Importância da agenda regulatória e o mapa de temas prioritários

Em dezembro de 2025, a Agência Nacional de Proteção de Dados (ANPD) publicou o Mapa de Temas Prioritários para fiscalização para o biênio 2026-2027 e a atualização da Agenda Regulatória 2025-2026. A grande diferença para esse ano é a inclusão de ações de fiscalização e regulamentação de obrigações previstas no Estatuto Digital da Criança e do Adolescente (ECA Digital) para além da LGPD.

A agenda é instrumento da agência  para previsibilidade e transparência sobre os esforços da ANPD para elaboração de normas. Por meio da publicização da agenda, as ações regulatórias prioritárias são comunicadas à sociedade, de forma a trazer maior segurança jurídica na relação com os agentes regulados. De forma complementar, o Mapa de Temas Prioritários visa indicar o direcionamento das ações de fiscalização da agência. O mapa define a preponderância dos  temas contidos nele em relação a pedidos e ações de fiscalizações de outros temas.  

Em outras palavras, enquanto a agenda regulatória oferece um planejamento sobre a produção de regulamentos, normativos e orientações, o mapa diz as prioridades nas ações de fiscalização da autoridade. 

Abaixo detalhamos os principais temas tanto da agenda quanto do mapa de temas prioritários

Temas para ficar de olho 

Abaixo reunimos os 4 principais temas do Mapa de Temas Prioritários. Como aqui o foco é fiscalização, também recomendamos a visita a página sobre processos de fiscalização em andamento da ANPD. Acessando a página é possível observar as ações de fiscalização da agência daqui em diante. 

Mapas de temas prioritários

• Direitos dos Titulares

Em relação aos direitos dos titulares, o objetivo da autoridade é realizar ações de fiscalização que protejam e promovam os direitos dos titulares, especialmente quanto ao tratamento de dados biométricos, de saúde e financeiros. 

Para isso, a agenda prevê como parâmetro de acompanhamento dos objetivos a realização de 25 atividades de fiscalização relacionadas a direitos dos titulares, 10 atividades de fiscalização relacionadas a tratamentos de dados biométricos, de saúde ou financeiro e 5 atividades de fiscalização relacionadas ao uso secundário de dados pessoais para entrega de publicidade comercial direcionada, especialmente mediante técnicas de perfilamento. Tudo isso até o primeiro semestre de 2027. 

• Proteção de crianças e adolescentes no ambiente digital

O segundo tema do mapa trata da proteção de crianças e adolescentes no ambiente digital, com foco na fiscalização voltada à tutela de direitos, à proteção de dados pessoais e à observância do melhor interesse desse público.

Para acompanhar o cumprimento desses objetivos, a autoridade prevê, no primeiro semestre de 2026, atividades de monitoramento sobre a adequação dos serviços digitais às exigências do ECA Digital (Lei nº 15.211, de 17 de setembro de 2025).

Até o primeiro semestre de 2027, estão previstas 15 ações de fiscalização para verificar se produtos e serviços de tecnologia adotam, por design ou por padrão, configurações mais protetivas de privacidade e proteção de dados, incluindo ferramentas de supervisão parental, além de outras 15 fiscalizações voltadas à verificação de mecanismos eficazes de aferição etária e de restrição ao acesso a conteúdos impróprios ou proibidos por lei.

• Tratamento de dados pessoais pelo Poder Público

O terceiro tema do mapa é dedicado ao tratamento de dados pessoais pelo Poder Público, com foco na promoção de maior conformidade à Lei Geral de Proteção de Dados, especialmente no que se refere ao compartilhamento de dados, à adoção de salvaguardas técnicas na gestão e na governança das informações e ao uso de dados biométricos.

Nesse contexto, estão previstas 20 atividades de fiscalização sobre o tratamento de dados pessoais por órgãos e entidades públicas até o primeiro semestre de 2027. Além disso, no segundo semestre de 2027, a autoridade pretende realizar atividades de monitoramento para avaliar a adequação do Poder Público ao Regulamento de Uso Compartilhado de Dados Pessoais.

• Inteligência Artificial e tecnologias emergentes relacionadas à proteção de dados.

O quarto tema do mapa concentra-se na supervisão do uso de inteligência artificial e de outras tecnologias emergentes no contexto do tratamento de dados pessoais, com o objetivo de intensificar a atuação da ANPD sobre sistemas que apresentam maiores riscos.

Para isso, estão previstas 20 atividades de fiscalização relacionadas ao tratamento de dados pessoais, inclusive de crianças e adolescentes, no uso de sistemas de inteligência artificial e tecnologias emergentes. Essas ações serão realizadas de forma escalonada, com metade prevista até o primeiro semestre de 2027 e a outra metade até o segundo semestre do mesmo ano.

Agenda regulatória

A Agenda Regulatória da ANPD organiza as prioridades do biênio em temas e define quando cada processo regulatório deve começar. Dentro dessa lógica, as iniciativas são classificadas em quatro fases, por ordem de priorização. 

•  A Fase 1 reúne itens que já vinham do ciclo anterior (Agenda 2023–2024). 
•  Já a Fase 2 abarca itens cujo início do processo regulatório deve ocorrer em até um ano. 
•  A Fase 3 projeta início em até um ano e meio .
• A Fase 4, em até dois anos. 

Neste blog, iremos nos concentrar nos temas da Fase 1 porque eles são os mais prioritários e aqueles em que já é possível enxergar as próximas ações da ANPD. Tudo isso a partir da agenda regulatória 2025-2026 e o balanço da agenda feita pela ANPD do último semestre de 2025.

Em resumo, os temas da fase 01 podem levar a publicação de guias orientativos, regulamentos e a abertura de consultas públicas ou tomadas de subsídios ainda em 2026

• Direitos dos titulares

Do que trata: regulamentar pontos ainda abertos sobre direitos dos titulares na LGPD, com destaque para os arts. 9º, 18, 19 e 20,  que tratam de transparência, acesso, confirmação de tratamento, revisão de decisões automatizadas e outros direitos centrais da lei.

Últimas ações: Cabe lembrar que já houve tomada de subsídios para norma sobre direitos dos titulares de dados pessoais, que recebeu contribuições até março de 2024.  De acordo com o balanço da ANPD,  houve consulta interna sobre minuta de regulação entre 23/05/2025 e 13/06/2025 , já foi feito o  Relatório de Análise de Impacto Regulatório e agora se aguarda deliberação do Conselho Diretor sobre a realização de consulta pública. 

• Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

Do que trata: regulamentar o procedimento de solicitação e elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), com base nos arts. 10, §3º, e 38 da LGPD e nas competências do art. 55-J, XIII, seus  critérios para a elaboração e solicitação do RIPD.

Últimas ações: foi feita consulta interna e as contribuições foram consolidadas. O tema está em finalização de elaboração do  Relatório de Análise de Impacto Regulatório (RAIR). Cabe lembrar que o tema conta com orientações sobre o tema publicadas no site da ANPD, além de um guia modelo para realização de um RIPD.

• Compartilhamento de dados pelo Poder Público

Do que trata: o projeto regulação visa enfrentar as lacunas regulatórias do Capítulo IV da LGPD, definindo requisitos para o compartilhamento de dados pessoais pelo Poder Público. Há destaque para a necessária regulamentação dos arts. 26 e 27, que tratam do compartilhamento com pessoas jurídicas de direito privado.

Últimas ações: após publicação do  Relatório de Análise de Impacto Regulatório (RAIR) e produção de minuta de resolução, foram aprovadas audiência pública e consulta pública . A audiência ocorreu em 25/11/2025 no canal da ANPD no YouTube . A consulta pública recebeu contribuições entre 28/10/2025 e 12/12/2025, e as manifestações estão em análise para possíveis ajustes na minuta.

• Dados pessoais sensíveis: dados biométricos

Do que trata: enfrentar a expansão do uso de biometria e reconhecimento facial em diferentes contextos (escolas, fronteiras, estádios, transações financeiras), equilibrando ganhos de segurança e riscos aos titulares, inclusive riscos discriminatórios.

Últimas ações:  Houve Tomada de Subsídios de 02/06/2025 a 01/08/2025, com consolidação divulgada na Nota Técnica nº 23/2025/CON1/CGN/ANPD. Em 02/12/2025, a ANPD também realizou webinário para aprofundar discussões e pontos controvertidos antes de seguir para o próximo passo de normatização.

• Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos)

Do que trata: dar concretude ao art. 46 da LGPD e à possibilidade de a ANPD dispor sobre padrões técnicos mínimos de segurança, considerando natureza das informações, características do tratamento e estado da técnica, especialmente no caso de dados sensíveis.

Últimas ações: iniciado em junho de 2024, o processo segue em elaboração de relatório de AIR, e o próprio relatório destaca a complexidade e sensibilidade do tema. Embora a autoridade ainda não tenha publicado um regulamento sobre o tema, ela já publicou um guia de segurança da informação para agentes de pequeno porte. 

• Inteligência Artificial

Do que trata: a iniciativa dá continuidade às discussões iniciadas na Tomada de Subsídios sobre inteligência artificial, com atenção especial ao art. 20 da LGPD, que assegura o direito de revisão de decisões automatizadas. Além disso, o projeto incorpora uma abordagem mais ampla sobre a aplicação da LGPD em sistemas de IA, abrangendo direitos dos titulares, princípios, hipóteses legais e boas práticas de governança.

Últimas ações: iniciado em maio de 2024 com Termo de Abertura. Houve Tomada de Subsídios em novembro de 2024 e foi produzida nota técnica de consolidação das contribuições. A minuta da solução regulatória segue em elaboração na área técnica.

• Tratamento de dados pessoais de alto risco

Do que trata: elaboração de guia para definição de “alto risco” e “larga escala”, com ênfase em orientar agentes de tratamento, especialmente os de pequeno porte (em linha com o regulamento aplicável e a Resolução CD/ANPD nº 2/2022).

Últimas ações: A autoridade recebeu contribuições em consulta pública sobre o tema até Maio de 2024 e a versão final do guia está no Conselho Diretor para aprovação.

• Organizações religiosas

Do que se trata: a ação regulatória busca estabelecer orientações específicas para que organizações religiosas possam se adequar à LGPD, levando em conta suas particularidades institucionais, organizacionais e de funcionamento.

Últimas ações: o documento orientativo foi finalizado e encontra-se no Conselho Diretor para deliberação.

•  Anonimização e pseudonimização

Do que trata: produzir guia para esclarecer padrões, conceitos e uso de técnicas de anonimização e pseudonimização na LGPD, com base em diversos dispositivos (incluindo definições do art. 5º, hipóteses legais e regras de dados sensíveis, além de artigos sobre direitos e tratamento).

Últimas ações: a ANPD recebeu contribuições em consulta pública finalizada em março de 2024. A minuta final do guia chegou ao Conselho Diretor, mas foi reencaminhada à CGN para adequações após informações supervenientes ligadas ao processo de IA. Como resultado uma nova minuta foi remetida ao Conselho Diretor para apreciação.

Já ajustou sua agenda com a da ANPD? 

A Agenda Regulatória e o Mapa de Temas Prioritários da ANPD oferecem o melhor retrato disponível do que pode ou não se materializar em termos de regulação ao longo de 2026. 

Tais documentos permitem com que certas expectativas sobre o campo se consolidem e garantam melhor conformidade aos agentes de tratamento. , Principalmente agora com a agência integrando obrigações relativas a fiscalização regulação do ECA digital, tal planejamento é essencial para entender esse novo lugar da ANPD. 

Enquanto os próximos passos ainda não chegam, recomendamos os seguintes materiais por tema:

• Direitos dos titulares: recomendamos o acesso ao Manual do Titular para entender e aprender a exercer os seus direitos!
• Relatório de Impacto à Proteção de Dados Pessoais: que tal entender todo o caminho do RIPD até aqui? Acesse o Relatório de Inteligência: RIPD exclusivo do Clube Data
• Compartilhamento de dados pelo Poder Público: caso queira entender mais profundamente sobre compartilhamento de dados no setor público, recomendamos a edição de Análise de Decisões sobre a ADI 6649, que versou sobre o compartilhamento de dados no contexto do Cadastro Base do Cidadão! 
• Dados pessoais sensíveis: entender a fronteira entre dado pessoal e dado pessoal sensível pode ser difícil. Contudo, temos um Descomplicando a LGPD sobre o tema para encerrar suas dúvidas. 
• Medidas de segurança, técnicas e administrativas: recomendamos Glossário sobre proteção de dados e cibersegurança e o Clube Data Convida sobre ameaças cibernéticas com Carlos Cabral.
• Inteligência Artificial: Só no ano passado lançamos um Dossiê e um Clube Data convida sobre a avaliação de risco em IA, instrumento importantíssimo para pensar dados e inteligência artificial.
• Anonimização e Pseudonimização: Recomendamos o Descomplicando a LGPD; técnicas de anonimização para te deixar por dentro desse assunto! 

Mas e aí, já ajustou a sua agenda com a da ANPD? 

Até a próxima!