Este artigo reúne os principais marcos regulatórios de 2025 e 2026, os casos de fiscalização que repercutiram e os direitos que todo titular de dados pode exercer agora.
O que mudou, quem foi autuado, quais setores estão na mira — e quais são seus direitos como titular de dados pessoais no Brasil.
Ver Perguntas FrequentesPor quase cinco anos, a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018) conviveu com uma fase predominantemente educativa: orientação, advertências e poucas multas. Em 2026, essa fase acabou. A Autoridade Nacional de Proteção de Dados (ANPD) tornou-se agência reguladora autônoma, publicou seu mapa de temas prioritários e iniciou ciclos de fiscalização setorial. Para quem trata dados — e para quem tem seus dados tratados — o cenário mudou de forma concreta.
Este artigo reúne os principais marcos regulatórios de 2025 e 2026, os casos de fiscalização que repercutiram e os direitos que todo titular de dados pode exercer agora.
Em setembro de 2025, o Governo Federal editou a Medida Provisória nº 1.317/2025, transformando a ANPD em agência reguladora autônoma. Em fevereiro de 2026, o Congresso converteu a medida na Lei nº 15.352/2026, consolidando a mudança. A nova estrutura — batizada de FENATI (Fundação Estatal de Proteção de Dados) — garante à autoridade autonomia funcional, técnica, decisória, administrativa e financeira, além de quadro próprio de até 200 especialistas em regulação e fiscalização, a serem admitidos via concurso público.
Na prática, isso significa: mais capacidade de fiscalização, processos mais rápidos e menos dependência da estrutura ministerial para agir. A pergunta que muitas empresas repetiam — "a ANPD realmente vai fiscalizar?" — ganhou resposta definitiva.
Julho de 2023 — ANPD aplica sua primeira multa pecuniária a uma empresa privada: R$ 14.400 a uma microempresa. O valor era baixo, mas o ato marcou o início da atuação sancionatória.
Dezembro de 2024 — ANPD notifica 20 grandes empresas que não tinham canal efetivo de comunicação com titulares de dados nem DPO adequadamente indicado. A lista incluiu Uber, Serasa, Vivo, TikTok, X, Telegram, QuintoAndar, LATAM Airlines, Cacau Show, BlueFit, Eventim e Tinder — setores de tecnologia, telefonia, educação, saúde e varejo. Todas implementaram adequações após a notificação.
Novembro de 2025 — ANPD lança o Painel da Fiscalização, tornando públicos os processos sancionadores em curso. Pela primeira vez, clientes, parceiros e imprensa passam a enxergar autuações antes de qualquer decisão — o dano reputacional começa muito antes da multa.
Dezembro de 2025 — ANPD publica o Mapa de Temas Prioritários 2026–2027, com quatro eixos de fiscalização e previsão de 40 ações no biênio.
2026 — ANPD aplica multa diária de R$ 50 mil por descumprimento de medida cautelar no caso Tools for Humanity / WorldCoin, evidenciando que a multa diária — prevista para forçar a cessação imediata de violação — saiu do papel.
O Mapa de Temas Prioritários não é intenção vaga: é um compromisso institucional com cronograma e alocação de recursos. Ele organiza a fiscalização do biênio em quatro eixos:
São os chamados dados sensíveis (art. 11 da LGPD), que exigem base legal específica e maior rigor no tratamento. Estão neste eixo: sistemas de reconhecimento facial em estádios e locais públicos (a ANPD já investigou clubes de futebol na Nota Técnica nº 5/2025), clínicas e planos de saúde que compartilham dados com seguradoras, bancos, fintechs e cooperativas de crédito que tratam dados financeiros de clientes.
A Lei nº 15.211/2025 — o ECA Digital — trouxe regras específicas para plataformas acessíveis por menores: exigência de consentimento do responsável legal, limitação de publicidade direcionada, verificação de idade. A ANPD atua em conjunto com o ECA Digital, com foco em e-commerces, plataformas de streaming e jogos que captem dados de menores.
O setor público brasileiro trata enormes volumes de dados pessoais sensíveis — saúde, previdência, tributação, segurança. A ANPD instaurou dois processos sancionatórios envolvendo o Ministério da Saúde em 2024 e aprofundou a fiscalização sobre entes federativos e autarquias.
Em maio de 2025, a ANPD publicou a Nota Técnica nº 12/2025, detalhando como a LGPD se aplica a sistemas de IA — especialmente a exigência de que decisões automatizadas sejam revisáveis e explicáveis (art. 20 da LGPD). Em 2026, a Nota Técnica nº 1/2026 investigou o sistema Grok, da X Brasil Internet Ltda. (antigo Twitter), identificando potenciais violações ao princípio de segurança. A ANPD já se posicionou para ter papel central na regulação de IA no Brasil.
As sanções da LGPD vão de advertência até multa de 2% do faturamento da empresa — limitada a R$ 50 milhões por infração — passando por bloqueio ou eliminação de dados e suspensão das atividades de tratamento. As vias administrativa e judicial são independentes e podem correr simultaneamente.
Art. 52 · Lei 13.709/2018 (LGPD)A LGPD garante ao titular de dados — qualquer pessoa física cujos dados são tratados por uma empresa ou órgão público — um conjunto robusto de direitos. Conhecê-los é o primeiro passo para exercê-los:
Você tem direito de saber se e quais dados seus são tratados, para qual finalidade, por quanto tempo e com quem são compartilhados. A empresa é obrigada a responder de forma clara, em formato acessível, dentro do prazo estabelecido pela ANPD.
Dados incompletos, desatualizados ou incorretos devem ser corrigidos a seu pedido. Isso vale para cadastros bancários, de saúde, de crédito e de qualquer outro setor.
Quando o tratamento era baseado em consentimento, você pode solicitar a eliminação dos dados. E tem direito à portabilidade: levar seus dados de uma empresa para outra em formato estruturado e interoperável.
O consentimento que você deu pode ser revogado a qualquer momento, sem custo e sem burocracia excessiva. A empresa não pode condicionar serviços à manutenção de consentimento para finalidades não essenciais.
Você tem direito de saber com quais terceiros seus dados foram compartilhados. E, quando uma decisão que te afeta for tomada exclusivamente por algoritmo (crédito, seleção, seguros), pode pedir revisão humana e uma explicação sobre os critérios utilizados.
O caminho mais direto é acionar o canal de comunicação com titulares que toda empresa obrigada pela LGPD deve manter — e cujo funcionamento a ANPD passou a fiscalizar ativamente (como vimos com as 20 empresas notificadas em 2024). Se não houver resposta no prazo, a reclamação pode ser encaminhada diretamente à ANPD pelo portal gov.br.
A LGPD e o Código de Defesa do Consumidor não se excluem — operam em camadas complementares. Uma violação de dados pessoais pode acionar, ao mesmo tempo, a via administrativa da ANPD e a via judicial de reparação civil.
Os tribunais brasileiros já aplicam a responsabilidade civil objetiva por danos decorrentes de tratamento irregular de dados: basta a comprovação do dano e do nexo causal com a conduta do controlador — sem necessidade de provar culpa. Em 2025, condenações por danos morais coletivos em casos de violação de dados chegaram a R$ 20 milhões. O custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões em 2025, segundo dados do setor.
Situações típicas que abrem espaço para reparação incluem: vazamento de dados sensíveis (saúde, financeiro, biométrico), uso indevido de dados para finalidade diferente da informada no consentimento, negativa de acesso ou correção de dados dentro do prazo legal, e decisão automatizada que cause dano sem possibilidade de revisão.
A Autoridade Nacional de Proteção de Dados (ANPD) é a agência reguladora responsável por fiscalizar o cumprimento da LGPD no Brasil. Desde 2026, com a Lei nº 15.352/2026, tem autonomia financeira e funcional equivalente às demais agências reguladoras brasileiras — o que ampliou sua capacidade de investigar, autuar e aplicar sanções.
A LGPD prevê advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), publicização da infração, bloqueio e eliminação de dados e suspensão das atividades de tratamento. As vias administrativa (ANPD) e judicial (reparação civil) são independentes e podem ser acionadas simultaneamente.
Solicite acesso e informação pelo canal do titular da empresa (obrigação legal desde 2021). A empresa deve informar: quais dados coleta, para qual finalidade, com base em qual hipótese legal (consentimento, legítimo interesse etc.) e com quem os compartilha. A ausência de canal de atendimento ao titular é, por si só, uma violação fiscalizável pela ANPD.
Sim, quando o tratamento for baseado em consentimento, você pode revogá-lo e pedir a eliminação dos dados. Para tratamentos baseados em outras hipóteses legais (como cumprimento de obrigação legal ou legítimo interesse), a eliminação pode ser limitada — mas você ainda tem direito a informação e contestação.
A empresa deve comunicar o incidente à ANPD e aos titulares afetados quando o vazamento puder causar risco ou dano relevante. Como titular, você pode exigir informação sobre o ocorrido, verificar se há responsabilização administrativa em curso no Painel da Fiscalização da ANPD e avaliar, com um advogado, se cabe reparação civil pelos danos sofridos.
Sim. A LGPD se aplica a qualquer pessoa jurídica que trate dados pessoais no Brasil, independentemente do porte. A ANPD pode aplicar sanções reduzidas para microempresas e EPPs — mas a obrigação de cumprir a lei existe para todas. A primeira multa da ANPD, em 2023, foi aplicada exatamente a uma microempresa.
Lançado em novembro de 2025, o Painel da Fiscalização é uma ferramenta pública que exibe os processos sancionadores em andamento na ANPD — antes mesmo de qualquer decisão final. Qualquer pessoa pode consultar quais empresas ou órgãos estão sendo investigados, o que confere transparência ao processo regulatório e impacta a reputação das organizações autuadas.
O campo da proteção de dados une direito administrativo, direito do consumidor e compliance — exatamente as áreas em que atuamos. Se quiser conversar sobre um caso concreto, estamos à disposição.