GovernoMercado

ANPD prioriza Inteligência Artificial, biometria e Poder Público

Temas estão na agenda regulatória aprovada para o biênio 2025/2026.

A Autoridade Nacional de Proteção de Dados aprovou a agenda regulatória para o biênio 2025-2026, com foco em aprimorar a proteção de dados pessoais no Brasil. Publicada no Diário Oficial da União nesta quarta, 11/12, a resolução detalha iniciativas prioritárias como biometria, dados de crianças e adolescentes e inteligência artificial.

A ordem de priorização prevê quatro fases:

Fase 1: itens cujos processos regulatórios são provenientes da Agenda Regulatória para o biênio 2023-2024; Fase 2: itens cujo início do processo regulatório acontecerá em até 1 ano; Fase 3: itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses; Fase 4: itens cujo início do processo regulatório acontecerá em até 2 anos.

Entre os principais tópicos na Fase 1, vale mencionar:

  1. Direitos dos Titulares: A regulamentação de artigos da LGPD (como 9º, 18, 19 e 20) busca garantir direitos fundamentais aos cidadãos, como acesso, retificação e exclusão de dados.
  2. Relatórios de Impacto à Proteção de Dados: O objetivo é estabelecer diretrizes para avaliar riscos associados ao tratamento de dados, essencial para prevenir violações.
  3. Compartilhamento de Dados pelo Poder Público: Será regulamentado o uso e a comunicação de dados entre órgãos públicos e entidades privadas, visando maior transparência e conformidade legal.
  4. Proteção de Dados de Crianças e Adolescentes: A ANPD planeja reforçar as diretrizes para proteção digital desse público, abordando consentimento parental e segurança em plataformas online.
  5. Biometria e Reconhecimento Facial: A regulação buscará equilibrar segurança e privacidade no uso crescente de tecnologias biométricas, como controle em escolas e transações financeiras.
  6. Inteligência Artificial: Haverá continuidade nas discussões sobre o impacto da IA na privacidade, com foco na aplicação da LGPD em sistemas de decisão automatizada.

A agenda também inclui iniciativas nas Fases 2, 3 e 4, como a criação de diretrizes para anonimização de dados e o tratamento de informações sensíveis no setor de saúde. Cada etapa será acompanhada de esforços educativos, visando conscientizar e preparar empresas e instituições para as mudanças.


AGENDA REGULATÓRIA ANPD 2025-2026

    
ItemIniciativaDescriçãoPriorização
1Direitos dos titularesA LGPD estabelece os direitos dos titulares, mas diversos pontos demandam regulamentação, em especial os artigos 9º, 18, 19 e 20.Fase 1
2Relatório de Impacto à Proteção de Dados PessoaisDe acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe à ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobreFase 1
  relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais. 
3Compartilhamento de dados pelo Poder PúblicoO Capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A ação regulatória tem por objetivo estabelecer os requisitos a serem observados nas hipóteses deFase 1
  compartilhamento de dados pessoais pelo Poder Público. Destaca-se, em particular, o disposto no art. 30 da LGPD, que atribui à ANPD competência para estabelecer normas complementares para as 
  atividades de comunicação e de uso compartilhado de dados pessoais. Além disso, é necessária a regulamentação dos arts. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder 
  Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei. 
4Tratamento de dados pessoais de crianças e adolescentesO principal objetivo desta ação regulatória é estabelecer procedimentos e orientações com vistas à garantia de direitos e à proteção de dados pessoais de crianças e adolescentes, especialmente noFase 1
  ambiente digital. Conforme abordado na Tomada de Subsídios realizada entre junho e agosto de 2024, integram o escopo do projeto os seguintes temas: (i) o princípio do melhor interesse; (ii) o consentimento 
  fornecido por pais e responsáveis; (iii) a coleta de informações por jogos e aplicações de internet; (iv) a transparência das operações realizadas com dados pessoais de crianças e adolescentes; (v) os 
  mecanismos de aferição de idade de usuários de jogos e aplicações de internet; e (vi) a definição de orientações e a identificação de boas práticas, que expressem um conjunto de princípios 
  normativos, tecnologias e medidas de design, que promovam e assegurem a privacidade e a efetiva proteção de dados pessoais de crianças e adolescentes em jogos e aplicações de internet. 
5Dados Pessoais Sensíveis – Dados biométricosConforme abordado no estudo “Biometria e reconhecimento facial” (Radar Tecnológico, ANPD, 2024), o tratamento de dados biométricos se ampliou e se popularizou nos últimos anos, em especialFase 1
  para fins de verificação de identidade com técnicas de reconhecimento facial em contextos diversos, tais como o ambiente escolar, controle de fronteiras, estádios de futebol e transações financeiras. 
  Se, por um lado, o tratamento desses dados pode ampliar a segurança e auxiliar a prevenção de fraudes; por outro lado, também são ampliados os riscos sobre os titulares, a exemplo de impactos negativos 
  decorrentes de erros dos sistemas utilizados e de efeitos discriminatórios sobre grupos vulneráveis. 
  Considerando a relevância do assunto, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo, com vistas ao estabelecimento de parâmetros 
  que assegurem a realização do tratamento de dados biométricos de forma equilibrada e compatível com a legislação de proteção de dados pessoais. 
6Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança)Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situaçõesFase 1
  acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões 
  técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, 
  especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei. 
7Inteligência ArtificialO projeto dará continuidade às discussões iniciadas com a Tomada de Subsídios sobre o tema, divulgada em novembro de 2024. Será considerado, especialmente, o estabelecimento de parâmetrosFase 1
  interpretativos para a aplicação do art. 20 da LGPD, que dispõe sobre o direito de revisão de decisões automatizadas. 
  Além disso, tendo em vista a aplicação da LGPD nos contextos de treinamento e uso de sistemas de IA, também serão considerados no projeto os seguintes aspectos: (i) direitos dos titulares; (ii) 
  princípios da LGPD; (iii) hipóteses legais; e (iv) boas práticas e governança. 
8Tratamento de Dados Pessoais de Alto RiscoO projeto atende ao disposto no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequenoFase 1
  porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. O objetivo principal é disponibilizar aos agentes de tratamento, em especial os de pequeno porte, orientações e parâmetros para a 
  definição e a identificação de hipóteses de tratamento de dados pessoais de alto risco. 
9Organizações religiosasA ação regulatória tem por objetivo estabelecer orientações para as organizações religiosas quanto às medidas necessárias para a sua adequação à LGPD, considerando as suas especificidades.Fase 1
10Anonimização e pseudonimizaçãoEm atendimento ao art. 12, § 3º, da LGPD, a ação regulatória tem por objetivo dispor sobre padrões e técnicas utilizados em processos de anonimização e de pseudonimização, de forma a apresentarFase 1
  orientações e esclarecimentos sobre o tema, em conformidade com o previsto na LGPD. 
11Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da PrivacidadeEm atenção à determinação legal disposta no art. 55- J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessáriaFase 2
  para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as diretrizes estratégicas e os subsídios que devem ser 
  propostos pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), conforme previsto no art. 58-B, I, da LGPD. 
12Regras de boas práticas e de governançaO art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formularFase 2
  regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de 
  segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e 
  outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e 
  aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. 
  A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional. 
13Agregadores de dados pessoaisConforme previsto no Mapa de Temas Prioritários 2024-2025, a atividade de agregadores de dados pessoais foi incluída entre os temas prioritários da fiscalização da ANPD. Os agregadores frequentementeFase 2
  utilizam a raspagem de dados, uma prática que levanta questões críticas sobre sua conformidade com os princípios da LGPD, especialmente quanto à finalidade, à boa-fé e à proteção dos direitos dos titulares. 
  Fornecer orientação clara acerca das medidas de transparência a serem adotadas, das hipóteses legais adequadas aos tratamentos de dados pessoais 
  realizados pelos agregadores e dos limites ao uso de dados públicos e tornados manifestamente públicos, entre outros aspectos, é essencial para melhor guiar os agentes de tratamento e prevenir abusos. 
14Dados pessoais sensíveis: dados de saúdeA LGPD estabelece regras mais rígidas ao tratamento de dados pessoais sensíveis, notadamente dados de saúde. Um dos aspectos considerados pela LGPD é o compartilhamento de dados pessoaisFase 2
  referentes à saúde com fins econômicos. Nesse sentido, o art. 11, § 3º, determina que a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter 
  vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da ANPD, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. 
  Por sua vez, o § 4º do mesmo artigo veda a comunicação ou o uso compartilhado de dados pessoais referentes à saúde entre controladores com objetivo de obter vantagem econômica, ressalvadas as 
  exceções previstas no mesmo dispositivo e em seus incisos. Outros aspectos relevantes a serem considerados pela ação regulatória são: (i) o conceito de dado pessoal sensível referente à saúde; e (ii) as 
  hipóteses legais específicas relacionadas à área de saúde, especialmente as previstas no art. 7º, VIII e no art. 11, II, “f”, da LGPD. A ação regulatória deverá considerar as especificidades do Sistema Único de Saúde 
  (SUS) e dos agentes de tratamento que atuam no setor, tais como as operadoras de saúde suplementar. Além disso, serão observados os requisitos e as especificidades decorrentes da regulação 
  setorial. 
15Hipótese Legal – ConsentimentoA ação regulatória tem por objetivo estabelecer parâmetros e orientações acerca dos requisitos a serem observados na utilização da hipótese legal do consentimento.Fase 3
  A validade do consentimento depende de elementos como a liberdade de escolha, a clareza das informações prestadas, a finalidade específica do tratamento e a possibilidade de revogação a qualquer 
  momento, sem ônus para o titular. 
16Hipótese Legal -Proteção ao CréditoEm um cenário onde as informações financeiras dos indivíduos são cada vez mais utilizadas para análises e decisões de concessão de crédito, a proteção desses dados torna-se crucial para garantir aFase 4
  privacidade e a segurança dos titulares. A iniciativa regulatória sobre a hipótese legal de proteção ao crédito, prevista no art. 7º, X, da LGPD, poderá fornecer orientações aos agentes de tratamento acerca da sua 
  aplicação, permitindo o equilíbrio entre o direito à privacidade dos titulares e a necessidade das instituições financeiras e demais agentes de tratamento de acessar 
  informações relevantes para a análise de risco de crédito. 

Botão Voltar ao topo