Como o Encarregado de Proteção de Dados Pode Auxiliar sua Empresa no Cumprimento da Agenda Regulatória da ANPD 2025-2026
Nos últimos anos, a proteção de dados pessoais se tornou uma prioridade para as empresas brasileiras. A Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018) estabeleceu um marco regulatório essencial para garantir o tratamento adequado das informações pessoais, impondo obrigações rigorosas aos agentes de tratamento.
Nesse contexto, a Autoridade Nacional de Proteção de Dados (ANPD) desempenha um papel crucial na regulamentação e fiscalização do cumprimento da LGPD. Recentemente, foi publicada a Resolução nº 23, de 9 de dezembro de 2024, que aprova a Agenda Regulatória para o biênio 2025-2026. Essa agenda define as prioridades da ANPD, organizadas em fases de implementação, e impõe desafios para empresas de todos os setores.
Diante desse cenário, o Encarregado de Proteção de Dados – também chamado de Data Protection Officer (DPO) – é um ator fundamental para auxiliar as organizações na adequação à LGPD e na conformidade com as novas regulamentações da ANPD. Seu papel vai além da simples observância legal: ele deve atuar de forma estratégica, preventiva e educativa dentro das empresas.
Neste artigo, exploramos como o encarregado pode contribuir para o cumprimento da Agenda Regulatória da ANPD 2025-2026, garantindo que as organizações estejam em conformidade e evitando riscos regulatórios e financeiros.
1. O Papel do Encarregado de Proteção de Dados na Governança Corporativa
A LGPD, em seu artigo 41, estabelece que o controlador de dados deve indicar um encarregado para atuar como canal de comunicação entre a empresa, os titulares dos dados e a ANPD. O Guia de Atuação do Encarregado, publicado pela própria ANPD, esclarece que suas atribuições incluem:
Orientar funcionários e contratados sobre as práticas de proteção de dados;
Receber reclamações e comunicações dos titulares e adotar providências necessárias;
Interagir com a ANPD, prestando esclarecimentos e auxiliando nas fiscalizações;
Monitorar o cumprimento da LGPD dentro da organização, promovendo boas práticas de governança.
Além dessas funções básicas, o encarregado deve atuar de forma proativa, antecipando riscos e garantindo que a empresa esteja preparada para as mudanças regulatórias. Isso é especialmente importante diante da nova Agenda Regulatória da ANPD, que traz temas como relatórios de impacto, tratamento de dados biométricos, inteligência artificial e medidas de segurança obrigatórias.
2. Principais Demandas da Agenda Regulatória 2025-2026 e Como o Encarregado Pode Auxiliar
A Resolução nº 23/2024 da ANPD estrutura a agenda em quatro fases, sendo a Fase 1 a mais urgente, por tratar de temas já em debate desde a agenda regulatória anterior (2023-2024). Entre os principais temas da Fase 1, destacam-se:
2.1. Relatórios de Impacto à Proteção de Dados Pessoais (DPIA)
O artigo 38 da LGPD determina que os controladores realizem Relatórios de Impacto à Proteção de Dados (DPIA) sempre que um tratamento de dados possa representar riscos aos direitos dos titulares.
A ANPD planeja regulamentar detalhadamente essa obrigação em 2025, o que exigirá das empresas a implementação de uma metodologia robusta para avaliar riscos e adotar medidas preventivas.
Como o encarregado pode auxiliar?
Coordenando a elaboração do DPIA dentro da empresa;
Orientando os setores internos sobre os critérios de risco;
Garantindo que o relatório seja atualizado conforme novas diretrizes da ANPD.
2.2. Medidas de Segurança e Proteção de Dados Sensíveis
O artigo 46 da LGPD impõe aos agentes de tratamento o dever de adotar medidas de segurança técnicas e administrativas para proteger os dados pessoais. A Agenda Regulatória prevê regulamentação específica para padrões mínimos de segurança, incluindo diretrizes sobre dados biométricos e informações de crianças e adolescentes.
Como o encarregado pode auxiliar?
Implementando um Programa de Segurança da Informação alinhado às novas exigências;
Garantindo a adoção de criptografia, controle de acesso e anonimização para dados sensíveis;
Treinando equipes para o gerenciamento adequado de incidentes de segurança.
2.2.1. Quais seriam essas novas exigências?
As novas exigências relacionadas à implementação de um Programa de Segurança da Informação (PSI) decorrem principalmente da Agenda Regulatória da ANPD 2025-2026, da Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e de boas práticas de segurança da informação adotadas globalmente.
A Resolução nº 23/2024 da ANPD inclui como um dos temas prioritários a regulamentação das medidas de segurança técnicas e administrativas, especialmente no que diz respeito a dados sensíveis, biométricos e o tratamento de dados de crianças e adolescentes.
Principais exigências e diretrizes:
a).Obrigação de Medidas Técnicas e Administrativas (Art. 46 da LGPD)
O artigo 46 da LGPD exige que controladores e operadores adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado.
A Agenda Regulatória da ANPD pretende detalhar quais serão os padrões mínimos obrigatórios, o que pode incluir:
i. Implementação de firewalls, criptografia e autenticação multifator (MFA);
ii. Monitoramento contínuo para detecção de vazamentos de dados;
iii. Políticas internas para responder a incidentes de segurança.
b).Padrões Mínimos de Segurança para Dados Sensíveis e Biometria
A regulamentação proposta estabelecerá parâmetros para o uso de dados biométricos, um tema sensível devido ao risco de fraudes e discriminação. Conforme mencionado no Radar Tecnológico da ANPD 2024, o reconhecimento facial e outras formas de biometria devem seguir critérios rígidos de privacidade.
Possíveis exigências:
i. Proteção contra falsificação e ataques de identidade em sistemas biométricos;
ii. Restrição do armazenamento e compartilhamento de dados biométricos;
iii. Exigência de consentimento expresso para coleta e uso desses dados.
c).Regras Específicas para Segurança no Tratamento de Dados de Crianças e Adolescentes
O tratamento de dados de menores exige garantias adicionais para prevenir abusos, conforme o artigo 14 da LGPD. A ANPD prevê regulamentar critérios mais rígidos sobre:
i. Métodos de consentimento verificável dos responsáveis legais;
ii. Limitações à coleta excessiva de dados em aplicativos e plataformas;
iii. Proibição do uso de dados de menores para publicidade segmentada.
d).Normas sobre Governança e Gerenciamento de Riscos
A Fase 2 da Agenda Regulatória prevê a criação de regras formais de governança que devem ser adotadas pelos controladores e operadores.
Essas normas podem exigir que empresas:
i. Tenham um plano documentado de gestão de riscos envolvendo dados pessoais;
ii. Implementem auditorias periódicas para verificar conformidade;
iii. Possuam um comitê de proteção de dados, coordenado pelo Encarregado de Proteção de Dados (DPO).
e).Tratamento de Dados Pessoais de Alto Risco
A ANPD planeja definir critérios para identificar operações de alto risco, conforme já previsto no Regulamento para Pequenos Agentes de Tratamento (Resolução CD/ANPD nº 2/2022).
Possíveis impactos incluem:
i. Empresas que lidam com grande volume de dados sensíveis podem ter regras mais rígidas;
ii. Necessidade de Relatórios de Impacto à Proteção de Dados (DPIA) obrigatórios antes de certos tratamentos;
iii. Exigência de medidas adicionais de mitigação de riscos.
2.3. Inteligência Artificial e Tomada de Decisão Automatizada
A ANPD pretende aprofundar a regulamentação sobre o uso de Inteligência Artificial (IA) e o direito à revisão de decisões automatizadas (artigo 20 da LGPD). Essa iniciativa é essencial para garantir transparência e ética no tratamento de dados, principalmente em áreas como crédito, RH e publicidade.
Como o encarregado pode auxiliar?
Assegurando que sistemas de IA respeitem os princípios da finalidade, transparência e não discriminação;
Implementando processos para garantir o direito dos titulares à explicação e revisão de decisões automatizadas;
Avaliando o impacto da IA na privacidade dos titulares e sugerindo ajustes técnicos e jurídicos.
3. A Importância da Proatividade na Conformidade Regulatória
O cumprimento da LGPD não deve ser encarado apenas como uma obrigação legal, mas como uma estratégia de governança e mitigação de riscos. Empresas que adotam uma postura reativa tendem a enfrentar dificuldades para se adequar às exigências da ANPD, podendo sofrer multas, sanções e danos reputacionais.
Para evitar esses problemas, o encarregado deve atuar de forma preventiva, garantindo que a organização:
i. Implemente treinamentos contínuos sobre proteção de dados para seus funcionários;
ii. Estabeleça processos internos claros para a gestão de incidentes e solicitações dos titulares;
iii. Monitore o cumprimento das obrigações regulatórias e antecipe ajustes necessários;
iv. Interaja ativamente com a ANPD, participando de consultas públicas e acompanhando novas regulamentações.
Conclusão
A Agenda Regulatória da ANPD para 2025-2026 trará desafios importantes para empresas que lidam com dados pessoais. O Programa de Segurança da Informação (PSI) deve ser adaptado às novas regulamentações da ANPD e alinhado às melhores práticas internacionais, como ISO 27001, NIST e OWASP. Com a nova regulamentação, as empresas precisarão adotar uma abordagem mais rigorosa e estruturada para a segurança dos dados, sendo essencial que o encarregado de proteção de dados atue de forma estratégica na implementação e monitoramento dessas diretrizes. O Encarregado de Proteção de Dados será um elemento essencial nesse processo, pois atuará como conector estratégico entre a organização e a conformidade legal.
Ao garantir a implementação de práticas sólidas de governança e proteção de dados, o encarregado não apenas previne riscos jurídicos e financeiros, mas também fortalece a reputação e a credibilidade da empresa no mercado. Empresas que investem em compliance digital, segurança da informação e transparência no uso de dados estarão mais preparadas para enfrentar os desafios regulatórios e construir relações de confiança com clientes e parceiros.
Portanto, mais do que uma exigência legal, a atuação do encarregado representa um diferencial competitivo essencial no cenário corporativo atual.
Gleison Estefano Gonçalves Fonseca
Coordenador Nacional do Comitê de Proteção De Dados da ANACO BRASIL
Embaixador da Regional Minas Gerais da ANACO BRASIL
Especialista em Direito Digital. Especialista em Proteção e Privacidade de Dados (DPO/EXIN). Advogado (OABMG 174209) com mais de 10 anos de experiência. Fundador e Diretor responsável do escritório de advocacia especialista em direito digital Estéfano Fonseca Sociedade Individual de Advocacia. DPO as a Service para empresas em geral. Palestrante da LGPD. Executivo da empresa LNS Conectividade MG. Experiência e atuação direta no setor de Tecnologia da Informação e Comunicação a Mais de 20 anos.
Linkidin: ttps://www.linkedin.com/in/est%C3%A9fano-fonseca/
Estéfano Fonseca - Embaixador e Coordenador ANACO BRASIL
Mín. ° Máx. °
Mín. ° Máx. °
Mín. ° Máx. °