A Autoridade Nacional de Proteção de Dados aprovou a agenda regulatória para o biênio 2025-2026, com foco em aprimorar a proteção de dados pessoais no Brasil. Publicada no Diário Oficial da União nesta quarta, 11/12, a resolução detalha iniciativas prioritárias como biometria, dados de crianças e adolescentes e inteligência artificial.
A ordem de priorização prevê quatro fases:
Fase 1: itens cujos processos regulatórios são provenientes da Agenda Regulatória para o biênio 2023-2024; Fase 2: itens cujo início do processo regulatório acontecerá em até 1 ano; Fase 3: itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses; Fase 4: itens cujo início do processo regulatório acontecerá em até 2 anos.
Entre os principais tópicos na Fase 1, vale mencionar:
- Direitos dos Titulares: A regulamentação de artigos da LGPD (como 9º, 18, 19 e 20) busca garantir direitos fundamentais aos cidadãos, como acesso, retificação e exclusão de dados.
- Relatórios de Impacto à Proteção de Dados: O objetivo é estabelecer diretrizes para avaliar riscos associados ao tratamento de dados, essencial para prevenir violações.
- Compartilhamento de Dados pelo Poder Público: Será regulamentado o uso e a comunicação de dados entre órgãos públicos e entidades privadas, visando maior transparência e conformidade legal.
- Proteção de Dados de Crianças e Adolescentes: A ANPD planeja reforçar as diretrizes para proteção digital desse público, abordando consentimento parental e segurança em plataformas online.
- Biometria e Reconhecimento Facial: A regulação buscará equilibrar segurança e privacidade no uso crescente de tecnologias biométricas, como controle em escolas e transações financeiras.
- Inteligência Artificial: Haverá continuidade nas discussões sobre o impacto da IA na privacidade, com foco na aplicação da LGPD em sistemas de decisão automatizada.
A agenda também inclui iniciativas nas Fases 2, 3 e 4, como a criação de diretrizes para anonimização de dados e o tratamento de informações sensíveis no setor de saúde. Cada etapa será acompanhada de esforços educativos, visando conscientizar e preparar empresas e instituições para as mudanças.
AGENDA REGULATÓRIA ANPD 2025-2026
| Item | Iniciativa | Descrição | Priorização |
| 1 | Direitos dos titulares | A LGPD estabelece os direitos dos titulares, mas diversos pontos demandam regulamentação, em especial os artigos 9º, 18, 19 e 20. | Fase 1 |
| 2 | Relatório de Impacto à Proteção de Dados Pessoais | De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe à ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre | Fase 1 |
| relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais. | |||
| 3 | Compartilhamento de dados pelo Poder Público | O Capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A ação regulatória tem por objetivo estabelecer os requisitos a serem observados nas hipóteses de | Fase 1 |
| compartilhamento de dados pessoais pelo Poder Público. Destaca-se, em particular, o disposto no art. 30 da LGPD, que atribui à ANPD competência para estabelecer normas complementares para as | |||
| atividades de comunicação e de uso compartilhado de dados pessoais. Além disso, é necessária a regulamentação dos arts. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder | |||
| Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei. | |||
| 4 | Tratamento de dados pessoais de crianças e adolescentes | O principal objetivo desta ação regulatória é estabelecer procedimentos e orientações com vistas à garantia de direitos e à proteção de dados pessoais de crianças e adolescentes, especialmente no | Fase 1 |
| ambiente digital. Conforme abordado na Tomada de Subsídios realizada entre junho e agosto de 2024, integram o escopo do projeto os seguintes temas: (i) o princípio do melhor interesse; (ii) o consentimento | |||
| fornecido por pais e responsáveis; (iii) a coleta de informações por jogos e aplicações de internet; (iv) a transparência das operações realizadas com dados pessoais de crianças e adolescentes; (v) os | |||
| mecanismos de aferição de idade de usuários de jogos e aplicações de internet; e (vi) a definição de orientações e a identificação de boas práticas, que expressem um conjunto de princípios | |||
| normativos, tecnologias e medidas de design, que promovam e assegurem a privacidade e a efetiva proteção de dados pessoais de crianças e adolescentes em jogos e aplicações de internet. | |||
| 5 | Dados Pessoais Sensíveis – Dados biométricos | Conforme abordado no estudo “Biometria e reconhecimento facial” (Radar Tecnológico, ANPD, 2024), o tratamento de dados biométricos se ampliou e se popularizou nos últimos anos, em especial | Fase 1 |
| para fins de verificação de identidade com técnicas de reconhecimento facial em contextos diversos, tais como o ambiente escolar, controle de fronteiras, estádios de futebol e transações financeiras. | |||
| Se, por um lado, o tratamento desses dados pode ampliar a segurança e auxiliar a prevenção de fraudes; por outro lado, também são ampliados os riscos sobre os titulares, a exemplo de impactos negativos | |||
| decorrentes de erros dos sistemas utilizados e de efeitos discriminatórios sobre grupos vulneráveis. | |||
| Considerando a relevância do assunto, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo, com vistas ao estabelecimento de parâmetros | |||
| que assegurem a realização do tratamento de dados biométricos de forma equilibrada e compatível com a legislação de proteção de dados pessoais. | |||
| 6 | Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança) | Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações | Fase 1 |
| acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões | |||
| técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, | |||
| especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei. | |||
| 7 | Inteligência Artificial | O projeto dará continuidade às discussões iniciadas com a Tomada de Subsídios sobre o tema, divulgada em novembro de 2024. Será considerado, especialmente, o estabelecimento de parâmetros | Fase 1 |
| interpretativos para a aplicação do art. 20 da LGPD, que dispõe sobre o direito de revisão de decisões automatizadas. | |||
| Além disso, tendo em vista a aplicação da LGPD nos contextos de treinamento e uso de sistemas de IA, também serão considerados no projeto os seguintes aspectos: (i) direitos dos titulares; (ii) | |||
| princípios da LGPD; (iii) hipóteses legais; e (iv) boas práticas e governança. | |||
| 8 | Tratamento de Dados Pessoais de Alto Risco | O projeto atende ao disposto no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno | Fase 1 |
| porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. O objetivo principal é disponibilizar aos agentes de tratamento, em especial os de pequeno porte, orientações e parâmetros para a | |||
| definição e a identificação de hipóteses de tratamento de dados pessoais de alto risco. | |||
| 9 | Organizações religiosas | A ação regulatória tem por objetivo estabelecer orientações para as organizações religiosas quanto às medidas necessárias para a sua adequação à LGPD, considerando as suas especificidades. | Fase 1 |
| 10 | Anonimização e pseudonimização | Em atendimento ao art. 12, § 3º, da LGPD, a ação regulatória tem por objetivo dispor sobre padrões e técnicas utilizados em processos de anonimização e de pseudonimização, de forma a apresentar | Fase 1 |
| orientações e esclarecimentos sobre o tema, em conformidade com o previsto na LGPD. | |||
| 11 | Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade | Em atenção à determinação legal disposta no art. 55- J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária | Fase 2 |
| para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as diretrizes estratégicas e os subsídios que devem ser | |||
| propostos pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), conforme previsto no art. 58-B, I, da LGPD. | |||
| 12 | Regras de boas práticas e de governança | O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular | Fase 2 |
| regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de | |||
| segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e | |||
| outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e | |||
| aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. | |||
| A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional. | |||
| 13 | Agregadores de dados pessoais | Conforme previsto no Mapa de Temas Prioritários 2024-2025, a atividade de agregadores de dados pessoais foi incluída entre os temas prioritários da fiscalização da ANPD. Os agregadores frequentemente | Fase 2 |
| utilizam a raspagem de dados, uma prática que levanta questões críticas sobre sua conformidade com os princípios da LGPD, especialmente quanto à finalidade, à boa-fé e à proteção dos direitos dos titulares. | |||
| Fornecer orientação clara acerca das medidas de transparência a serem adotadas, das hipóteses legais adequadas aos tratamentos de dados pessoais | |||
| realizados pelos agregadores e dos limites ao uso de dados públicos e tornados manifestamente públicos, entre outros aspectos, é essencial para melhor guiar os agentes de tratamento e prevenir abusos. | |||
| 14 | Dados pessoais sensíveis: dados de saúde | A LGPD estabelece regras mais rígidas ao tratamento de dados pessoais sensíveis, notadamente dados de saúde. Um dos aspectos considerados pela LGPD é o compartilhamento de dados pessoais | Fase 2 |
| referentes à saúde com fins econômicos. Nesse sentido, o art. 11, § 3º, determina que a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter | |||
| vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da ANPD, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. | |||
| Por sua vez, o § 4º do mesmo artigo veda a comunicação ou o uso compartilhado de dados pessoais referentes à saúde entre controladores com objetivo de obter vantagem econômica, ressalvadas as | |||
| exceções previstas no mesmo dispositivo e em seus incisos. Outros aspectos relevantes a serem considerados pela ação regulatória são: (i) o conceito de dado pessoal sensível referente à saúde; e (ii) as | |||
| hipóteses legais específicas relacionadas à área de saúde, especialmente as previstas no art. 7º, VIII e no art. 11, II, “f”, da LGPD. A ação regulatória deverá considerar as especificidades do Sistema Único de Saúde | |||
| (SUS) e dos agentes de tratamento que atuam no setor, tais como as operadoras de saúde suplementar. Além disso, serão observados os requisitos e as especificidades decorrentes da regulação | |||
| setorial. | |||
| 15 | Hipótese Legal – Consentimento | A ação regulatória tem por objetivo estabelecer parâmetros e orientações acerca dos requisitos a serem observados na utilização da hipótese legal do consentimento. | Fase 3 |
| A validade do consentimento depende de elementos como a liberdade de escolha, a clareza das informações prestadas, a finalidade específica do tratamento e a possibilidade de revogação a qualquer | |||
| momento, sem ônus para o titular. | |||
| 16 | Hipótese Legal -Proteção ao Crédito | Em um cenário onde as informações financeiras dos indivíduos são cada vez mais utilizadas para análises e decisões de concessão de crédito, a proteção desses dados torna-se crucial para garantir a | Fase 4 |
| privacidade e a segurança dos titulares. A iniciativa regulatória sobre a hipótese legal de proteção ao crédito, prevista no art. 7º, X, da LGPD, poderá fornecer orientações aos agentes de tratamento acerca da sua | |||
| aplicação, permitindo o equilíbrio entre o direito à privacidade dos titulares e a necessidade das instituições financeiras e demais agentes de tratamento de acessar | |||
| informações relevantes para a análise de risco de crédito. |
Siga-nos
