LGPD em 2026: o que mudou, o que ainda não foi cumprido e o que vem por aí

Dizer que sua empresa está "em conformidade com a LGPD" virou algo tão barato quanto dizer que ela tem "foco no cliente". A declaração não custa nada, raramente é verificada e quase nunca corresponde à realidade operacional. A diferença entre ter um documento de Política de Privacidade no rodapé do site e efetivamente tratar dados pessoais com controles adequados é enorme — e essa diferença começa a ter preço. A Autoridade Nacional de Proteção de Dados saiu do período de aprendizado e está construindo o histórico de fiscalização que vai definir o padrão de enforcement no Brasil pelos próximos anos. Entender onde estamos em 2026 é, antes de qualquer coisa, entender a distância entre o que foi dito e o que foi feito.

O que a ANPD efetivamente fez até aqui

A ANPD começou sua atuação sancionatória de forma gradual, o que gerou nos primeiros anos uma percepção equivocada de que o órgão não teria força para autuar. Esse diagnóstico estava errado, apenas adiantado. Ao longo de 2024 e 2025, a Autoridade consolidou processos administrativos sancionadores em setores como saúde, financeiro e varejo digital, com multas que chegaram ao patamar de R$ 50 milhões em casos de maior gravidade — o teto previsto em lei por infração é de 2% do faturamento no Brasil, limitado a R$ 50 milhões por infração.

Mais relevante do que o valor nominal das multas é o padrão das violações priorizadas. A ANPD não tem perseguido descuidos pontuais. Os casos mais graves envolvem ausência de base legal para tratamento, compartilhamento de dados sem consentimento informado, e — especialmente — incidentes de segurança que não foram comunicados no prazo de 72 horas exigido pelo regulamento de incidentes publicado em 2023. Esse último ponto merece atenção: a obrigação de notificação existe, o prazo é conhecido, e ainda assim empresas continuam reportando incidentes com semanas de atraso ou somente quando pressionadas por usuários afetados.

Setores mais expostos e por quê

Saúde e financeiro lideram o mapa de risco não por acaso. São os setores que tratam dados sensíveis em volume, têm bases de usuários amplas e historicamente construíram infraestruturas de dados com foco em negócio, não em governança. A combinação de dados de saúde — categoria especialmente protegida pela LGPD — com sistemas legados sem controles de acesso adequados criou um perfil de risco que a ANPD identificou cedo.

No varejo digital, o problema é diferente. Não é tanto a sensibilidade dos dados quanto a escala do tratamento e a cadeia de compartilhamento com terceiros — plataformas de mídia, fornecedores de CRM, ferramentas de analytics, redes de afiliados. Cada integração é um vetor de risco, e a maioria das empresas não tem mapeamento atualizado de quem recebe quais dados. O Relatório de Impacto à Proteção de Dados Pessoais — o RIPD — que a lei exige para tratamentos de alto risco continua sendo o documento mais ignorado do compliance de privacidade brasileiro.

Startups e fintechs cresceram rápido e terceirizaram o compliance para escritórios de advocacia que entregaram documentação sem transformar processos internos. O resultado é o compliance de prateleira: políticas bem escritas, DPO nomeado no papel, e práticas internas que não mudaram.

O gap entre "temos a política" e "tratamos dados adequadamente"

Compliance de verdade não começa no jurídico. Começa no inventário de dados — saber o que a empresa coleta, onde armazena, por quanto tempo retém, quem acessa e com quem compartilha. A maioria das empresas brasileiras nunca fez esse mapeamento de forma abrangente. Fizeram o que era visível: atualizar o aviso de privacidade, adicionar banner de cookies, nomear um DPO.

O que ficou para trás é o trabalho técnico: implementar controles de acesso baseados em função para bases de dados com informações pessoais, criar rotinas de exclusão automática ao final do prazo de retenção, garantir que logs de acesso a dados pessoais sejam mantidos e monitorados, construir fluxos de resposta a requisições de titulares que funcionem dentro do prazo legal de 15 dias. Esses são processos de engenharia e operações, não de comunicação — e exigem que as equipes de tecnologia entendam a lei tão bem quanto o jurídico.

A prova de que o gap é real aparece nos próprios incidentes reportados à ANPD: a maioria envolve sistemas que deveriam ter controles elementares de segurança mas não os tinham, porque a empresa nunca tratou dados pessoais como ativo que exige gestão específica.

O que está vindo: decisões automatizadas e transferências internacionais

Dois temas dominam a agenda regulatória da ANPD para 2026 e 2027. O primeiro é a regulamentação de decisões automatizadas — o artigo 20 da LGPD garante ao titular o direito de revisão humana de decisões tomadas exclusivamente por algoritmos que afetem seus interesses. A ANPD está desenvolvendo norma específica sobre o tema, com impacto direto em concessão de crédito, precificação de seguros, seleção de candidatos em processos seletivos e moderação de conteúdo em plataformas. Empresas que operam nesses modelos precisam preparar a documentação dos critérios utilizados — não como exercício retórico, mas como processo auditável.

O segundo tema é a adequação para transferências internacionais de dados. O Brasil ainda não possui decisão de adequação reconhecida pela União Europeia, o que limita a livre circulação de dados entre os dois blocos. A ANPD está trabalhando nas cláusulas contratuais padrão que permitirão transferências para países sem nível de proteção equivalente ao brasileiro, e as organizações que operam com subsidiárias ou fornecedores no exterior precisarão rever seus contratos assim que o regulamento for publicado. Adiar essa análise para depois da publicação é garantir correria desnecessária.

Como preparar o que ainda não foi feito

Prioridade um: completar o inventário de dados se ele não existir ou estiver desatualizado. Não é possível gerenciar o que não está mapeado, e a ANPD tem exigido esse documento como primeiro passo em qualquer investigação. Prioridade dois: revisar a cadeia de suboperadores e garantir que os contratos com terceiros que recebem dados pessoais incluam as cláusulas exigidas pela lei. Prioridade três: testar os processos de resposta a titulares — muitas empresas têm o canal de contato, mas nunca simularam uma requisição de portabilidade ou exclusão para verificar se conseguem cumprir o prazo.

A distinção que vai separar quem está bem posicionado de quem vai sofrer com autuações não é a presença de documentos. É a existência de processos que funcionam de forma repetível e auditável, com responsáveis identificados e registros que demonstram o cumprimento. Esse nível de maturidade demora para construir — o que significa que a vantagem de quem começou cedo é real e crescente.

Leia também

• LGPD dois anos depois: o que realmente mudou nas empresas brasileiras
• Data dignity: o próximo passo depois da privacidade
• LGPD em Aplicativos: Guia de Conformidade
• LGPD nas Startups: Compliance e Estratégias de Proteção de Dados
• Compliance Digital: Guia de Conformidade para Produtos Digitais
• Compliance Digital: Comparativo na Pratica