A fiscalização saiu do papel. Veja o que está no radar do órgão e onde sua empresa pode estar exposta.
Introdução
Por muito tempo, adequação à LGPD significava ter um aviso de privacidade no site, uma política interna publicada e um treinamento pontual realizado. Esse conjunto era suficiente para dizer que a empresa estava coberta. O problema é que a ANPD não avalia intenção, avalia evidência.
O órgão encerrou a fase educativa e está operando como fiscalizador ativo. Em dezembro de 2025, publicou o Mapa de Temas Prioritários para o biênio 2026-2027, com pelo menos 75 ações de fiscalização previstas. A pergunta deixou de ser “quando o regulador vai agir” e passou a ser “quem ele vai visitar primeiro”.
Abaixo estão os sete pontos que concentram maior risco para as empresas nesse ciclo de fiscalização.
1. Base legal não documentada para cada tratamento de dados
Todo dado que sua empresa coleta e processa precisa de uma justificativa legal prevista na LGPD. Consentimento, legítimo interesse, execução de contrato — cada tratamento precisa ter sua base registrada e acessível. Sem isso, qualquer ação de fiscalização pode resultar em auto de infração, independentemente de como os dados estão sendo usados na prática.
2. Canal de resposta a titulares inexistente ou lento
A ANPD tem investigado falhas no atendimento aos direitos dos titulares, como acesso, correção, portabilidade e exclusão de dados. Se sua empresa não tem um fluxo estruturado para receber, registrar e responder essas solicitações dentro dos prazos legais, esse é um ponto de vulnerabilidade direta.
3. Rastreabilidade insuficiente do tratamento de dados
Em uma fiscalização, a pergunta central é: onde estão os dados, como são usados e quem tem acesso. Sem rastreabilidade documentada, não há como responder a essas perguntas de forma satisfatória. Registros espalhados em planilhas, pastas de rede e e-mails não constituem evidência de conformidade.
4. Conformidade tratada como projeto, sem monitoramento contínuo
O erro mais recorrente é adequar uma vez, arquivar os documentos e seguir em frente. A Deliberação CD-10/2025 passou a prever multas diárias em caso de descumprimento de medidas cautelares, o que reforça que proteção de dados exige operação contínua. Ter feito a adequação não é suficiente se os controles não estão sendo monitorados e mantidos ativos.
5. Dados biométricos, de saúde e financeiros sem controles específicos
Esses são dados sensíveis com exigências reforçadas na LGPD. A ANPD previu 40 ações fiscalizatórias com foco especial nessas categorias. Empresas que coletam ou processam esse tipo de dado precisam ter controles de acesso, registros de tratamento e bases legais específicas documentadas, separados do restante da operação de dados.
6. Uso de dados para publicidade direcionada e perfilamento sem base legal clara
Se sua empresa usa dados de clientes para segmentar campanhas ou criar perfis de comportamento, está no escopo direto do que a ANPD declarou como prioritário. O ponto de atenção é a base legal: consentimento ou legítimo interesse precisam estar documentados e o titular precisa ter sido informado sobre esse uso de forma clara.
7. Sistemas de IA que usam dados pessoais sem governança documentada
Ao incluir inteligência artificial como eixo prioritário, a ANPD sinalizou que sistemas que utilizam dados pessoais estarão sujeitos a escrutínio quanto à transparência, mitigação de vieses e segurança. Isso vale independentemente de um marco legal específico de IA. Se sua empresa usa ferramentas automatizadas que processam dados de pessoas, a governança desses sistemas precisa estar documentada.
O que esses sete pontos têm em comum
Todos eles dependem de rastreabilidade e monitoramento contínuo. Não basta ter feito a adequação. É preciso conseguir demonstrar que os controles estão ativos, que os processos estão sendo seguidos e que os dados tratados têm base legal documentada e acessível.
Quem ainda gerencia isso em planilhas e e-mails vai ter dificuldade para responder a qualquer uma dessas frentes em uma autuação real.
A Gopliance centraliza a gestão de LGPD com rastreabilidade, workflows estruturados e monitoramento contínuo. Se quiser entender como isso funciona na prática para a sua operação, fale com um especialista.






