Fale com um especialista
Página inicial / Data Guide / O Mapa de Fiscalização da ANPD para 2026-2027: o que sua empresa precisa saber antes de estar na mira

O Mapa de Fiscalização da ANPD para 2026-2027: o que sua empresa precisa saber antes de estar na mira

Foto de Igor Pacheco

Igor Pacheco

Em 24 de dezembro de 2025, a Agência Nacional de Proteção de Dados (ANPD) publicou, por meio da Resolução CD/ANPD nº 30/2025, o Mapa de Temas Prioritários para o biênio 2026-2027. 

O documento não é apenas um guia interno da agência: ele funciona como um aviso oficial às empresas sobre onde o escrutínio regulatório vai se concentrar nos próximos dois anos.

São ao menos 75 atividades de fiscalização previstas para o período, distribuídas em quatro eixos estratégicos. Para quem ainda trata conformidade com a LGPD como um projeto de longo prazo sem urgência, o mapa reposiciona esse cálculo.

Este artigo detalha cada um dos quatro temas prioritários, os controles que precisam estar documentados antes de uma fiscalização chegar e como converter o mapa da ANPD em um plano de ação real para o seu programa de governança.

O que é o Mapa de Temas Prioritários da ANPD e por que ele importa agora

O Mapa de Temas Prioritários é um instrumento formal de planejamento fiscalizatório. A ANPD o elabora com base em dados concretos coletados pela Coordenação-Geral de Fiscalização ao longo de ciclos anteriores de monitoramento. 

Para o biênio 2026-2027, a base de análise foi o Relatório de Ciclo de Monitoramento 2023-2025 e a Nota Técnica nº 54/2025/FIS/CGF/ANPD, publicados conjuntamente com a resolução.

O que torna o mapa estrategicamente relevante para as empresas é justamente a transparência que ele oferece. 

Ao tornar públicos seus focos de atuação, a ANPD converte o documento em um instrumento de pressão preventiva. 

Empresas que ignorarem os temas listados estão, na prática, ignorando um aviso formal do regulador.

Fonte: Resolução CD/ANPD nº 30/2025 e nota técnica da Coordenação-Geral de Fiscalização.

A primeira sanção pecuniária pública da ANPD foi aplicada em julho de 2023. Desde então, a agência acumulou experiência no processo administrativo sancionador e passou a atuar com maior precisão na escolha dos alvos. O mapa 2026-2027 reflete essa maturidade.

Os 4 temas prioritários do Mapa da ANPD: o que cada um exige da sua empresa

Tema 1: Direitos dos Titulares (40 ações previstas)

Este é o eixo com o maior volume de fiscalizações no biênio. A ANPD concentrará atenção no tratamento de dados biométricos, dados de saúde e dados financeiros, além do uso de dados pessoais para publicidade comercial direcionada e perfilamento de usuários.

Dez das quarenta ações previstas serão dedicadas especificamente a tratamentos que envolvam dados biométricos, de saúde ou financeiros. Outras cinco ações focarão no uso secundário de dados para entrega de publicidade direcionada.

O que isso significa na prática: se sua empresa coleta impressão digital ou reconhecimento facial para controle de acesso, armazena dados de prontuário de saúde de clientes, realiza análise de crédito ou usa cookies e identificadores de comportamento para segmentar campanhas de marketing, você está em um dos focos diretos deste eixo.

Para empresas que usam dados em ações de marketing, o artigo LGPD no marketing: o que pode e o que não pode detalha os limites e as bases legais aplicáveis. 

Controles que precisam estar documentados antes da fiscalização chegar:

  1. Registro das operações de tratamento (ROPA) com finalidade, base legal e dados categorizados por tipo sensível
  2. Mecanismo funcional para atendimento a requisições de titulares, com prazo de resposta documentado
  3. Política de retenção e descarte de dados biométricos e de saúde
  4. Contrato ou adendo de privacidade com prestadores que recebem dados dos titulares
  5. Evidência de consentimento ou base legal alternativa para uso de dados em campanhas de marketing segmentado

O artigo 18 da LGPD lista os direitos dos titulares (confirmação, acesso, correção, portabilidade, eliminação, entre outros). 

A ANPD já sinalizou em ciclos anteriores que a ausência de canais funcionais para o exercício desses direitos é uma das infrações mais frequentes encontradas nas fiscalizações.

Tema 2: Proteção de Crianças e Adolescentes no Ambiente Digital (30 ações previstas)

Este eixo está diretamente vinculado à Lei nº 15.211/2025, o ECA Digital, que atribuiu novas responsabilidades à ANPD quanto ao ambiente digital infantojuvenil. 

São 30 ações de fiscalização previstas para verificar se fornecedores de produtos e serviços de tecnologia da informação direcionados ao público menor de 18 anos estão adotando configurações de privacidade mais protetivas por design e por padrão.

Os pontos verificados incluirão: ferramentas de supervisão parental, mecanismos de aferição de idade para restringir o acesso a conteúdo impróprio e configurações de privacidade ativas por padrão.

A ANPD adotará uma abordagem escalonada para os temas mais complexos do ECA Digital, como a verificação de idade: primeiro regulamentação e orientação, depois fiscalização com possibilidade de sanção. Isso significa que 2026 será um período de preparação, mas o relógio já está rodando.

Controles que precisam estar documentados antes da fiscalização chegar:

  1. Mapeamento se o produto ou serviço atinge, direta ou indiretamente, menores de 18 anos
  2. Revisão dos mecanismos de coleta de dados com atenção à faixa etária dos usuários
  3. Configurações de privacidade ativas por padrão (privacy by default) nos produtos digitais
  4. Política de dados pessoais de crianças e adolescentes com linguagem acessível
  5. Documentação das medidas técnicas para restrição de acesso a conteúdo impróprio, se aplicável

Tema 3: Tratamento de Dados Pessoais pelo Poder Público (20 ações + monitoramento)

O terceiro eixo foca órgãos e entidades públicas, com atenção ao compartilhamento de dados entre entes governamentais, ao uso de dados biométricos por órgãos públicos e à adoção de salvaguardas técnicas na gestão de dados públicos. 

As 20 ações de fiscalização e as atividades de monitoramento estão previstas para o primeiro semestre de 2027.

Para empresas que fornecem soluções de tecnologia, consultoria ou serviços ao setor público, este eixo traz implicações indiretas importantes: o poder público tenderá a exigir maior evidência de conformidade dos seus fornecedores como condição para contratos e renovações.

Controles relevantes para empresas fornecedoras ao poder público:

  1. Cláusulas de proteção de dados nos contratos públicos, incluindo obrigações do operador
  2. Medidas técnicas e organizacionais documentadas para proteção dos dados tratados em nome do poder público
  3. Plano de resposta a incidentes com notificação dentro do prazo de 3 dias úteis (Resolução CD/ANPD nº 15/2024)

Tema 4: Inteligência Artificial e Tecnologias Emergentes (20 ações em 2027)

O quarto eixo representa a fronteira regulatória mais nova e, ao mesmo tempo, a que mais cresce em relevância. As 20 ações de fiscalização relacionadas a IA estão previstas para 2027, o que oferece uma janela de preparação. 

A ANPD sinalizou interesse em supervisionar o uso de sistemas de inteligência artificial no contexto do tratamento de dados pessoais, inclusive quando esses sistemas afetam crianças e adolescentes.

O tema é coerente com a agenda regulatória global: a União Europeia aprovou o AI Act em 2024,com vigência plena prevista para 2027,  e o Brasil avançou com o Projeto de Lei nº 2.338/2023, que trata da regulação de IA no país. 

A ANPD, como guardiã dos dados pessoais nesse ambiente, passará a questionar como os modelos de IA são treinados, quais dados alimentam esses sistemas e quais salvaguardas protegem os indivíduos afetados pelas decisões automatizadas.

Controles que precisam estar documentados antes de 2027:

  1. Inventário dos sistemas de IA que processam dados pessoais, com descrição do propósito e da lógica de decisão
  2. Avaliação de Impacto à Proteção de Dados (DPIA) para sistemas de IA que tomam decisões com efeito sobre titulares
  3. Política de uso ético de IA com governança clara sobre treinamento de modelos
  4. Mecanismo para contestação de decisões automatizadas (art. 20 da LGPD)
  5. Análise de viés e discriminação nos modelos utilizados, especialmente quando envolvem dados sensíveis

Os setores com maior exposição ao risco de fiscalização

Com base nos históricos de requerimentos e comunicações de incidentes registrados pela ANPD nos ciclos anteriores, alguns setores concentram maior atenção do regulador.

Base: Relatórios de Ciclo de Monitoramento da ANPD e Nota Técnica nº 54/2025/FIS/CGF/ANPD.

O ransomware segue sendo a causa principal das Comunicações de Incidentes de Segurança (CIS) reportadas à ANPD, o que conecta diretamente a pauta de segurança da informação ao processo de conformidade com a LGPD. 

Empresas sem controles técnicos adequados de segurança não conseguem cumprir o prazo de 3 dias úteis para notificação de incidente estabelecido pela Resolução CD/ANPD nº 15/2024.

Como transformar o Mapa da ANPD em um plano de ação concreto

Ler o mapa é o primeiro passo. Converter suas diretrizes em ações documentadas é o que distingue uma empresa preparada de uma empresa vulnerável. O roteiro abaixo parte de uma lógica de prioridade por exposição ao risco.

Passo 1: Fazer o diagnóstico de exposição

Antes de qualquer implementação, mapeie quais dos quatro temas prioritários afetam diretamente a operação da sua empresa. 

Uma empresa de saúde digital que usa algoritmos de recomendação pode estar exposta aos quatro eixos simultaneamente.

O artigo como estruturar um programa de proteção de dados na sua empresa apresenta uma metodologia prática para esse diagnóstico inicial. 

Passo 2: Revisar o mapeamento de dados pessoais

O Registro das Operações de Tratamento (ROPA) precisa refletir a realidade atual da empresa, com categorias de dados claramente identificadas. Dados biométricos, de saúde e financeiros precisam de tratamento diferenciado no mapeamento, com base legal documentada separadamente.

Passo 3: Testar o canal de atendimento a titulares

A ANPD verifica na prática se os canais de atendimento funcionam. Teste o processo: envie uma requisição de acesso aos dados pelo canal oficial da empresa e meça o tempo de resposta. Se a equipe não sabe como responder ou o prazo ultrapassa o razoável (15 dias corridos é a referência de mercado), corrija antes da fiscalização chegar.

Passo 4: Documentar a base legal de cada tratamento

Ausência de base legal documentada foi uma das infrações identificadas com maior frequência nos processos da ANPD. Para cada operação de tratamento, especialmente aquelas com dados sensíveis, a base legal precisa estar registrada e justificada.

Passo 5: Estruturar ou revisar o Plano de Resposta a Incidentes

O prazo de 3 dias úteis para comunicação de incidentes à ANPD exige um processo decisório ágil e documentado. O plano precisa definir quem detecta, quem avalia a gravidade, quem decide pela comunicação e quem notifica a ANPD e os titulares afetados.

Passo 6: Nomear e publicar o DPO

A ausência de DPO foi tratada como infração autônoma no caso Telekall, um dos primeiros processos sancionadores da ANPD. 

A Resolução CD/ANPD nº 18/2024 regulamentou as obrigações do encarregado de dados, incluindo requisitos de qualificação e responsabilidades específicas. O nome e o contato do DPO precisam estar publicados no site da empresa.

Para quem ainda está avaliando entre um encarregado interno e externo, o artigo DPO terceirizado vs DPO interno: qual faz mais sentido para sua empresa em 2026? detalha os critérios dessa decisão.

A Data Guide e o suporte ao programa de governança

A leitura do mapa da ANPD costuma revelar lacunas que a empresa não sabia que tinha. Empresas que atuam com dados biométricos ou financeiros, que mantêm plataformas acessadas por menores ou que usam ferramentas de IA no atendimento ao cliente precisam de uma avaliação técnica estruturada antes que uma notificação da ANPD chegue.

A Data Guide atua em todo o ciclo de adequação: do diagnóstico inicial à estruturação do programa de governança, passando pela nomeação de DPO as a Service, treinamentos para equipes e preparação para auditorias.

Nosso time de especialistas já mapeou os pontos de maior recorrência nas fiscalizações e sabe onde cada setor precisa de atenção prioritária.

Se a sua empresa ainda não revisou seu programa de proteção de dados à luz do mapa 2026-2027, o momento certo para fazer essa análise é antes da fiscalização e não durante.

Clique aqui e agende uma conversa com um especialista da Data Guide

Perguntas Frequentes sobre o Mapa de Fiscalização da ANPD 2026-2027

O Mapa de Temas Prioritários é um documento formal publicado pela Agência Nacional de Proteção de Dados que define os focos de fiscalização para um período específico.

Para o biênio 2026-2027, ele foi aprovado pela Resolução CD/ANPD nº 30/2025, em vigor desde dezembro de 2025, e prevê ao menos 75 atividades de fiscalização concentradas em quatro eixos: direitos dos titulares, proteção de crianças e adolescentes, tratamento de dados pelo poder público e inteligência artificial.

As empresas com maior exposição são aquelas que tratam dados biométricos, financeiros ou de saúde, que oferecem produtos ou serviços digitais para menores de 18 anos, que prestam serviços ao poder público ou que utilizam sistemas de inteligência artificial no tratamento de dados pessoais.

Setores como saúde, financeiro, telecomunicações, e-commerce e plataformas digitais lideram o histórico de requerimentos recebidos pela ANPD.

A Resolução CD/ANPD nº 15/2024 estabelece o prazo de 3 dias úteis para a comunicação inicial de incidente de segurança à ANPD, quando o evento puder causar risco ou dano relevante aos titulares. Empresas sem um plano de resposta a incidentes estruturado dificilmente conseguem cumprir esse prazo, e a comunicação tardia é expressamente prevista como agravante no processo administrativo sancionador.

Sim. A LGPD exige que todos os agentes de tratamento de dados pessoais nomeiem um Encarregado de Dados (DPO), sem distinção de porte. A Resolução CD/ANPD nº 18/2024 regulamentou as obrigações, qualificações e responsabilidades do encarregado.

O nome e o canal de contato do DPO precisam estar publicados no site da empresa. Para organizações sem capacidade de manter um DPO interno, a contratação de DPO as a Service é a alternativa mais ágil e custo-eficiente.

O quarto eixo do mapa prevê 20 ações de fiscalização voltadas ao uso de sistemas de IA no tratamento de dados pessoais, concentradas em 2027.

As empresas que usam IA precisam inventariar quais sistemas processam dados pessoais, realizar DPIA para modelos com efeito sobre titulares, garantir mecanismo de contestação de decisões automatizadas (art. 20 da LGPD) e documentar políticas de uso ético de IA. A janela de 2026 é o período ideal para estruturar esses controles.

Conclusão

O Mapa de Fiscalização da ANPD para 2026-2027 não deixa margem para interpretação: a agência vai intensificar as ações, os temas estão definidos e as empresas expostas já foram avisadas. 

Com 40 ações voltadas a direitos dos titulares, 30 para proteção de crianças e adolescentes, 20 para o poder público e 20 para inteligência artificial, o biênio marca uma maturidade regulatória que o mercado brasileiro ainda está aprendendo a respeitar.

A conformidade com a LGPD deixou de ser um projeto de TI para se tornar uma responsabilidade de governança corporativa. Empresas que tratam dados biométricos, financeiros ou de saúde, que atuam em plataformas digitais com acesso de menores ou que já incorporam IA nos seus processos precisam revisar seus programas de proteção de dados agora.

Solicite um diagnóstico de conformidade com a Data Guide

capa-blog
capa-blog

O Mapa de Fiscalização da ANPD para 2026-2027: o que sua empresa precisa saber antes de estar na mira

Em 24 de dezembro de 2025, a Agência Nacional de Proteção de Dados (ANPD) publicou, por meio da Resolução CD/ANPD nº 30/2025, o Mapa...

Leia mais
author-avatar
Escrito por Igor Pacheco
  • junho 9, 2026
capa-blog-data-guide

Como adequar seu shopping ou incorporadora à LGPD: passo a passo

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) não faz distinção de setor. Assim,Shoppings centers e incorporadoras estão tão sujeitos às suas...

Leia mais
author-avatar
Escrito por Igor Pacheco
  • junho 5, 2026
capa-blog

Como se preparar para uma auditoria SOC 2: etapas, prazos e o que as empresas brasileiras precisam saber

Nos últimos anos, uma pergunta passou a aparecer com frequência em processos comerciais B2B: “Você tem relatório SOC 2?”. A resposta define, muitas vezes,...

Leia mais
author-avatar
Escrito por Igor Pacheco
  • junho 3, 2026