo fiscalizatório e administrativo sancionador
De acordo com o Balanço de 05 anos de atuação da ANPD, “constatada a inobservância da legislação por parte dos agentes regulados, a ANPD poderá instaurar um processo administrativo sancionador. Via de regra, tais procedimentos têm curso quando se verifica a insuficiência de resposta adequada às medidas de regulação responsiva adotadas no âmbito da fiscalização, bem como nos casos de descumprimento das determinações corretivas determinadas pela Agência.” Dessa forma, não necessariamente um requerimento do titular, ou uma fiscalização, virará um processo administrativo sancionador. Contudo, observa-se ainda um número muito tímido de processos administrativos sancionatórios abertos pela ANPD, conforme se verifica nas imagens abaixo.
Figura 02: Total de processos de fiscalização, preparatório e sancionador analisados pela Coordenação Geral de Fiscalização da ANPD no período 2020-2025
Fonte: Portal do Painel da Fiscalização da ANPD - Acesso em 27/12/25
Figura 03: Total de processos administrativos sancionatórios analisados pela Coordenação Geral de Fiscalização da ANPD no período 2020-2025
Fonte: Portal do Painel da Fiscalização da ANPD - Acesso em 27/12/25
Conforme pode se observar na imagem acima, apenas dois processos administrativos sancionadores foram abertos em 2025, o que é um número ainda bastante incipiente, especialmente porque se nota um aumento substantivo de processos fiscalizatórios abertos pela ANPD em 2025 (27 processos fiscalizadores, o que é maior do que o somatório de todos os processos abertos nos anos de 2020 a 2024). Até o momento da finalização deste artigo, apenas 08 processos administrativos sancionadores chegaram até o final, com o trânsito em julgado na esfera administrativa2.
1.5. Monitoramento: Incidentes de segurança
De acordo com as informações disponibilizadas no Portal de Incidentes Comunicados para a ANP3, foram comunicados à Autoridade 1.508 incidentes de segurança (até a data da finalização deste artigo), refletindo o amadurecimento das empresas na notificação de vazamentos e vulnerabilidades.
Figura 04: Total de incidentes incidentes de segurança recebidos pela Coordenação Geral de Fiscalização da ANPD no período 2020-2025
Fonte: Portal do Painel do Agente de Tratamento da ANPD - Acesso em 27/12/25
Figura 05: Tipo de incidentes incidentes de segurança recebidos pela Coordenação Geral de Fiscalização da ANPD no período 2020-2025
Fonte: Portal do Painel do Agente de Tratamento da ANPD - Acesso em 29/12/25
O número de incidentes comunicados permaneceu estável entre 2023 e 2025, ficando na média dos 350 incidentes comunicados por ano, com um pequeno aumento de 8% de 2024 para 2025. Ainda predominam os incidentes envolvendo sequestro de dados (ransomware) e de exploração de vulnerabilidades de sistemas de informações, além do roubo de credenciais e fraudes com base em engenharia social. Dessa forma, as vulnerabilidades dos ativos informacionais digitais continuam sendo os temas mais comuns para comunicação de incidentes à ANPD, ampliando o alerta de que as medidas de segurança da informação precisam ser objeto de maior atenção por parte dos agentes de tratamento de dados.
Conclui-se, a partir dos números apresentados no balanço de cinco anos da ANPD e das informações disponibilizadas publicamente no portal da Agência, que em 2025 houve uma atuação mais tímida no que tange à publicação de normativos e à abertura de novos processos administrativos sancionadores. Porém, a agência atuou mais ativamente em criar painéis para disponibilizar números relativos a incidentes comunicados e a processos de fiscalização, ampliando a transparência das suas informações. Ainda, as consultas à sociedade continuam acontecendo regularmente, sobre temas de grande importância. Além disso, os titulares de dados pessoais começam a exercer de maneira mais intensa seu direito de reclamação perante à autoridade fiscalizatória, sinalizando que um novo ciclo de maturidade institucional se inicia no Brasil. Espera-se que o aumento do quadro de pessoal da ANPD em 2026 se reflita em um número maior de processos fiscalizatórios e sancionadores analisados e finalizados, ampliando o avanço institucional da proteção de dados pessoais.
1.6. Atualização da ISO 27.701 e da NIST PF 1.1
No campo das boas práticas, em 2025 ocorreu a publicação da ISO/IEC 27701:2025, ainda sem tradução em português pela ABNT, mas que se encontra em consulta nacional. Entre as mudanças trazidas pela nova diretriz em privacidade, destaca-se que esta não é mais dependente da ISO 27001 - ou seja, empresas podem certificar-se apenas na 27.701, sendo ideal para negócios focados em privacidade.
Ainda, trata-se de uma norma mais robusta e alinhada com legislações como LGPD e GDPR, amplificando a visão de que a privacidade deve ser adotada como pilar estratégico das organizações, além de abordar riscos mais atuais para a proteção dos dados pessoais e da privacidade, tanto no campo das tecnologias emergentes que utilizam IA, para as atividades de processamento automatizado de dados, armazenamento em nuvem e ecossistemas digitais4.
Outro avanço no campo das boas práticas se deu na divulgação do rascunho inicial do NIST Privacy Framework 1.1 (PF 1.1) em 2025, focado em alinhar a gestão de riscos de privacidade com o novo Cybersecurity Framework 2.0 (CSF 2.0), integrando IA e oferecendo um guia flexível para atender requisitos legais e de mercado, como a LGPD. A nova diretriz colocada sob consulta possui foco em IA, abordando especificamente a identificação e gestão de riscos de privacidade. Mantém as funções da versão anterior (identificar, governar, controlar, comunicar, proteger), mas as aprimora e as conecta com as funções do CSF 2.0 (governar, identificar, proteger, detectar, responder, recuperar). E permanece como uma ferramenta voluntária e flexível, adaptável a diferentes necessidades e legislações, como a LGPD no Brasil5.
À medida que as tecnologias avançam, as boas práticas de mercado podem servir de guias interessantes para que agentes de tratamento, de natureza pública ou privada, possam se orientar e seguir aperfeiçoando continuamente seus programas de governança em proteção de dados pessoais e da privacidade - o que é especialmente importante nesse momento em que várias lacunas normativas permanecem, causando muitas dúvidas e inseguranças jurídicas.
1.7. Principais jurisprudências
Em 2025 o tema da LGPD começou a aparecer com mais intensidade nos tribunais, trazendo alguns julgados importantes em Cortes Superiores para o tema da proteção da privacidade e dos dados pessoais.
O primeiro foi o do REsp 2.121.904/SP, relatora ministra Nancy Andrighi, da 3ª turma, na qual se decidiu que a disponibilização para terceiros de informações pessoais armazenadas em banco de dados, sem a comunicação prévia ao titular e sem o seu consentimento, caracteriza violação dos direitos de personalidade e justifica indenização por danos morais.
De acordo com informações do próprio STJ6, o caso teve origem em ação proposta por um consumidor contra uma agência de informações de crédito, sob a alegação de que seus dados pessoais foram divulgados sem autorização. No recurso ao STJ, o consumidor sustentou que a disponibilização de informações cadastrais a terceiros exige o consentimento do titular. Argumentou que tais informações, como o número de telefone, têm caráter sigiloso, e que a divulgação de dados da vida privada em bancos de fácil acesso por terceiros, sem a anuência do titular, gera direito à indenização por danos morais.
A ministra Nancy Andrighi, cujo voto prevaleceu no julgamento, ressaltou que, de acordo com a jurisprudência consolidada do STJ, o gestor de banco de dados regido pela lei 12.414/11 pode fornecer a terceiros apenas o score de crédito, sem necessidade de consentimento prévio do consumidor, e o histórico de crédito, desde que haja autorização específica do cadastrado, conforme prevê o art. 4º, inciso IV, da mesma lei. Porém, as informações cadastrais e de adimplemento registradas nesses bancos de dados não podem ser repassadas diretamente a terceiros, sendo permitido o compartilhamento apenas entre instituições de cadastro, nos termos do art. 4º, inciso III, da lei 12.414/11.
Nancy Andrighi concluiu que o gestor de banco de dados está em desacordo com a legislação ao disponibilizar a terceiros informações cadastrais ou de adimplemento do consumidor, devendo responder objetivamente pelos danos morais causados. Segundo a ministra, esses danos "são presumidos, diante da forte sensação de insegurança" experimentada pela vítima. Trata-se de um precedente muito relevante e que certamente servirá como paradigma de interpretação da LGPD e da Lei do Score de Crédito.
Ainda em 2025, a 3ª turma do STJ voltou a se debruçar sobre o tema, no julgamento do REsp 2.201.694/SP. De acordo com especialista na área7, no voto-vencedor da ministra Nancy Andrighi, o STJ reconheceu o direito à indenização por dano moral decorrente do compartilhamento de informações sobre renda mensal, endereço e telefones pessoais de consumidor a terceiros, mesmo sem a comprovação de prejuízo concreto, entendendo que tal conduta viola a confiança legítima, a privacidade e os direitos da personalidade do titular dos dados
O terceiro julgado por Cortes Superiores em 2025 com matéria transversal à LGPD, foi publicado em março de 2025 pela 4ª turma do TST, decisão nos autos do RRAg-10214-52.2022.5.03.0137, na qual, se decidiu por negar o reconhecimento do vínculo de emprego entre os trabalhadores e a plataforma digital de transporte.
Embora o reconhecimento do vínculo trabalhista ainda seja um ponto de divergência nos tribunais, essa discussão caminha lado a lado com os direitos previstos na LGPD, especialmente o direito à revisão de decisões automatizadas (art. 20), que o titular pode exercer para questionar bloqueios ou suspensões gerados por algoritmos, independentemente da existência de um contrato de emprego formal.
É de se ressalvar que pende de decisão o julgamento do Tema 1.291 no STF, contendo o seguinte título: “Reconhecimento de vínculo empregatício entre motorista de aplicativo de prestação de serviços de transporte e a empresa administradora de plataforma digital”.
Igualmente, é relevante destacar o recente acórdão do STF (AG.REG. NA PETIÇÃO: Pet 6488 DF - DISTRITO FEDERAL) publicado em 6/11/25, estabelecendo que, embora a publicidade dos atos processuais seja a regra após o encerramento das investigações ou o recebimento da denúncia, essa transparência deve limitar-se ao conteúdo útil à persecução penal, protegendo dados pessoais do colaborador que não guardem pertinência temática com o objeto da investigação. Fundamentando-se nos princípios da finalidade, adequação e necessidade previstos na LGPD (Art. 6º, I, II e III) e no critério de utilidade pública da lei de organização criminosa (art. 3º-A).
Assim, a Corte concluiu que a exposição de informações como endereços residenciais, e-mails e telefones particulares configura um devassamento desnecessário da esfera íntima do indivíduo.
Dessa forma, a tese de julgamento consolidou que o levantamento do sigilo não pode abranger dados irrelevantes para o interesse público sem o consentimento do titular ou justificativa legal inequívoca, reafirmando a proteção de dados como um direito fundamental autônomo e um instrumento de controle da função jurisdicional que deve observar a proporcionalidade.
Por fim, no que tange às instâncias inferiores, relativas aos Tribunais de Justiça dos Estados, é possível verificar no painel do Jusbrasil, aumento exponencial de julgados contendo temas afetos à LGPD, como se nota no gráfico abaixo:
Figura 06: Gráfico obtido no Painel Jusbrasil
Fonte: https://is.gd/OHcvoL . Acesso em 29/12/25
1.8. Atuação dos Tribunais de Contas na auditoria de conformidade à LGPD
Outro ponto de destaque do ano de 2025 é a atuação dos Tribunais de Contas nas auditorias de conformidade à LGPD das organizações públicas. De acordo com informações do próprio TCU8, as auditorias realizadas baseiam-se no PAT - Plano Anual de Trabalho 2024 da Rede Integrar, sendo implementada em parceria com alguns TCEs - Tribunais de Contas Estaduais de nove estados da federação aderiram à fiscalização (TCE/AM, TCE/BA, TCE/CE, TCE/PA, TCE/PE, TCE/PR, TCE/RJ, TCE/RN e TCE/SC). Essas auditorias foram realizadas em 845 organizações públicas, que foram avaliadas em nove dimensões de conformidade e foram em seguida classificadas quanto ao seu nível de maturidade institucional: inexpressivo, inicial, intermediário e aprimorado9.
Figura 07: Avaliação das Organizações Públicas Auditadas pelos Tribunais de Contas no quesito planejamento em 2024
Fonte: https://portal.tcu.gov.br/tecnologia-da-informacao/auditoria-sobre-lgpd#painel-nacional-de-implementacao-da-lgpd
Conforme apontado por especialistas10, a existência de selos, certificados e índices não é nova para o Poder Público. Existem diversos instrumentos de políticas públicas, em diversos setoriais específicos, como por exemplo na área ambiental, e que tais instrumentos de políticas públicas podem ser bastante diversos e ter diferentes perspectivas. Certificados, selos, sistemas de monitoramento, sistemas de alertas, são exemplos de instrumentos de políticas públicas, que podem ter uma função informativa. Índices também são considerados instrumentos de informação, pois têm como principal objetivo produzir e dar visibilidade a informações qualificadas e atualizadas.
Os índices têm como vantagens: permitir melhores ações de planejamento e tomada de decisão; orientar e estimular a participação política e o controle social; e produzir resultados perenes, quando resultam em mudanças culturais e comportamentais. Algumas desvantagens que podem ser apontadas são: os resultados podem ser lentos; os custos de monitoramento, manutenção e avaliação da informação podem ser altos, demandando uma grande quantidade de especialistas trabalhando nos dados; os sistemas de monitoramento necessitam de atualização contínua e de capacidade de obtenção das informações muito capilarizada, o que prescinde de uma capacidade instalada muito grande para que possa funcionar.
Dessa forma, a realização dessas auditorias com o objetivo de divulgação dos Índices é muito salutar para as organizações públicas e deve continuar sendo realizada pelas Cortes de Contas Brasil afora, com escopo de ampliação para que mais Estados e municípios sejam avaliados também.
1.9. Papel dos Procons e da Senacon
A atuação dos Procons na proteção de dados pessoais é um dos desdobramentos mais importantes da LGPD, pois ela reconhece que os dados são uma extensão da personalidade do consumidor e, portanto, sua proteção é um direito fundamental.
Embora a ANPD seja o órgão central de regulação, os Procons atuam na ponta, focando especificamente no impacto do tratamento de dados nas relações de consumo. Diferente da ANPD, que foca na conformidade técnica, o Procon aplica sanções baseadas no faturamento da empresa e na gravidade do dano ao consumidor, e podem ser aplicadas independentemente das sanções que a ANPD venha a aplicar.
Em 2025, o Procon carioca intensificou a fiscalização sobre a coleta de dados em farmácias por meio da "Operação CPF Protegido". A atuação do órgão carioca é baseada em uma regulamentação própria (resolução conjunta Sedecon/SMIT 1/2025), que detalha como as farmácias da cidade do Rio devem aplicar a LGPD e o CDC. É possível obter maiores explicações neste artigo: https://www.migalhas.com.br/depeso/435612/a-importancia-da-protecao-dos-dados-pessoais-nas-farmacias.
Alguns pontos de destaque: (i) Preço primeiro, CPF depois: É proibido pedir o CPF antes de informar o valor do produto e o valor do desconto. O consumidor deve decidir se quer dar o dado após saber o benefício real; (ii) Consentimento explícito: A farmácia não pode simplesmente "pedir o CPF na maquininha". Ela deve explicar a finalidade (ex: cadastro em programa de fidelidade) e obter autorização clara. (iii) Cartilhas e transparência: Os estabelecimentos foram obrigados a exibir informações acessíveis sobre como os dados são protegidos.
Importante destacar que a atuação fiscalizatória do Procon carioca teve duas etapas: (i) Fase educativa (julho e agosto/25): Durante 60 dias, os fiscais visitaram as farmácias apenas para orientar e entregar cartilhas, dando prazo para adaptação dos sistemas e treinamento dos funcionários; e (ii) Fase punitiva (setembro/25 em diante): Após o prazo, as multas começaram a ser aplicadas nos casos de reincidência ou descumprimento flagrante.
A confirmar se essa proposta de atuação será adotada por outros Procons no futuro.
1.10. Atuação do CNJ para a conformidade à LGPD dos órgãos jurisdicionais
A atuação do CNJ é o eixo central da conformidade do Poder Judiciário à LGPD. Como órgão de cúpula administrativa, o CNJ não apenas regulamenta, mas também padroniza e fiscaliza como os tribunais e cartórios do país tratam informações pessoais, equilibrando a proteção à privacidade com o princípio constitucional da publicidade dos atos processuais.
Em 2025, foram publicadas diretrizes importantes no que tange à proteção de dados pessoais: (i) resolução CNJ 647/25 (fonte: https://atos.cnj.jus.br/atos/detalhar/6340) , que estabelece regras rígidas para o tratamento e compartilhamento de dados sob custódia do CNJ, focando nos critérios de necessidade, finalidade e proporcionalidade; e (ii) resolução conjunta CNMP-CNJ 13/2025 (fonte: https://dspace.trt12.jus.br/entities/publication/4fcf0334-a409-497b-b6cd-c227e64c7351/full), que regula a captação audiovisual de atos processuais (audiências), protegendo a imagem e a voz dos participantes contra usos indevidos.
O CNJ tem atuado para criar regras únicas, de modo a evitar que cada tribunal interprete a LGPD de uma forma diferente, agindo para manter a conformidade à LGPD e estabelecendo protocolos contra vazamentos e incidentes de segurança. Essa atuação deve se ampliar e se fortalecer, à medida que novas tecnologias e maiores integrações entre bases de dados sejam implementadas.
1.11. Novas legislações publicadas que tenham interface com a proteção de dados pessoais
Em 2025, algumas legislações federais foram publicadas e que são importantes para o ecossistema normativo da proteção de dados pessoais. Uma das mais importantes é a lei Federal 15.211/25 (alterações no Estatuto Digital da Criança e do Adolescente, denominado também como ECA digital), que estabelece regras rígidas de privacidade por padrão, proíbe o uso de dados de crianças para perfis publicitários sem consentimento específico e exige mecanismos robustos de aferição de idade em redes sociais e sites de conteúdo adulto. Embora o ECA digital tenha sido publicado este ano, a vigência só ocorrerá em 2026. Outro normativo importante publicado em 2025 foi o decreto Federal 12.572/25 (nova PNSI - Política Nacional de Segurança da Informação), que instituiu a "terceira geração" da segurança da informação no governo Federal. Por fim, o decreto Federal 12.560/25 (dados em saúde e SUS Digital), que regulamentou a RNDS - Rede Nacional de Dados em Saúde e dispôs sobre as Plataformas SUS Digital, estabelecendo a obrigatoriedade de RIPD - Relatórios de Impacto à Proteção de Dados para qualquer compartilhamento de dados de pacientes e vedando o uso secundário dessas informações para fins incompatíveis com a assistência à saúde.
Essas legislações são muito importantes e representam um avanço nas regulamentações de proteção de dados pessoais, devendo ter impacto no setor pelos próximos meses.
2. Desafios:
Embora 2025 tenha sido um ano com muitos avanços, alguns desafios ainda estão colocados, como por exemplo a aplicação do ECA digital, assim como as competências da ANPD para fiscalizar sua aplicação, que são pontos a serem esclarecidos, uma vez que a nova norma possui ainda muitas zonas cinzentas que precisarão ser melhor interpretadas.
Outro desafio identificado diz respeito à institucionalização da ANPD. A medida provisória 1.317/25, que reformula competências da ANPD, padece do mesmo problema de todas as MPs: a incerteza de como ficará o texto após o término de sua tramitação. Embora o PL tenha sido aprovado com poucas modificações feitas pelo relator no final de 202511, o projeto ainda pode sofrer mais alterações e há ainda uma longa trajetória de tramitação pelas Casas Legislativas antes de chegar na etapa final de sanção presidencial.
Mais um aspecto que merece acompanhamento especial em 2026 é o da modificação na agenda de atuação da ANPD12.
A recente divulgação da alteração da Agenda Regulatória para o biênio 2025-2026 pela resolução CD/ANPD 31, de 22/12/25, trouxe novos paradigmas de atuação da Agência, colocando os seguintes temas para a sua fase 01: direitos dos titulares; RIPD; compartilhamento de dados pelo Poder Público; dados pessoais sensíveis - dados biométricos; medidas de segurança, técnicas e administrativas; Inteligência Artificial; tratamento de dados pessoais de alto risco; organizações religiosas; e anonimização e pseudonimização. Aparentemente, 2026 será um ano denso de normativos emanados da autoridade regulatória.
No que tange ao Mapa de Temas Prioritários da ANPD para o biênio 2026-2027, que servirá de base para a definição das prioridades de atuação das áreas técnicas da ANPD (inclusive para a atuação da área fiscalizatória), este foi recentemente atualizado pela resolução CD/ANPD 30, de 23/12/25, e traz como temas prioritários para 2026 os seguintes: direitos dos titulares; proteção de crianças e adolescentes no ambiente digital; tratamento de dados pessoais pelo Poder Público; e IA e tecnologias emergentes. Observe-se que os temas que serão objeto de atuação prioritário das áreas técnicas da ANPD também serão os mesmos objeto de novas regulamentações (exceto o de crianças e adolescentes, uma vez que em 2025 já houve a aprovação do ECA digital). Assim, é de se esperar que os temas objeto de regulamentos que serão publicados serão também objeto de maior escrutínio na atuação fiscalizatória da Agência.
Em 6/8/25, a Câmara dos Deputados realizou audiência pública, com o tema Estrutura de governança de IA e participação do Presidente da ANPD, Waldemar Gonçalves Ortunho Júnior13. Foi destacado que a Agência já atua ativamente na regulação da IA sempre que há o tratamento de dados pessoais, tendo inclusive intervindo em casos de big techs para remover dados sensíveis utilizados indevidamente sob a base de legítimo interesse.
O diretor-presidente da autarquia defendeu que a ANPD possui a maturidade e a expertise necessárias para ser o órgão central do SIA - Sistema IA, ressaltando a importância de colaborar com outras agências reguladoras e de fortalecer a estrutura e o orçamento da instituição.
Entre as preocupações centrais discutidas estão os riscos de discriminação algorítmica e a falta de transparência, reforçando-se o direito fundamental do titular à explicabilidade em decisões automatizadas, conforme previsto no art. 20 da LGPD.
Por fim, enfatizou-se o papel inovador do sandbox regulatório para IA em parceria com a USP e a inserção da ANPD no cenário internacional através da liderança em redes ibero-americanas e lusófonas de proteção de dados.
Em suma, o cenário regulatório apresentado para 2026 demonstra-se complexo e desafiador, mostrando temas que irão exigir um elevado esforço normativo para regulamentação. A consolidação institucional da ANPD, a interpretação e aplicação de novos marcos - como o ECA digital - e a ampliação da agenda regulatória e fiscalizatória indicam um período de intensa produção normativa e de maior rigor na supervisão. Isso irá exigir dos entes públicos e privados um esforço maior para implementação e fortalecimento da governança de dados pessoais, mostrando a conformidade diante do desafio de reunir a proteção de dados pessoais, IA e direitos fundamentais dos cidadãos.
3. Perspectivas para 2026
E o que se pode esperar do ano de 2026? Certamente um ano agitado e com muitas promessas de novidades na área de proteção de dados pessoais.
Uma aposta quase certa é a de que a atuação fiscalizatória da ANPD deve se amplificar com o aumento de equipe. Com a chegada dos novos contratados terceirizados, e com a promessa de criação de uma nova carreira de especialistas, espera-se que finalmente a Agência consiga dar vazão à demanda represada de requerimentos do titular e de incidentes comunicados, mas ainda não avaliados.
Outro tema que deve ganhar mais densidade em 2026 diz respeito aos critérios para o compartilhamento de dados pessoais entre órgãos e entidades públicas. A minuta de regulamento colocada sob consulta pela ANPD recebeu um grande número de contribuições e questionamentos, conforme se pode verificar na audiência pública realizada em 202514, e tais questões precisam ser esclarecidas antes que a norma seja aprovada pelo Conselho Diretor.
Quando o tema é a segurança da informação, tudo indica que 2026 irá demandar um esforço maior das medidas de cibersegurança, especialmente em relação a intensificação de ataques, golpes e fraudes devido ao uso da inteligência artificial.
Durante o ano de 2025 observou-se um salto qualitativo e quantitativo das práticas criminosas cada vez mais sofisticadas, com o uso de técnicas avançadas de engenharia social, deep fakes e ataques automatizados, capazes de explorar vulnerabilidades técnicas e comportamentais. Esse contexto exige dos entes públicos e privados uma ação preventiva e não somente reativa, baseada numa gestão correta e contínua de riscos e estratégias de segurança mais robustas e integradas.
A proteção de dados pessoais, nesse cenário, passa a depender de maneira direta da articulação entre governança de dados e governança de cibersegurança. As medidas técnicas e administrativas previstas na LGPD tendem a ganhar novo significado diante de um ambiente digital mais complexo e adverso, no qual a própria IA pode ser utilizada tanto como ferramenta de defesa quanto de ataque. É razoável esperar, portanto, um aumento das exigências regulatórias e fiscalizatórias quanto à adoção de controles efetivos, como políticas de gestão de acessos, criptografia, monitoramento contínuo de ambientes, testes de vulnerabilidade, planos estruturados de resposta a incidentes e avaliações de impacto à proteção de dados, sobretudo nas operações que envolvem dados sensíveis e tratamentos considerados de alto risco.
Por falar em dados sensíveis, a saúde pública seguirá enfrentando, em 2026, desafios relevantes relacionados à integração da RNDS - Rede Nacional de Dados em Saúde e à efetiva interoperabilidade entre sistemas. A consolidação da RNDS como infraestrutura estratégica para o SUS amplia significativamente o fluxo e o compartilhamento de dados pessoais sensíveis em larga escala, exigindo elevado grau de coordenação técnica, jurídica e institucional entre União, estados, municípios e entidades parceiras.
A tendência será superar os desafios existentes ligados à heterogeneidade de sistemas, à assimetria de maturidade tecnológica entre os entes federativos ou mesmo dentro de uma própria esfera de governo e à ausência de padrões plenamente harmonizados, o que impacta não apenas a qualidade e a continuidade do cuidado, mas também a segurança da informação e a conformidade com a LGPD, sobretudo no que se refere à minimização de dados, à definição de responsabilidades e à gestão de riscos associados ao acesso e ao compartilhamento dessas informações.
A compatibilidade entre LAI e LGPD precisará avançar, sendo indispensável a divulgação de entendimentos regulatórios da ANPD em parceria com a CGU sobre o tema, além da disponibilização de ferramentas de tarjamento automático de dados pessoais em sistemas de processos digitais (administrativos, judiciais, setoriais).
Teremos afinal um marco regulatório de IA? Ou antes mesmo de ele sair, será necessária uma simplificação das regras setoriais já existentes (como no caso do “omnibus” regulatório da UE)?
Os tribunais enfrentarão cada vez mais ações judiciais tendo a LGPD como tema central da análise jurídica. É de se questionar: Teremos decisões das Cortes Superiores para a aplicação da LGPD em casos de responsabilidade civil e julgados trabalhistas?
A capacitação permanece sendo um dos aspectos mais desafiadores para a proteção de dados pessoais, o que vale tanto para organizações públicas como para privadas. Uma iniciativa interessante é a Trilha de Formação de Proteção de Dados Pessoais implementada pela Prefeitura da Cidade do Rio de Janeiro, que pode ser melhor conhecida no artigo recentemente publicado na Revista Cidade Inova da Fundação João Goulart15. Nela, o ensino da privacidade e da proteção de dados são difundidos para os agentes públicos municipais com o objetivo de que as ações desempenhadas não sejam meramente para cumprir protocolos, mas para que ajam como forma de transformação e empoderamento dos direitos que os titulares de dados pessoais possuem perante o poder público.
Para isto o desenvolvimento de capacitações (cursos e oficinas) e de sensibilizações (encontros e palestras), onde, neste ponto em específico, as sensibilizações irão atingir seu objetivo principal que é levar o conhecimento direto ao cidadão.
Ao elaborar cartilhas com linguagem simples, realizar visitas às escolas com a apresentação de jogos lúdicos que fale sobre o tema, fixar cartazes explicativos para serem dispostos nas entradas das organizações públicas explicando como os dados são tratados são formas de atingir o cidadão e empoderá-los sobre os seus direitos.
Desenvolver e implementar iniciativas de capacitação e sensibilização são fundamentais não apenas para transmitir conhecimento, mas principalmente para engajar colaboradores e ajudar a prevenir golpes e fraudes. As pessoas de uma organização são sempre os ativos informacionais mais relevantes, e cuidar delas é indispensável para que uma organização tenha uma preparação robusta para proteger dados e garantir a segurança da informação.
4. Conclusão
Em suma, o ano de 2025 consolidou a maturidade institucional da proteção de dados no Brasil, equilibrando avanços estruturais significativos com uma postura regulatória e fiscalizatória ainda em fase de transição. O período foi marcado por um aumento expressivo no engajamento dos titulares e pelo fortalecimento da ANPD, que projeta uma atuação mais incisiva para 2026.
Dada a retrospectiva feita neste artigo, 2026 será um ano de alta densidade normativa, com foco prioritário em IA, proteção de dados de crianças e adolescentes e o compartilhamento de informações no setor público. A expectativa central é que o reforço no quadro de pessoal da ANPD finalmente converta o alto volume de denúncias em ações fiscalizatórias e punitivas mais efetivas. E que a cultura de proteção de dados pessoais se consolide e se fortaleça ainda mais no Brasil.
___________
1 Disponível em: https://www.gov.br/anpd/pt-br/centrais-de-conteudo/outros-documentos-e-publicacoes-institucionais/balanco-anpd-5-anos.pdf/view
2 Disponível em: https://www.gov.br/anpd/pt-br/assuntos/fiscalizacao-2/saiba-como_fiscalizamos?_authenticator=b05dbbec15247ce4c8b7065d588ef945f6d4d340
3 Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis
4 Disponível em: https://seginfo.com.br/2025/10/15/nova-versao-da-iso-27701-reforca-independencia-e-exige-mais-maturidade-das-empresas-em-privacidade-de-dados
5 Disponível em: https://www.nist.gov/news-events/news/2025/04/nist-privacy-framework-11-initial-public-draft-available-comment
6 Disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2025/05092025-Disponibilizacao-indevida-de-informacoes-pessoais-em-banco-de-dados-gera-dano-moral-presumido.aspx
7 Disponível em: https://www.migalhas.com.br/amp/coluna/migalhas-de-responsabilidade-civil/446392/responsabilidade-civil-e-protecao-de-dados-pessoais
8 Disponível em: https://portal.tcu.gov.br/tecnologia-da-informacao/auditoria-sobre-lgpd
9 Disponível em: https://portal.tcu.gov.br/tecnologia-da-informacao/auditoria-sobre-lgpd#painel-nacional-de-implementacao-da-lgpd
10 Disponível em: https://www.migalhas.com.br/depeso/435026/licoes-aprendidas-com-a-auditoria-do-tce-rj-relativa-a-lgpd
11 Disponível em: https://www12.senado.leg.br/noticias/materias/2025/12/17/avanca-mp-da-protecao-de-dados
12 Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-mapa-de-temas-prioritarios-para-o-bienio-2026-2027-e-atualiza-agenda-regulatoria-2025-2026
13 Disponível em: https://www.youtube.com/live/BSMQCuqKLQ0?si=zioVOeW4239XKTzC&t=2967
14 Disponível em: https://www.youtube.com/live/I_TLUuuMYIg?si=WYDNxLjtBldS30s
15 Disponível em: https://fjg.prefeitura.rio/wp-content/uploads/sites/37/2025/12/revista_cidade_inova_numero-26-final.pdf