Modelo Fotos Site
Principal
Seta
Dia Nacional da Proteção de Dados: o que mudou desde a entrada em vigor da LGPD?

Dia Nacional da Proteção de Dados: o que mudou desde a entrada em vigor da LGPD?

17/07/2026

Autores

Dante Machado - Associado

Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), em 2020, o ambiente brasileiro de proteção de dados tornou-se mais estruturado, regulado e fiscalizado. Confira cinco mudanças que ajudam a compreender o cenário atual e seus impactos para as empresas. 

  1. A proteção de dados ganhou mais peso institucional

A proteção de dados passou a ocupar posição mais relevante na estrutura jurídica e regulatória brasileira. A Emenda Constitucional nº 115/2022 reconheceu expressamente a proteção de dados pessoais como direito fundamental, reforçando sua importância na interpretação de leis, políticas públicas e atividades empresariais. 

Esse movimento foi acompanhado pelo fortalecimento da autoridade responsável pelo tema. Depois de a autoridade ter sido transformada em autarquia de natureza especial em 2022, a Lei nº 15.352/2026 determinou que a Agência Nacional de Proteção de Dados (ANPD) está submetida ao regime das agências reguladoras e dotada de autonomia funcional, técnica, decisória, administrativa e financeira.  

Hoje, a ANPD ocupa posição mais ampla na regulação do ambiente digital. Além de regulamentar e fiscalizar o cumprimento da LGPD e definir prioridades para sua atuação fiscalizatória, a Agência passou a supervisionar a aplicação do ECA Digital. 

Na prática, as empresas passaram a lidar com um regulador mais estruturado, com agenda própria e capacidade ampliada para acompanhar mercados e atividades que envolvem o uso de dados pessoais.  

  1. As obrigações da LGPD ganharam regras específicas

A ANPD regulamentou temas centrais para a implementação e a manutenção dos programas de privacidade. Entre as principais normas publicadas, destacam-se: 

  • sanções administrativas: a Resolução CD/ANPD nº 4/2023 definiu os critérios para o cálculo e a aplicação das penalidades previstas na LGPD; 
  • incidentes de segurança: a Resolução CD/ANPD nº 15/2024 estabeleceu critérios para identificar incidentes que possam acarretar risco ou dano relevante, regulamentou a comunicação à ANPD e aos titulares e disciplinou a manutenção dos respectivos registros; 
  • atuação do encarregado: a Resolução CD/ANPD nº 18/2024 regulamentou sua indicação e atuação, os deveres dos agentes de tratamento, a divulgação de sua identidade e informações de contato e situações de conflito de interesses; 
  • transferências internacionais: a Resolução CD/ANPD nº 19/2024 regulamentou decisões de adequação, cláusulas-padrão contratuais, cláusulas específicas e normas corporativas globais.  

Essas regulamentações tornaram mais claras as medidas esperadas dos agentes de tratamento e geraram a necessidade de rever políticas, contratos, planos de resposta a incidentes, estruturas de governança e procedimentos internos. 

Para as empresas, a conformidade passou a depender não apenas da observância da LGPD, mas também do acompanhamento das normas, orientações e decisões da ANPD aplicáveis às suas atividades, com processos internos capazes de demonstrar como essas exigências são efetivamente cumpridas. 

  1. A fiscalização passou a produzir efeitos concretos

A atuação fiscalizatória da ANPD passou a combinar, de forma mais concreta, medidas de monitoramento, orientação, prevenção e sanção. Entre seus instrumentos estão determinações de regularização, medidas preventivas, planos de conformidade e processos administrativos sancionadores. 

Em certos casos, a Agência já determinou preventivamente a suspensão de atividades, condicionando sua retomada à adoção de medidas como: 

  • ampliação da transparência;  
  • facilitação do exercício do direito de oposição;  
  • apresentação de teste de balanceamento do legítimo interesse;  
  • adoção de salvaguardas, inclusive quanto a dados de menores de 18 anos;  
  • cumprimento e monitoramento de plano de conformidade. 

O cenário exige que as organizações estejam preparadas não apenas para declarar conformidade, mas para apresentar registros, avaliações e evidências que sustentem as decisões adotadas em suas atividades de tratamento. 

  1. A transferência internacional de dados pessoais ganhou regulação específica

A regulamentação das transferências internacionais alterou a forma como as empresas devem estruturar operações que envolvem o envio ou a disponibilização de dados pessoais para outros países, inclusive entre empresas do mesmo grupo e na contratação de fornecedores internacionais de tecnologia, armazenamento e processamento em nuvem. 

A Resolução CD/ANPD nº 19/2024 regulamentou procedimentos aplicáveis às decisões de adequação, às cláusulas-padrão contratuais, às cláusulas contratuais específicas e às normas corporativas globais, sem afastar os demais mecanismos previstos na LGPD. Com isso, as empresas passaram a precisar identificar seus fluxos internacionais de dados, verificar a base legal e o mecanismo de transferência aplicáveis e adotar as medidas contratuais, de governança e de transparência correspondentes. 

Particularmente em relação ao âmbito territorial e institucional abrangido pela Resolução CD/ANPD nº 32/2026, que inclui os Estados-Membros da União Europeia, Islândia, Liechtenstein e Noruega, bem como as instituições, órgãos e agências da União Europeia, a ANPD reconheceu a existência de grau adequado de proteção de dados. Na prática, as transferências abrangidas podem ser realizadas com fundamento direto nessa decisão, sem a necessidade de adoção de mecanismos adicionais, como cláusulas-padrão contratuais ou normas corporativas globais. 

Com isso, o Brasil passou a contar com uma estrutura regulatória mais definida para a circulação internacional de dados, combinando proteção aos titulares, maior segurança jurídica e integração com fluxos globais de informação. 

  1. Novas tecnologias ampliaram a agenda de proteção de dados

A evolução tecnológica ampliou as situações em que a proteção de dados deve ser considerada. A atuação da ANPD passou a abranger não apenas as informações utilizadas, mas também a forma como produtos e serviços digitais são desenvolvidos, os resultados produzidos por sistemas automatizados e os riscos criados para diferentes grupos de titulares. 

Esse movimento pode ser observado em diferentes frentes: 

  • Inteligência artificial: a ANPD já analisou, em casos concretos, o uso de dados pessoais para treinamento de sistemas de IA e adotou medidas relacionadas à base legal, transparência, exercício de direitos e governança. A Agência também realizou tomada de subsídios para apoiar o desenvolvimento de parâmetros regulatórios e orientativos sobre a aplicação da LGPD ao treinamento e ao uso de sistemas de IA.   
  • Biometria e tecnologias emergentes: a ANPD vem produzindo estudos de caráter não vinculante sobre biometria e reconhecimento facial, IA generativa e neurotecnologias, sinalizando temas que já impactam ou podem impactar a proteção de dados.  
  • Produtos e serviços digitais direcionados a crianças e adolescentes ou de acesso provável por esse público: o ECA Digital passou a exigir que fornecedores considerem a proteção desse público desde a concepção dos serviços, com deveres relacionados à prevenção de riscos, configurações protetivas, supervisão parental, publicidade e aferição de idade. Em março de 2026, a ANPD publicou orientações preliminares sobre mecanismos confiáveis de aferição de idade, que servirão de referência para suas atividades de monitoramento até a edição das orientações definitivas.  

Quais são as próximas frentes de atuação da ANPD? 

A Agenda Regulatória 2025–2026 e o Mapa de Temas Prioritários 2026–2027 indicam duas frentes complementares de atuação da ANPD: o desenvolvimento de novas regras e a intensificação da fiscalização. 

No campo regulatório, permanecem temas como direitos dos titulares, relatórios de impacto, biometria, padrões mínimos de segurança, inteligência artificial, tratamentos de alto risco, compartilhamento de dados pelo Poder Público, dados de saúde, agregadores de dados pessoais e obrigações relacionadas ao ECA Digital. 

Para a fiscalização, a ANPD estabeleceu quatro prioridades: 

  • direitos dos titulares, com ações voltadas especialmente a tratamentos de dados biométricos, de saúde e financeiros;  
  • proteção de crianças e adolescentes no ambiente digital, com monitoramento da adequação ao ECA Digital e ações relacionadas a configurações protetivas, supervisão parental e mecanismos de aferição de idade;  
  • tratamento de dados pessoais pelo Poder Público, com foco no compartilhamento de dados, na adoção de salvaguardas técnicas, na governança e no uso de dados biométricos;  
  • inteligência artificial e tecnologias emergentes, com intensificação da supervisão dos tratamentos de dados pessoais realizados nesse contexto. 

Para as organizações, o cenário reforça a necessidade de acompanhar a evolução regulatória e revisar periodicamente seus programas de privacidade, especialmente diante de novos projetos, tecnologias e modelos de uso de dados. 

Continue lendo

Ver todas as publicações
Seta
Seta