ANPD vira agência reguladora e intensifica fiscalização em meio a megavazamentos
Lei 15.352/2026 fortalece a Agência Nacional de Proteção de Dados, que enfrenta vazamentos recordes e amplia ações contra plataformas de IA.
A proteção de dados no Brasil entrou em uma nova fase institucional com a sanção da Lei nº 15.352, em 25 de fevereiro de 2026, que transformou a Autoridade Nacional de Proteção de Dados em Agência Nacional de Proteção de Dados, conferindo-lhe status de autarquia de natureza especial vinculada ao Ministério da Justiça e Segurança Pública. A mudança, que decorreu da necessidade de regulamentar e fiscalizar o Estatuto Digital da Criança e do Adolescente (ECA Digital), equipara a ANPD às demais agências reguladoras federais, como Anatel e Aneel, garantindo autonomia funcional, técnica, decisória, administrativa e financeira. A lei também criou a Carreira de Regulação e Fiscalização de Proteção de Dados, com 200 novos cargos de Especialista em Regulação de Dados Pessoais a serem preenchidos por concurso público. Em abril de 2026, o Decreto 12.881/2026 consolidou a nova estrutura regimental com seis superintendências, concluindo o processo de fortalecimento institucional.
- Planalto – Lei 15.352/2026
- IDS – Nova lei transforma ANPD em agência reguladora
- LGPD Embras – ANPD ganha nova estrutura
- Legislação e Mercados – Capital Aberto
O cenário de incidentes cibernéticos no Brasil segue alarmante. Em abril de 2026, a plataforma Vecert Threat Intelligence publicou relatório alertando sobre a oferta na dark web de uma base denominada MORGUE, com 251,7 milhões de registros de CPFs supostamente extraídos do portal Gov.br, vendida por apenas 500 dólares. O Ministério da Gestão e da Inovação negou qualquer invasão aos sistemas governamentais, e especialistas avaliam que pode se tratar de dados antigos reorganizados. Paralelamente, o CTIR Gov classificou como crítico o vazamento de dados, códigos-fonte e documentos internos da Dígitro Tecnologia, fornecedora de soluções de segurança para mais de 150 instituições governamentais, recomendando medidas emergenciais como isolamento de interfaces e auditoria de credenciais. Segundo relatório da IBM, o custo médio de uma violação de dados no Brasil alcançou 7,19 milhões de reais em 2025, com alta de 6,5 por cento em relação ao ano anterior.
- iMasters – Vazamento de 251 milhões de CPFs
- CTIR Gov – Recomendação 05/2026
- Doc Management – Vazamentos reforçam preocupação
- Hardware.com.br – Alerta máximo MORGUE
A atuação da ANPD contra plataformas de inteligência artificial marcou o primeiro semestre de 2026. Em janeiro, a Agência, em conjunto com o Ministério Público Federal e a Secretaria Nacional do Consumidor, expediu recomendação à plataforma X para que impedisse a geração de deepfakes sexualizados por meio da ferramenta Grok, após denúncias de manipulação de fotografias reais para criar conteúdo íntimo sem consentimento. Diante da insuficiência das providências informadas pela empresa, as três instituições determinaram, em fevereiro, medida preventiva exigindo implementação imediata de mecanismos de bloqueio, com prazo de cinco dias úteis para comprovação de eficácia. A ANPD fundamentou sua atuação nos artigos 46 e 49 da LGPD, apontando violação ao princípio da finalidade, ausência de base legal para tratamento de dados sensíveis e falhas nos deveres de segurança. A ação conjunta estabeleceu um parâmetro regulatório inédito para a responsabilização de provedores de IA generativa no país.
Apesar do fortalecimento institucional, especialistas apontam que o enforcement sancionatório da ANPD ainda precisa amadurecer para gerar dissuasão efetiva. Até maio de 2026, o teto de 50 milhões de reais por infração previsto na LGPD não havia sido aplicado em sua plenitude. A primeira e mais emblemática multa, de 14,4 mil reais contra a microempresa Telekall Infoservice em 2023, permanece como referência simbólica do início da atuação punitiva. O Correio Braziliense publicou análise do advogado Matheus Puppe apontando que a manutenção de sanções em valores baixos pode gerar o efeito contrário ao desejado, incentivando a percepção de que a LGPD seria um incômodo negociável. A fiscalização tem se concentrado em falhas de segurança, comunicação inadequada de incidentes e ausência de encarregado, sem atingir ainda práticas mais complexas como decisões automatizadas, integração de bases e cadeia de fornecedores.
- Correio Braziliense – Multas baixas e LGPD
- WebLegal.ai – Top 10 multas LGPD 2026
- Barbieri Advogados – Multa LGPD
O horizonte regulatório para o segundo semestre de 2026 aponta para a conclusão de normas sobre o uso de dados biométricos, tema que a ANPD vem trabalhando desde a abertura de tomada de subsídios em junho de 2025. A nota técnica da agência analisou 1.594 contribuições de 88 participantes e identificou consensos, como a classificação dos dados biométricos como sensíveis, mas também profundas divergências sobre reconhecimento facial em espaços públicos e uso de biometria no treinamento de inteligência artificial. Outro marco foi o reconhecimento mútuo, em janeiro de 2026, de que a LGPD e o GDPR europeu oferecem níveis equivalentes de proteção, formalizado pela Resolução nº 32/2026, o que facilitou fluxos internacionais de dados entre Brasil e União Europeia. A agenda da ANPD também inclui foco em publicidade comportamental, transferências internacionais e setores como saúde e finanças, sinalizando uma fase em que a adequação pontual à lei tende a ser insuficiente diante de uma fiscalização cada vez mais técnica e estruturada.