ColunistasNews
Tendência

ANPD agora é agência reguladora: o mapa que define quem será fiscalizado em 2026 e 2027

Por Rodrigo Rocha

A proteção de dados no Brasil saiu do papel. Com novo status institucional e uma lista pública de prioridades, a ANPD anunciou onde vai olhar primeiro, e a segurança da informação virou a linha de frente dessa conta.

Durante muito tempo tratamos a Lei Geral de Proteção de Dados como um projeto de compliance, algo restrito ao departamento jurídico. Isso acabou. Em 24 de dezembro de 2025, a ANPD publicou, por meio da Resolução CD/ANPD nº 30/2025, o Mapa de Temas Prioritários para o biênio 2026-2027, um documento que lista abertamente onde a Autoridade vai concentrar sua fiscalização. Poucas semanas depois, em fevereiro de 2026, o Congresso aprovou a conversão da Medida Provisória 1.317/2025 (editada em setembro de 2025), transformando a ANPD em agência reguladora de fato, com autonomia técnica e financeira, carreira própria e novos cargos. Em resumo: a autoridade ganhou músculo institucional e, ao mesmo tempo, avisou publicamente onde vai bater primeiro.

O Mapa define quatro eixos de fiscalização, e vale conhecê-los com clareza. O primeiro é o dos direitos dos titulares, com atenção reforçada ao tratamento de dados sensíveis, especialmente biométricos, de saúde e financeiros. O segundo é a proteção de crianças e adolescentes no ambiente digital. O terceiro é o tratamento de dados pessoais pelo Poder Público. E o quarto é a inteligência artificial e as tecnologias emergentes aplicadas ao tratamento de dados. A ANPD estima realizar ao menos 75 atividades de fiscalização ao longo do biênio, distribuídas entre esses eixos. A mudança de método é o ponto central: a fiscalização deixou de ser apenas reativa, aquela que só começava depois de uma denúncia ou de um vazamento, e passou a ser temática e planejada, escolhendo setores e temas de forma proativa.

Para o gestor de TI e o CISO, isso reordena prioridades. Se a sua empresa processa biometria, dados de saúde ou informações financeiras, ou se aplica IA sobre dados pessoais, você acabou de subir na fila. E as infrações mais autuadas pela ANPD não são tecnicalidades jurídicas distantes: falta de base legal para o tratamento, vazamento de dados, ausência de transparência e, de forma recorrente, segurança da informação precária. Ou seja, boa parte do que a Autoridade pune é, na origem, falha de segurança. As multas chegam a 2% do faturamento, limitadas a R$ 50 milhões por infração, e a dosimetria pondera justamente as medidas de proteção que estavam em vigor no momento do incidente.

Já abordei aqui no Café com Bytes, ao tratar da dupla extorsão e da conta da ANPD, como todo incidente relevante hoje é, antes de tudo, um incidente de dados pessoais. O Mapa de Temas Prioritários confirma esse recado por outro caminho: agora sabemos, com antecedência, quais setores e temas estão no radar. Preparar-se é menos sobre papel e mais sobre postura de segurança. Vulnerability Assessment contínuo e documentado fecha portas antes do ataque e, não menos importante, serve como evidência de diligência diante da Autoridade. SIEM e EDR/XDR sustentam a capacidade de detectar e dimensionar um incidente a tempo de notificar dentro do prazo. PAM e MFA reduzem a exposição de acessos privilegiados, um vetor clássico de vazamento. E a governança de dados, saber o que se coleta, onde se guarda e por quanto tempo, transforma a conformidade em consequência natural de uma casa organizada, não em corrida de última hora.

Se a ANPD batesse à sua porta amanhã dentro de um dos quatro eixos prioritários, você apresentaria evidências de uma segurança madura ou descobriria suas lacunas junto com o auditor? Agradeço por acompanhar mais um artigo do Café com Bytes. Se esse tema fizer sentido para alguém da sua rede, compartilhe e deixe seu comentário.

Rodrigo Rocha

Co-fundador e Head de Soluções de Cibersegurança da Gruppen it Security

Fontes

Senado aprova MP que transforma a ANPD em agência e cria 200 cargos (Senado Notícias)

Congresso aprova MP que transforma a ANPD em agência reguladora (gov.br/ANPD)

ANPD publica Mapa de Temas Prioritários para o biênio 2026-2027 (gov.br/ANPD)

ANPD define 75 fiscalizações para biênio 2026-2027; confira prioridades (TELETIME)

ANPD 2026: como a nova agência reguladora está multando empresas (DPOnet)

Rodrigo Rocha

Atuo há mais de duas décadas na área de tecnologia e cibersegurança, ajudando organizações a evoluírem sua postura de proteção com foco em resultados reais. Sou co-fundador da Gruppen IT Security e graduando em Psicologia, unindo segurança digital, comportamento humano e gestão do risco de forma integrada. Escrevo sobre cibersegurança aplicada, cultura digital e resiliência no Café com Bytes.

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo