A LGPD inaugurou um novo paradigma no Brasil, impulsionando a evolução de simples adequação formal para uma agenda de maturidade, governança e responsabilização. A ANPD tem ampliado fiscalização e sanções, com foco em incidentes, adtech e dados sensíveis. Segurança da informação, transferências internacionais, IA, publicidade comportamental e setores de saúde e financeiro seguem como temas críticos, exigindo controles robustos e transparência.

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) trouxe um arcabouço regulatório sem precedentes ao Brasil, sendo pioneira em estabelecer regras para o tratamento de dados pessoais de forma específica. Após sua consolidação como marco regulatório, o foco das organizações migrou do período de adequação inicial em massa, para uma agenda de maturidade, governança e efetividade.

A seguir, destacamos os temas mais relevantes que vêm pautando a atuação da Agência Nacional de Proteção de Dados (ANPD), os tribunais e o mercado como um todo, e que são de extrema relevância para orientar a estratégia de compliance e gestão de riscos dos agentes de tratamento nos próximos ciclos.

Fiscalização, sanções e cultura de prestação de contas

A aplicação prática da LGPD avança com investigações, procedimentos e decisões administrativas, seja por parte da ANPD, conforme destacado em nossa nota publicada no dia 27/01, ou pelos demais órgãos corresponsáveis pela fiscalização da LGPD, como Procons, Ministérios Públicos e relacionados.

A tendência é de incremento da fiscalização baseada em risco, com foco em incidentes de segurança, descumprimento de direitos de titulares e práticas relacionadas a adtech e marketing, especialmente quando relacionadas a dados pessoais sensíveis, como ocorreu com as redes de drogarias fiscalizadas pela ANPD.

Com isso, a cultura de prestação de contas torna-se ainda mais indispensável, com a necessidade de evidências de conformidade documentadas, de tal forma a demonstrar a adoção de controles proporcionais aos riscos e com o objetivo de mitigar a exposição a sanções.

Segurança da informação e resposta a incidentes

Sabemos que não existe LGPD sem aplicação de medidas técnicas de Segurança da Informação. A importância do tema foi ainda mais reforçada com a disponibilização pela ANPD do Mapa de Incidentes Comunicados, que traz números alarmantes, com 395 incidentes comunicados no ano de 2025 e 25 incidentes já comunicados em 2026. Dentre os incidentes comunicados, destacam-se aqueles causados por roubo de credenciais/engenharia social e ataques ransomware.

Os incidentes continuam a ser um dos vetores mais visíveis de riscos regulatórios, operacionais e reputacionais. O padrão esperado envolve prevenção, monitoramento, detecção, resposta, comunicação quando aplicável, registro e aprendizado pós-incidente.

Transferências internacionais

A transferência internacional de dados pessoais sempre foi um tema de extrema relevância quando falamos do tratamento de dados pessoais. Afinal, a transferência ocorre em situações simples do dia-a-dia corporativo, como o mero armazenamento em sistemas baseados em nuvem.

Apesar da publicação da Resolução CD/ANPD nº 19/2024, que aprovou o Regulamento da Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais, e da Resolução CD/ANPD nº 32/2026, que reconheceu a União Europeia como organismo internacional com grau de proteção de dados adequado ao previsto na LGPD, ainda existem diversos temas relevantes pendentes de regulamentação  sobre o tema, como os demais mecanismos válidos para a transferência internacional de dados, assim como a aprovação de cláusulas equivalentes e o reconhecimento de países adicionais como equivalentes.

Inteligência Artificial

Inteligência Artificial foi o tema mais falado em 2025, não só sob a ótica da LGPD, mas na sociedade e mercado como um todo. Olhando sob a ótica da proteção de dados, são diversos os pontos de atenção quanto ao uso de inteligência artificial, especialmente considerando a incorporação de modelos de machine learning, deep learning, IA generativa e semelhantes, que intensificam discussões sobre o tratamento massivo de dados pessoais, especialmente sem o atendimento das exigências da LGPD.

Dentre as discussões, destacam-se as hipóteses legais para o tratamento dos dados nesses modelos, a minimização, o enviesamento, a governança algorítmica e a transparência, que levantam a necessidade de avaliações de impacto algorítmico, segregação de dados utilizados para treinamento, avaliação de bases utilizadas para treinamento, gestão do ciclo de vida e trilhas de auditoria.

O uso indevido de imagem (e outros dados pessoais) é um tema que permeia não só a proteção de dados, mas também direitos autorais, direito de imagem e, em certos casos, a própria dignidade da pessoa humana.

Adtech e publicidade comportamental

A coleta e o uso de identificadores online exigem transparência e gestão de consentimento compatível com as finalidades de segmentação, mensuração e personalização. Banners, preferências granulares e cadeias de sinalização entre editores, plataformas de gerenciamento de consentimento (CMPs) e adservers devem refletir a base legal escolhida.

A redução de terceiros, a adoção de soluções server-side e o foco em dados primários (first-party) têm emergido como boas práticas de mitigação. Por outro lado, a veiculação de publicidades com base em dados pessoais sensíveis, especialmente de saúde, não tem sido vista com bons olhos pela ANPD.

Dados pessoais no segmento de saúde e no mercado financeiro

O tratamento de dados sensíveis requer bases legais específicas, salvaguardas reforçadas e controles de acesso estritos.

Em saúde, interoperabilidade, telemedicina, uso de IA e prontuários eletrônicos ampliam a superfície de risco, sendo a segurança e o compartilhamento responsável centrais. Em relação ao uso de IA, chama a atenção os falsos-positivos e falsos-negativos que, sem uma supervisão humana, podem causar danos irreversíveis aos titulares de dados, além é claro, da utilização indevida de dados pessoais sensíveis.

No mercado financeiro e de pagamentos, iniciativas de compartilhamento de dados e inovação exigem arquitetura de consentimento robusta, logs e monitoramento de abusos.

Para ambos os casos, a prevenção, gestão e resposta a incidentes é de suma importância, especialmente considerando o potencial danoso que o acesso indevido a dados de saúde e financeiros podem causar aos seus titulares.

Conclusão

Em síntese, o período pós-LGPD é marcado pela transição de uma abordagem meramente formal para uma proteção de dados orientada à efetividade, à gestão de riscos e à responsabilização, exigindo das organizações postura proativa e alinhada às diretrizes regulatórias e jurisprudenciais em constante evolução.

Os temas tornam-se cada vez mais complexos e inovadores, especialmente com o avanço das tecnologias aplicáveis ao tratamento de dados pessoais. Nesta linha, é de se esperar que os próximos anos sejam marcados por temas ainda mais desafiadores quando falamos da regulação do tratamento de dados pessoais.