Dia Internacional da Proteção de Dados – ECA Digital, IA e as prioridades da ANPD

No dia 28 de janeiro, o mundo celebra o Dia Internacional da Proteção de Dados, uma data que nasceu em 1981, com a assinatura da Convenção 108 do Conselho da Europa, o primeiro tratado internacional sobre privacidade. Comemorado oficialmente na Europa desde 2006, essa data nos lembra que proteger dados pessoais é proteger pessoas, relações de confiança e a reputação que construímos todos os dias.

E nesse sentido, é alta a expectativa para o mundo da privacidade e proteção de dados. Apesar de ser um ano eleitoral, existe a espera por importantes ações da ANPD, assim como é de se esperar pelo fortalecimento de sua estrutura, agora como Agência Reguladora.

O status de Agência da ANPD revela muito mais que um aspecto formal, mas, conforme palavras do Presidente Waldemar Gonçalves, existe a expectativa que o órgão salte de cerca de 200 para entre 500 e 700 colaboradores até o final de 2026, revelando uma força de trabalho que nunca chegou perto de ter. Além disso, é possível que a ANPD dobre seu orçamento.

Proteção de dados no Brasil: um ano decisivo para a ANPD

O acordo de adequação internacional entre Brasil e União Europeia está prestes a ser firmado, o que significa que o nível de proteção de dados assegurado no Brasil será considerado equivalente ao europeu, o que se traduz em mais confiança e segurança jurídica para as transferências internacionais de dados.

Além disso, a ANPD atualizou no final do ano passado o Mapa de Temas Prioritários para fiscalização para o biênio 2026-2027 e a atualização da Agenda Regulatória 2025-2026. É importante lembrar que não estamos falando de uma ANPD que tem como escopo apenas a letra da LGPD, mas agora a Agência também tem obrigações relacionadas a fiscalização do Estatuto Digital da Criança e do Adolescente (ECA Digital).

Nesse sentido, a fiscalização da conformidade com o ECA Digital já é uma realidade prática, mesmo que a legislação não tenha entrado em vigor ainda, já que seu vacacio legis termina em março de 2026. A recente divulgação pela ANPD de procedimentos de monitoramento em face de 37 empresas deixa ainda mais claro que tema será um dos focos da Agência neste e nos próximos anos.

Na pauta do dia, ECA Digital

A ANPD deu até o dia 13 de fevereiro para que uma série de empresas encaminhem informações sobre as medidas técnicas e organizacionais que têm tomado em relação ao novo ECA Digital. Entre as empresas relacionadas nessa lista estão big techs, redes sociais, empresas de jogos online, streaming, plataformas de e-commerce, grandes empresas que fabricam dispositivos eletrônicos, entre outras.

Segundo o presidente da ANPD, a tendência é que esse número ainda cresça, considerando “empresas e serviços de maior relevância e impacto”.

Nessa linha, chamou atenção a realização de protestos por crianças e adolescentes no jogo on-line Roblox, nas quais os usuários exibiram cartazes com protestos às novas diretrizes da plataforma que foram implementadas para a adequação a nova legislação. Trata-se de ambiente que foi considerado “propício para predadores sexuais”, conforme as palavras da procuradora-geral dos Estados Unidos Liz Murrill.

Com o público majoritariamente infantil, o jogo Roblox adotou uma série de mudanças, como, por exemplo, proibir que usuários crianças conversem pelo microfone. Até mesmo o influenciador Felca (cujos conteúdos foram catalisadores para as iniciativas que giram em torno do ECA Digital) foi alvo de ataque.

É importante lembrar que assim que a Lei entrar em vigor, as plataformas estarão sujeitas a aplicação de sanções pela ANPD, considerando que a atuação da Agência até agora tem tido um caráter preventivo. A partir de 18 de março, data em que o ECA Digital entra em vigor, aqueles que não estiverem adequados estarão sujeitos a medidas rigorosas, como medidas cautelares e processos sancionadores.

Estamos vivendo uma corrida para que as empresas implementem controles, como, por exemplo, mecanismos eficazes de verificação de idade (vedada a autodeclaração), ferramentas para supervisão parental, moderação de conteúdo e mecanismos de notificação de violações, a vinculação de perfis de usuários até 16 anos a um responsável legal, entre outras.

Nesse sentido, as sanções previstas no ECA Digital podem alcançar multas de até 10% do faturamento do grupo econômico no Brasil, bem como a suspensão temporária ou até mesmo a proibição do exercício de atividades relacionadas aos produtos ou serviços em desconformidade.

Temas prioritários para a ANPD

Além da fiscalização relacionada ao ECA Digital, a ANPD definiu quatro grandes eixos de atuação para os próximos dois anos que merecem atenção especial de empresas e órgãos públicos.

1. O primeiro deles concentra-se nos direitos dos titulares de dados, com destaque para três áreas sensíveis: dados biométricos, informações de saúde e dados financeiros.

Essa priorização não é por acaso. O uso crescente de reconhecimento facial em condomínios, empresas e até estádios de futebol, combinado com o aumento de vazamentos de dados médicos e financeiros, coloca milhões de brasileiros em situação de vulnerabilidade.

A Agência planeja realizar ao menos 25 atividades de fiscalização relacionadas a direitos dos titulares em temas diversos, sendo 10 atividades específicas sobre tratamentos de dados biométricos, de saúde ou financeiro.

Além disso, vão ser realizadas atividades de fiscalização relacionadas ao uso secundário para tratamento de dados pessoais direcionado a finalidades incompatíveis com o propósito inicial do tratamento, especialmente em casos de perfilização (coleta e análise de dados sobre indivíduos para criar perfis detalhados, usados para prever comportamentos, interesses e tendências).

2. O segundo tema prioritário é o tratamento de dados pessoais de crianças e adolescentes no ambiente digital, que ganha ainda mais relevância com a entrada em vigor do ECA Digital. Além das ações de monitoramento já mencionadas, a ANPD prevê 30 atividades de fiscalização voltadas especificamente para verificar a legalidade do tratamento de dados desse público vulnerável.

3. O terceiro eixo trata do tratamento de dados pessoais pelo Poder Público, uma área que historicamente apresenta desafios significativos. Auditorias do Tribunal de Contas da União já identificaram que grande parte dos órgãos públicos não está em conformidade com a LGPD, seja por falta de padronização nos processos de anonimização, seja pelo uso indevido da lei para negar acesso a informações públicas.

A ANPD prevê ao menos 20 atividades de fiscalização voltadas ao setor público, com atenção especial ao compartilhamento de dados entre órgãos, à adoção de salvaguardas técnicas na gestão de dados e ao uso de tecnologias biométricas.

4. O quarto tema prioritário envolve Inteligência Artificial e tecnologias emergentes. Embora ferramentas como ChatGPT tenham trazido o tema ao debate público, a IA já permeia decisões empresariais cotidianas de forma muito mais ampla: desde sistemas que aprovam ou negam crédito, passando por algoritmos que selecionam currículos em processos seletivos, até soluções que definem preços dinâmicos, detectam fraudes ou recomendam produtos.

A preocupação central da ANPD está no uso de dados pessoais para treinar esses modelos, especialmente quando isso acontece sem o conhecimento dos titulares, e nos impactos de decisões automatizadas que podem afetar direitos fundamentais. Com 20 atividades de fiscalização planejadas nesse eixo, empresas que desenvolvem ou utilizam IA precisarão comprovar que estão respeitando os princípios da LGPD, especialmente quanto à transparência, finalidade e segurança no tratamento de dados.

LEIA TAMBÉM: ANPD agora é Agência Reguladora: o que muda para empresas e cidadãos?

 

E no campo regulatório, novidades à vista

Além das atividades de fiscalização, 2026 promete ser um ano de avanços importantes no campo regulatório. A ANPD atualizou sua Agenda Regulatória para o biênio 2025-2026, e entre os temas prioritários da chamada “Fase 1” estão regulamentações que podem mudar significativamente a forma como empresas tratam dados pessoais no Brasil.

O tema mais aguardado é certamente a regulamentação sobre Inteligência Artificial. Após uma ampla tomada de subsídios realizada em 2024 e cujos resultados foram apresentados em maio do ano passado, a Agência deve estabelecer parâmetros claros sobre como a LGPD se aplica a esses sistemas, respondendo questões práticas que hoje geram insegurança jurídica: quando é obrigatório oferecer explicações sobre decisões algorítmicas? Quais hipóteses legais fundamentam o uso de dados para treinar modelos? Como garantir o direito de revisão previsto na lei? Essas orientações são essenciais para empresas que já dependem de IA em suas operações e precisam de clareza sobre suas obrigações legais.

Outra regulamentação fundamental é a que trata de dados biométricos. Com a popularização do reconhecimento facial em diversos contextos, de transações bancárias a catracas de condomínios, a ANPD reconhece a necessidade de estabelecer parâmetros que equilibrem os benefícios de segurança com os riscos aos titulares.

O recente estudo “Biometria e reconhecimento facial” publicado pela Agência em 2024 evidenciou não apenas o crescimento acelerado dessas tecnologias, mas também os perigos de erros dos sistemas e efeitos discriminatórios sobre grupos vulneráveis.

A regulamentação esperada deve trazer orientações sobre quando e como é legítimo coletar e tratar dados biométricos, quais medidas de segurança são obrigatórias e como garantir que os sistemas não perpetuem discriminações.

Tratamentos de alto risco, anonimização e governança de dados

A definição de tratamentos de dados de alto risco também está na agenda prioritária. Atualmente, muitas empresas, especialmente as de pequeno e médio porte, têm dificuldade para identificar se suas atividades se enquadram nessa categoria, o que tem implicações diretas sobre a necessidade de elaborar Relatórios de Impacto à Proteção de Dados.

A expectativa é que a ANPD forneça parâmetros objetivos que permitam às organizações avaliarem o nível de risco de suas operações, facilitando decisões sobre investimentos em conformidade e governança de dados. Essa clareza é fundamental porque tratamentos de alto risco demandam salvaguardas mais robustas e, em muitos casos, a elaboração de relatórios de impacto detalhados antes mesmo de iniciarem suas atividades.

Temas como anonimização e pseudonimização também ganharão contornos mais definidos. Essas técnicas são frequentemente apresentadas como soluções para permitir o uso de dados sem violar a privacidade, mas na prática geram muitas dúvidas sobre quando dados podem ser considerados verdadeiramente anonimizados.

Complementando esse cenário, regulamentações sobre direitos dos titulares e medidas de segurança técnicas e administrativas devem trazer maior previsibilidade sobre obrigações que hoje ainda geram interpretações divergentes no mercado.

Nesse contexto de maior sofisticação regulatória, o papel do Encarregado pelo Tratamento de Dados Pessoais tende a se tornar ainda mais estratégico, deixando de ser apenas um ponto de contato formal para assumir função ativa na governança, na prevenção de riscos e na articulação entre áreas técnicas, jurídicas e de tecnologia.

Conclusão

O Dia Internacional da Proteção de Dados de 2026 chega em um momento decisivo para a privacidade no Brasil. Com a entrada em vigor do ECA Digital em março, a atualização do Mapa de Temas Prioritários focado em direitos dos titulares, Poder Público, crianças e adolescentes e Inteligência Artificial, além de regulamentações cruciais sobre biometria, IA e tratamentos de alto risco no horizonte, este ano promete ser finalmente o ano da consolidação de uma ANPD como Agência Reguladora de fato, atuante e forte.

Considerando esse panorama, investir em governança de dados, transparência e responsabilidade digital não é apenas uma resposta regulatória, mas uma escolha estratégica para organizações que desejam permanecer relevantes, confiáveis e sustentáveis em um ambiente cada vez mais orientado por dados.

Para empresas e órgãos públicos, a mensagem é que a conformidade com a LGPD não é mais uma questão de “se”, mas de “quando” e “como” implementar as mudanças necessárias. A proteção de dados pessoais deixou definitivamente de ser apenas uma obrigação legal para se tornar um pilar fundamental da confiança digital que sustenta a economia e as relações sociais do século XXI.