LGPD em 2026: o que sua empresa de tecnologia precisa revisar agora

A ANPD intensificou fiscalização em 2026. Saiba o que mudou na LGPD, os 4 eixos de fiscalização, ECA Digital, IA e o que sua empresa de tecnologia precisa revisar agora.

Sumário

A fase pedagógica da LGPD acabou.

Durante anos, a ANPD atuou como educadora do mercado, orientando, publicando guias, abrindo consultas públicas. Esse período terminou. Com a publicação de atos normativos no final de 2025, a Agência sinalizou que 2026 e 2027 serão marcados por mais previsibilidade regulatória e fiscalização cada vez mais direcionada a riscos concretos.

Para empresas de tecnologia, isso tem um significado específico: os quatro eixos prioritários de fiscalização da ANPD para 2026 são direitos dos titulares, tratamento de dados de crianças e adolescentes, tratamento de dados pelo Poder Público e inteligência artificial e tecnologias emergentes. Três dos quatro afetam diretamente quem desenvolve software, opera plataformas ou processa dados em escala.

Este artigo explica o que mudou, o que a ANPD está fiscalizando agora e o que sua empresa precisa revisar, com praticidade, sem juridiquês.

O que você vai encontrar neste artigo

1. O que mudou na LGPD entre 2024 e 2026

A lei em si não mudou. O que mudou foi tudo ao redor dela: regulamentações da ANPD, decisões judiciais, capacidade de fiscalização e o nível de maturidade esperado das empresas.

As principais regulamentações publicadas pela ANPD desde 2024:

Resolução nº 15/2024 — Comunicação de incidentes: estabeleceu o prazo de 3 dias úteis para comunicar incidentes relevantes à ANPD e aos titulares afetados. Acabou com a ambiguidade sobre “quando” e “como” notificar;

Resolução nº 18/2024 — DPO obrigatório: tornou obrigatória a designação formal do Encarregado de Dados (DPO) e a publicização de seu contato para a maioria das empresas. Em dezembro de 2024, a ANPD iniciou fiscalização direcionada a 20 empresas de grande porte que não cumpriram as obrigações do Art. 41 da LGPD e da Resolução nº 18/2024;

Resolução nº 19/2024 — Transferências internacionais: regulamentou as condições para transferir dados pessoais para o exterior, trazendo segurança jurídica para empresas com operações globais ou que usam infraestrutura de nuvem estrangeira;

Deliberação CD-10/2025 — Multas diárias: introduziu multas diárias por descumprimento de medidas cautelares, aumentando a pressão para adequação imediata quando a ANPD determina uma correção;

ECA Digital (Lei nº 15.211/2025): entrou em vigor em março de 2026 e impõe aos provedores de tecnologia obrigações como adoção de medidas técnicas para prevenir acesso inadequado por menores, configuração padrão mais protetiva quanto à privacidade e avaliação de conteúdo conforme faixa etária.

2. Os 4 eixos de fiscalização da ANPD para 2026

A ANPD publicou seu Mapa de Temas Prioritários para o biênio 2025-2026. Entender esses eixos é entender onde a fiscalização vai bater primeiro.

Eixo 1 — Direitos dos titulares

A ANPD está verificando se as empresas têm processos funcionais para responder às solicitações dos titulares: acesso, correção, eliminação, portabilidade, revogação de consentimento. Não basta ter uma política de privacidade que mencione esses direitos, precisa ter um canal real, com responsável e prazo de resposta.

O gatilho das fiscalizações de 2024 foi exatamente esse: empresas que não tinham DPO designado ou que tinham canal de contato que não funcionava na prática.

Eixo 2 — Dados de crianças e adolescentes

Com o ECA Digital em vigor desde março de 2026, qualquer plataforma, aplicativo ou software que possa ser acessado por menores precisa ter configurações padrão de privacidade mais restritivas e mecanismos de verificação de idade. Isso afeta especialmente plataformas de educação, jogos, redes sociais e qualquer produto B2C.

Eixo 3 — Inteligência Artificial

A ANPD tem foco no monitoramento do uso secundário de dados pessoais, com atenção especial a dados biométricos, de saúde e financeiros. Para empresas que usam IA, em recomendações, análise de comportamento, decisões automatizadas ou treinamento de modelos, o risco regulatório é crescente.

Decisões automatizadas que afetam titulares precisam ter transparência e possibilidade de revisão humana. Se o seu produto usa IA para tomar ou influenciar decisões sobre pessoas, isso precisa estar documentado e informado na política de privacidade.

Eixo 4 — Tratamento de alto risco

Dados biométricos, dados de saúde, dados financeiros e qualquer tratamento em larga escala estão no radar. Para esses casos, o RIPD (Relatório de Impacto à Proteção de Dados) deixa de ser recomendação e passa a ser exigência prática em qualquer fiscalização.

3. O que a ANPD pode fazer na prática: sanções reais

Muitas empresas ainda calculam o risco da LGPD apenas pela multa máxima de R$ 50 milhões. Esse não é o cenário mais provável, nem o mais perigoso para a maioria das empresas de tecnologia.

As sanções disponíveis para a ANPD (Art. 52 da LGPD):

Advertência com prazo para correção: a sanção mais comum em primeira ocorrência. Parece leve, mas gera um registro formal e obriga a implementação de medidas com prazo definido, e o descumprimento do prazo agrava a situação.

Multa simples: até 2% do faturamento bruto anual, limitada a R$ 50 milhões por infração. Para uma empresa com faturamento de R$ 5 milhões, a multa potencial chega a R$ 100.000; com R$ 20 milhões de faturamento, R$ 400.000.

Multa diária: introduzida em 2025, com o mesmo teto. Aplicada para forçar a cessação de violação continuada. Uma empresa que recebe determinação da ANPD e não corrige pode acumular multas por cada dia de descumprimento.

Publicização da infração: o dano reputacional de ter o nome da empresa associado a uma sanção da ANPD pode ser mais custoso que a multa em si, especialmente para empresas que vendem para outras empresas e passam por due diligence.

Bloqueio de dados: suspensão temporária do tratamento dos dados envolvidos na infração. Para uma empresa SaaS, isso pode significar interrupção parcial do serviço.

Suspensão das atividades de tratamento: a sanção mais grave. Raramente aplicada, mas prevista em lei.

O que os tribunais estão decidindo:

O STJ decidiu em setembro de 2025 que a disponibilização indevida de dados pessoais gera dano moral presumido, basta o fato da divulgação para gerar direito à indenização, sem necessidade de provar dano concreto. Isso significa que um incidente de segurança pode gerar não apenas sanção da ANPD, mas dezenas ou centenas de ações judiciais individuais ou coletivas.

O custo médio de uma violação de dados no Brasil chegou a R$ 7,19 milhões em 2025, um aumento de 6,5% em relação ao ano anterior. Esse número inclui custos de investigação, notificação, resposta a incidentes e dano reputacional, não apenas multas.

4. O que empresas de tecnologia precisam revisar agora

A fiscalização da ANPD em 2026 não está verificando apenas documentos. A convocação de 80 novos profissionais, incluindo especialistas em tecnologia da informação, indica fiscalizações mais técnicas, mais profundas, analisando processos reais, fluxos de dados, contratos, sistemas e medidas de segurança.

Isso muda o que precisa estar em ordem. Não basta ter uma política de privacidade publicada no site. Precisa ter processos que funcionam.

Mapeamento de dados (Data Mapping)

O mapa de dados precisa estar atualizado e refletir a realidade atual da empresa, não o que era verdade quando foi feito há dois anos. Para empresas de tecnologia que lançam funcionalidades novas com frequência, o mapeamento precisa ser revisado a cada mudança relevante no produto.

O mapa deve cobrir: quais dados são coletados, qual a base legal de cada tratamento, onde estão armazenados, quem tem acesso, com quem são compartilhados, por quanto tempo são retidos e o que acontece com eles ao término do ciclo de vida.

Bases legais documentadas

Cada operação de tratamento de dados precisa ter uma base legal identificada e documentada. As mais relevantes para empresas de tecnologia:

Execução de contrato: quando o tratamento é necessário para cumprir o serviço contratado pelo usuário. É a base mais sólida para dados de uso do produto.

Legítimo interesse: permite o tratamento para finalidades legítimas da empresa, desde que não prevaleçam direitos e liberdades dos titulares. Precisa de RIPD quando envolve dados em escala.

Consentimento: útil para finalidades opcionais, como marketing. Exige registro do consentimento, canal de revogação e gestão de preferências.

Cumprimento de obrigação legal: para retenção de dados exigida por lei (nota fiscal, registros trabalhistas, etc.).

Política de privacidade atual

A política de privacidade precisa descrever o produto real, não um produto genérico. Se sua empresa usa IA, coleta dados biométricos, compartilha dados com parceiros ou transfere dados para o exterior, tudo isso precisa estar descrito de forma clara e acessível.

Uma política de privacidade que não menciona os dados que o produto de fato coleta não apenas descumpre a LGPD, é um passivo em qualquer processo de due diligence.

Canal de atendimento a titulares

O canal precisa funcionar. A ANPD verificou em 2024 que muitas empresas tinham um e-mail de privacidade que ninguém monitorava. Precisa ter: canal identificado e publicizado, responsável designado para responder, prazo de resposta definido (recomendável: até 15 dias), e registro das solicitações recebidas e respondidas.

Contratos com fornecedores (DPA)

Todo fornecedor que acessa dados pessoais dos seus clientes ou usuários é um operador e precisa de um DPA (Data Processing Agreement) formalizado. Isso inclui: provedores de nuvem (AWS, Azure, GCP), ferramentas de analytics (Google Analytics, Mixpanel), CRM, plataformas de e-mail marketing, ferramentas de suporte ao cliente, e qualquer API de terceiros que receba dados pessoais.

Operar sem DPA com esses fornecedores é uma das irregularidades mais comuns encontradas em fiscalizações e due diligence.

Plano de resposta a incidentes

A Resolução nº 15/2024 estabeleceu prazo de 3 dias úteis para comunicar incidentes relevantes. Sem um plano documentado e testado, cumprir esse prazo é praticamente impossível.

O plano precisa definir: o que caracteriza um incidente que exige comunicação, quem é responsável pela comunicação interna e externa, como avaliar a gravidade e o impacto, como notificar a ANPD (pelo portal gov.br/anpd) e como comunicar os titulares afetados.

5. LGPD e Inteligência Artificial: o novo risco para empresas de tecnologia

Esse é o tema que mais vai dominar a pauta regulatória nos próximos 24 meses e as empresas de tecnologia estão no centro.

Onde o risco está:

Treinamento de modelos com dados pessoais: se sua empresa usa dados de usuários para treinar ou refinar modelos de IA, precisa de base legal para esse uso secundário dos dados. O usuário que forneceu dados para usar um serviço não autorizou automaticamente o uso desses dados para treinar IA.

Decisões automatizadas: a LGPD garante ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por sistemas automatizados que afetem seus interesses. Isso inclui: aprovação de crédito, recomendações com impacto relevante, moderação de conteúdo, precificação dinâmica.

Dados biométricos em IA: reconhecimento facial, análise de voz, biometria comportamental, são dados sensíveis que exigem base legal reforçada (consentimento específico ou obrigação legal) e RIPD obrigatório.

O que fazer agora:

Para cada modelo de IA ou sistema de decisão automatizada que processa dados pessoais, a empresa deve: documentar quais dados são usados e com qual finalidade, identificar a base legal, avaliar se há impacto relevante sobre titulares (e se sim, fazer RIPD), e informar na política de privacidade de forma clara e acessível.

6. ECA Digital: a nova obrigação que entrou em vigor em março de 2026

A Lei nº 15.211/2025, o ECA Digital, foi sancionada em setembro de 2025 e entrou em vigor em março de 2026, com vacatio legis de apenas seis meses.

Para empresas de tecnologia, as principais obrigações são:

Configuração padrão protetiva: plataformas que podem ser acessadas por menores devem ter, por padrão, as configurações mais restritivas de privacidade, não a mais permissiva com opção de restrição.

Avaliação de conteúdo por faixa etária: sistemas de classificação etária e controles de acesso proporcional à idade.

Medidas técnicas de prevenção: impedimento de acesso a conteúdos inadequados, pornográficos ou ilegais.

Proteção de dados de crianças e adolescentes como dado sensível: qualquer tratamento de dados de menores exige atenção redobrada, consentimento dos responsáveis e avaliação de impacto.

Se seu produto pode ser acessado por menores, aplicativo, plataforma, jogo, ferramenta educacional, essa lei afeta você agora.

7. DPO em 2026: obrigação real com fiscalização ativa

O DPO (Data Protection Officer) ou Encarregado de Proteção de Dados deixou de ser recomendação e passou a ser objeto de fiscalização ativa da ANPD.

O que a Resolução nº 18/2024 exige:

A designação do DPO precisa ser formal, documentada e publicizada, nome ou identificação do DPO e canal de contato precisam estar acessíveis no site ou política de privacidade da empresa.

Quem pode ser DPO:

O DPO pode ser um colaborador interno ou um profissional externo contratado para a função. Para startups e empresas de pequeno porte, o DPO externo é a opção mais comum e adequada, permite acesso a conhecimento especializado sem o custo de uma contratação CLT.

O que o DPO precisa fazer na prática:

Monitorar a conformidade interna com a LGPD, ser o canal de comunicação com a ANPD, receber e coordenar respostas a solicitações de titulares, orientar a equipe sobre proteção de dados, e coordenar a resposta a incidentes.

O que acontece sem DPO:

A ausência de DPO foi o motivo da fiscalização das 20 empresas notificadas pela ANPD em 2024. O processo pode resultar em advertência com prazo para regularização, e o descumprimento do prazo leva a sanções mais graves.

8. Contratos de tecnologia e LGPD: onde estão os gaps

Para empresas que desenvolvem ou licenciam software, a LGPD não pode ficar em um documento separado, precisa estar integrada à estrutura contratual.

Os gaps mais comuns encontrados em contratos de tecnologia:

Ausência de DPA: o contrato de licenciamento ou SaaS não define papéis de controlador e operador, não estabelece obrigações de segurança do operador, não prevê o procedimento de comunicação de incidentes e não regula o que acontece com os dados ao término do contrato.

Portabilidade não prevista: o cliente tem direito à portabilidade dos seus dados ao encerrar o contrato. Sem cláusula expressa sobre formato de exportação, prazo e responsabilidade pelos custos, isso vira disputa, especialmente quando o encerramento ocorre por inadimplência.

Suboperadores não mapeados: o contrato não menciona os provedores de nuvem e ferramentas de terceiros que processam dados em nome da licenciante. A ANPD considera que o controlador responde pelos suboperadores que o operador utiliza.

Retenção de dados sem prazo definido: o contrato não estabelece por quanto tempo os dados ficam retidos após o término da relação comercial. A manutenção indefinida de dados sem base legal é infração.

O que o contrato precisa ter:

Definição clara dos papéis de controlador e operador, DPA como cláusula ou anexo com todas as obrigações do operador, lista dos suboperadores autorizados, prazo máximo de retenção após término do contrato, procedimento de exportação e devolução de dados, prazo de notificação de incidentes (máximo 72 horas para comunicação interna), e limitação de responsabilidade proporcional ao risco do tratamento.

9. Checklist de revisão para 2026

Use esta lista para identificar onde estão as lacunas da sua empresa:

Governança:

  • DPO designado e contato publicizado no site;
  • Canal de atendimento a titulares funcionando e monitorado;
  • Política de privacidade atualizada e refletindo o produto real;
  • Registro de Operações de Tratamento atualizado.

Mapeamento e bases legais:

  • Data Mapping atualizado (revisado nos últimos 12 meses);
  • Base legal identificada e documentada para cada tratamento;
  • RIPD realizado para tratamentos de alto risco;
  • Consentimentos coletados com registro e canal de revogação.

Contratos e fornecedores:

  • DPA formalizado com todos os fornecedores que acessam dados pessoais;
  • Contratos de licenciamento/SaaS com cláusulas de LGPD;
  • Lista de suboperadores mapeada e comunicada aos clientes.

Segurança:

  • Plano de resposta a incidentes documentado e testado;
  • Criptografia de dados em repouso e em trânsito;
  • Controle de acesso por perfil implementado;
  • Autenticação multifator para sistemas críticos.

Tecnologias emergentes:

  • Tratamento de dados em IA documentado com base legal;
  • Sistemas de decisão automatizada com mecanismo de revisão humana;
  • Dados biométricos com base legal reforçada e RIPD.

ECA Digital (se aplicável):

  • Verificação de idade implementada;
  • Configurações padrão protetivas para menores;
  • Avaliação de conteúdo por faixa etária.

10. Quanto custa adequar — e quanto custa não adequar

Custo de adequação: Para empresas de tecnologia de pequeno porte (startups, SaaS em estágio inicial): entre R$ 5.000 e R$ 15.000 para um projeto completo, mapeamento, revisão de contratos, DPA com fornecedores, política de privacidade, DPO externo e treinamento básico.

Para empresas de médio porte com produto em escala: a partir de R$ 15.000, dependendo do volume de tratamentos, contratos a revisar e complexidade do produto.

Custo de não adequar: O custo médio de uma violação de dados no Brasil chegou a R$ 7,19 milhões em 2025. Esse número inclui custos de resposta ao incidente, notificação, dano reputacional e perda de negócios, não conta as multas da ANPD nem as ações judiciais de titulares.

Para uma startup com faturamento de R$ 2 milhões, uma multa de 2% significa R$ 40.000. Uma violação de dados com notificação de centenas de usuários pode resultar em dezenas de ações individuais de dano moral presumido, cada uma com pedidos entre R$ 3.000 e R$ 10.000.

O investimento em adequação é, invariavelmente, menor do que o custo de qualquer sanção relevante.

FAQ

Minha empresa é pequena. A ANPD realmente fiscaliza PMEs? Sim. A primeira multa da ANPD foi contra uma microempresa. A Resolução CD/ANPD nº 2/2022 prevê regimes simplificados para microempresas e startups, mas não as isenta das obrigações fundamentais, DPO, canal de atendimento, política de privacidade e base legal para tratamentos.

Preciso de RIPD para tudo? Não. O RIPD é exigido para tratamentos que possam gerar riscos elevados aos direitos e liberdades dos titulares: dados em larga escala, dados sensíveis, decisões automatizadas com impacto relevante, monitoramento sistemático. Para tratamentos cotidianos de baixo risco, não é necessário.

Minha empresa usa AWS/Azure. Preciso de DPA com eles? Sim. Os grandes provedores de nuvem já têm DPA padronizado disponível, basta aceitar formalmente os termos de processamento de dados que eles disponibilizam. O importante é que o aceite seja registrado e que você saiba quais regiões de dados estão sendo utilizadas.

O que fazer se minha empresa sofrer um vazamento de dados? Acionar o plano de resposta a incidentes imediatamente. Avaliar a gravidade e o impacto. Se o incidente for relevante (risco para os titulares), comunicar a ANPD em até 3 dias úteis pelo portal gov.br/anpd, e comunicar os titulares afetados. Documentar todo o processo.

Consentimento é a melhor base legal para tudo? Não. O consentimento é a base legal mais frágil porque pode ser revogado a qualquer momento e exige gestão contínua. Para tratamentos necessários à execução do serviço, a base “execução de contrato” é mais adequada. Reserve o consentimento para finalidades genuinamente opcionais.

Minha empresa usa IA generativa para desenvolver software. Isso afeta a LGPD? Depende do que é inserido nas ferramentas de IA. Se desenvolvedores colam dados pessoais de clientes em prompts de IA generativa, isso é um tratamento de dados pessoais e exige base legal e avaliação de impacto. Muitas empresas têm esse risco sem perceber.

Transferências internacionais de dados agora têm regras? Sim. A Resolução nº 19/2024 da ANPD regulamentou as transferências internacionais. Para transferir dados para países sem nível adequado de proteção, é necessário mecanismo de salvaguarda, cláusulas contratuais padrão aprovadas pela ANPD ou certificação de conformidade.

Como a Legroski aborda LGPD para empresas de tecnologia

Na Legroski, conformidade com LGPD para empresas de tecnologia não é entregar um pacote de documentos. É entender como o produto funciona, quais dados coleta, como processa, com quem compartilha e construir a estrutura jurídica que reflete essa realidade.

O resultado é uma documentação que protege de verdade: política de privacidade que descreve o produto real, DPA que cobre os fornecedores reais, contratos que endereçam os riscos específicos do modelo de negócio.

Atendemos startups em fase de estruturação, scale-ups que precisam adequar a documentação antes de uma rodada de investimento e empresas maduras que precisam revisar a conformidade após crescimento acelerado ou mudança no produto.

Quer identificar onde está a exposição da sua empresa? Primeira conversa sem custo para mapear os pontos críticos da sua estrutura atual.

Atualizado em março de 2026 | Por Gabriele Legroski Padilha | Legroski Advogados – Advocacia para Empresas de Tecnologia

@legroski.advogados | comercial@legroski.com

Inscreva-se na Newsletter

Quer receber conteúdo atualizado toda semana?