A maioria das empresas ainda trata proteção de dados como um assunto distante. Algo para resolver “depois”, quando sobrar tempo, orçamento ou pressão. O problema é que o “depois” ficou mais perto. Em dezembro de 2025, a ANPD publicou a Resolução CD/ANPD nº 30, que aprovou o Mapa de Temas Prioritários para 2026–2027. Na prática, esse mapa organiza a atuação fiscalizatória da autoridade para os próximos dois anos. Somando as metas numéricas do anexo, o plano chega a até 110 atividades de fiscalização, distribuídas em quatro frentes prioritárias.
Isso não significa que todas as empresas serão fiscalizadas amanhã. Mas significa algo talvez mais importante: a fiscalização ficou mais previsível. E, quando a autoridade mostra com clareza onde pretende olhar, continuar despreparado deixa de ser um descuido e passa a ser uma escolha arriscada.
O que o governo definiu, na prática?
A resolução aprovou o Mapa de Temas Prioritários da ANPD para o biênio 2026–2027. O documento estabelece quatro grandes frentes de atenção: direitos dos titulares, proteção de crianças e adolescentes no ambiente digital,
Dentro dessas frentes, o anexo da resolução detalha metas concretas. Só no tema “direitos dos titulares”, a ANPD prevê 25 atividades de fiscalização em temas diversos, 10 relacionadas a dados biométricos, de saúde ou financeiros, e 5 relacionadas ao uso secundário de dados pessoais para publicidade direcionada, especialmente com técnicas de perfilamento.
Na frente de crianças e adolescentes, o foco inclui serviços digitais direcionados a esse público, ou com provável acesso por ele, com verificação de modelo mais protetivo por padrão, supervisão parental e medidas para impedir acesso a conteúdos impróprios, inclusive mecanismos de aferição de idade. Já no eixo do Poder Público, a prioridade recai sobre compartilhamento de dados, salvaguardas técnicas e governança. E no tema de IA e tecnologias emergentes, a ANPD prevê 20 atividades de fiscalização relacionadas ao
Por que isso importa mesmo para quem acha que “não mexe com LGPD”?
Porque quase toda empresa mexe com dados pessoais mais do que imagina. Cadastro de clientes, CRM, campanhas de marketing, formulários, atendimento por WhatsApp, planilhas internas, acesso de colaboradores, biometria, histórico financeiro, dados de saúde ocupacional, fornecedores, plataformas com login,
O novo mapa da ANPD mostra que a fiscalização não está limitada a uma visão estreita de “vazamento de dados”. O foco inclui também justificativa de uso, publicidade direcionada, perfilamento, proteção de crianças e adolescentes, biometria, governança e IA. Em outras palavras: o problema não é só sofrer um incidente. O problema também é não conseguir explicar, provar e sustentar as decisões que a empresa já toma todos os dias com dados pessoais.
Os 4 sinais do que realmente vai entrar no radar
1. Não basta coletar dados. Vai ser preciso explicar o porquê
O tema “direitos dos titulares” deixa claro que a autoridade quer olhar para a forma como as organizações tratam dados e respondem aos direitos das pessoas. Isso inclui atenção reforçada a dados biométricos, de saúde e financeiros, além de publicidade direcionada com uso secundário de dados e perfilamento. Para a empresa, a mensagem é simples: não basta ter dado. É preciso saber por que ele existe na operação, como é usado e como esse uso pode ser justificado.
2. Crianças e adolescentes deixaram de ser um assunto periférico
A resolução coloca o ambiente digital infantil e juvenil como prioridade específica. O foco não está apenas em empresas “infantis”. Ele alcança fornecedores de produtos ou serviços de tecnologia com acesso provável por crianças e adolescentes. Isso amplia a zona de atenção para plataformas, aplicativos, serviços online, ambientes educacionais, marketplaces e experiências digitais em geral.
3. IA entrou de vez no mapa de fiscalização
A ANPD incluiu inteligência artificial e tecnologias emergentes como um dos quatro temas prioritários do biênio. Isso importa porque muitas empresas já usam IA antes mesmo de terem uma governança mínima sobre dados, retenção, bases legais, acessos e avaliação de risco. A autoridade está sinalizando que inovação sem controle não será tratada como maturidade digital, mas como ponto de atenção regulatória.
4. Fiscalização não começa na multa. Começa na exposição
A própria ANPD afirmou que as atividades de fiscalização envolvem monitoramento, orientação e atuação preventiva. Isso quer dizer que o risco para a empresa não nasce apenas quando uma sanção chega. Ele começa antes, quando a organização percebe que não consegue responder com segurança a perguntas básicas sobre seu
Então o que significa estar pronta?
Estar pronta não é ter um documento bonito salvo em PDF. Também não é instalar banner de cookie e achar que o problema acabou. Estar pronta é conseguir demonstrar controle mínimo sobre a operação.
Na prática, isso passa por perguntas objetivas:
Sua empresa sabe onde os dados pessoais estão?
Consegue explicar por que cada dado é coletado?
Tem clareza sobre quem acessa o quê?
Possui critérios de retenção e descarte?
Mantém contratos minimamente alinhados com operadores e fornecedores?
Consegue atender um pedido de
Tem visibilidade sobre o uso de IA, automações e ferramentas novas que tratam dados?
Se a resposta para várias dessas perguntas ainda é “não sei”, o risco não está no futuro. Ele já está no presente.
O que fazer agora, sem cair em paralisia
A boa notícia é que preparação não precisa começar com um projeto gigante. O primeiro passo é ganhar visibilidade operacional. Antes de falar em “compliance completo”, a empresa precisa enxergar sua própria realidade: processos, fluxos, sistemas, bases de dados, fornecedores, acessos, pontos sensíveis e usos mais críticos. Só depois disso as decisões deixam de ser intuitivas e passam a ser gerenciáveis.
É exatamente aqui que muitas empresas travam. Não porque faltam normas. Mas porque falta método para transformar um tema complexo em ações claras. Quando a empresa organiza o inventário de dados, entende seus fluxos, cruza riscos e mantém evidências mínimas, ela sai do escuro. E sair do escuro já é um enorme avanço antes de qualquer fiscalização.
O recado real da resolução
O ponto mais importante dessa resolução não é o número 110, embora ele chame atenção. O ponto mais importante é o seguinte: a autoridade mostrou onde quer olhar. E, quando o foco regulatório fica explícito, as empresas ganham uma oportunidade rara de se antecipar.
Quem esperar uma notificação para começar provavelmente vai organizar a casa sob pressão. Quem começar agora faz isso com mais lucidez, menos improviso e muito mais chance de construir governança de verdade.
Conclusão
A pergunta certa não é se a sua empresa será fiscalizada. A pergunta certa é: se hoje alguém pedir explicações sobre como sua operação trata dados pessoais, você conseguiria responder com segurança?
Porque, a partir do momento em que o governo define prioridades, o risco deixa de ser abstrato. Ele ganha direção.
E empresa preparada não é a que sabe tudo sobre a lei. É a que consegue mostrar que entende a própria operação.
FAQ
O que a ANPD definiu na Resolução CD/ANPD nº 30?
A resolução aprovou o Mapa de Temas Prioritários para 2026–2027, que orienta os estudos e o planejamento das atividades fiscalizatórias da ANPD no biênio.
Quais temas entraram no foco da fiscalização da ANPD?
Os quatro temas prioritários são: direitos dos titulares, proteção de crianças e adolescentes no ambiente digital,
De onde vem o número de até 110 ações de fiscalização?
Esse número vem da Nota Técnica nº 54/2025/FIS/CGF/ANPD, que propõe como meta a realização total de 110 atividades de fiscalização no biênio 2026–2027.
A fiscalização vai olhar apenas para vazamentos de dados?
Não. O material oficial mostra foco também em temas como dados biométricos, de saúde e financeiros, uso secundário de dados para finalidades incompatíveis, crianças e adolescentes no ambiente digital, Poder Público e IA/tecnologias emergentes.
IA entrou oficialmente no radar da ANPD?
Sim. O mapa aprovado inclui inteligência artificial e tecnologias emergentes como um dos quatro temas prioritários, e a nota técnica prevê 20 atividades de fiscalização relacionadas a esse contexto.
Como uma empresa pode começar a se preparar?
O primeiro passo é ganhar visibilidade sobre a operação: onde os dados estão, por que são coletados, quem acessa, quais processos usam dados sensíveis, onde há compartilhamento com terceiros e como responder a direitos dos titulares. Esse é o ponto de partida para sair da reação e entrar em governança. Essa orientação é uma inferência prática consistente com o foco oficial da ANPD em monitoramento, orientação, prevenção e fiscalização.