Em outubro de 2025 o Congresso converteu em lei a MP que transformou a ANPD em agência reguladora, com autonomia financeira, carreira própria de especialistas e poder de fiscalização. O período educativo acabou. Em 2026 a postura é de cobrança: clientes, parceiros, investidores e auditores passam a perguntar pela mesma coisa que o regulador, prova de que o tratamento de dados é controlado.
Os números deixaram de ser teóricos. A multa por infração chega a 2% do faturamento, com teto de R$ 50 milhões, e há multa diária que pode alcançar R$ 50 mil por dia de descumprimento. Em dezembro de 2025 a ANPD publicou o Mapa de Temas Prioritários para 2026-2027 com quatro eixos: direitos dos titulares com foco em dados biométricos, de saúde e financeiros; crianças e adolescentes; poder público; e inteligência artificial.
O setor importa. Financeiro e fintechs, e-commerce e marketplaces, empresas que tratam dados de crianças, telemarketing e cobrança estão na linha de frente. As infrações mais autuadas são previsíveis: ausência de base legal, vazamento, falta de transparência, não atendimento aos direitos do titular e segurança da informação precária.
Transforme obrigações de LGPD em runs auditáveis
No Cadenio, cada atendimento ao titular, descarte de dados e resposta a incidente roda como workflow com prazo, responsável nomeado e trilha de auditoria. A evidência que a ANPD pede fica pronta antes de ela perguntar.
Começar gratuitamenteA própria lei reconhece um único atenuante real, o programa de conformidade documentado e funcional. DPO ativo, bases legais definidas, plano de resposta a incidente. O problema é que a maioria dos times tem a política em PDF, mas não consegue provar que ela rodou. Quando a ANPD pede a data em que um consentimento foi coletado ou em que um pedido de titular foi respondido, o PDF não responde.
“Na sanção, vale o que rodou, não o que estava no PDF.”
A saída é rodar cada obrigação recorrente como workflow com trilha de auditoria. Atendimento ao titular com SLA para não estourar o prazo legal. Descarte de dados como rotina mensal com responsável nomeado. Resposta a incidente com timeline registrado, contenção e comunicação dentro do prazo. Due diligence de operador com o DPA anexado em campo de evidência. Cada run vira prova recuperável anos depois.
Comece pelos dados que a ANPD colocou no topo. Mapeie quais dos quatro eixos tocam o seu setor e priorize biométrico, saúde e financeiro. Não é sobre ter mais documento, é sobre ter o registro de execução que diferencia a sua empresa na hora da sanção.