RESOLUÇÃO CD/ANPD Nº 031, DE 23.12.2025

Item

Iniciativa

Descrição

Priorização

1

Direitos dos titulares

A LGPD estabelece os direitos dos titulares, mas diversos pontos demandam regulamentação, em especial os artigos 9º, 18, 19 e 20.

Fase 1

2

Relatório de Impacto à Proteção de Dados Pessoais

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe à ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

Fase 1

3

Compartilhamento de dados pelo Poder Público

O Capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A ação regulatória tem por objetivo estabelecer os requisitos a serem observados nas hipóteses de compartilhamento de dados pessoais pelo Poder Público. Destaca-se, em particular, o disposto no art. 30 da LGPD, que atribui à ANPD competência para estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.

Fase 1

Além disso, é necessária a regulamentação dos arts. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei.

4

Dados Pessoais Sensíveis - Dados biométricos

Conforme abordado no estudo "Biometria e reconhecimento facial" (Radar Tecnológico, ANPD, 2024), o tratamento de dados biométricos se ampliou e se popularizou nos últimos anos, em especial para fins de verificação de identidade com técnicas de reconhecimento facial em contextos diversos, tais como o ambiente escolar, controle de fronteiras, estádios de futebol e transações financeiras. Se, por um lado, o tratamento desses dados pode ampliar a segurança e auxiliar a prevenção de fraudes; por outro lado, também são ampliados os riscos sobre os titulares, a exemplo de impactos negativos decorrentes de erros dos sistemas utilizados e de efeitos discriminatórios sobre grupos vulneráveis.

Fase 1

Considerando a relevância do assunto, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo, com vistas ao estabelecimento de parâmetros que assegurem a realização do tratamento de dados biométricos de forma equilibrada e compatível com a legislação de proteção de dados pessoais.

5

Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança)

Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei.

Fase 1

6

Inteligência Artificial

O projeto dará continuidade às discussões iniciadas com a Tomada de Subsídios sobre o tema, divulgada em novembro de 2024. Será considerado, especialmente, o estabelecimento de parâmetros interpretativos para a aplicação do art. 20 da LGPD, que dispõe sobre o direito de revisão de decisões automatizadas. Além disso, tendo em vista a aplicação da LGPD nos contextos de treinamento e uso de sistemas de IA, também serão considerados no projeto os seguintes aspectos: (i) direitos dos titulares; (ii) princípios da LGPD; (iii) hipóteses legais; e (iv) boas práticas e governança.

Fase 1

7

Tratamento de Dados Pessoais de Alto Risco

O projeto atende ao disposto no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. O objetivo principal é disponibilizar aos agentes de tratamento, em especial os de pequeno porte, orientações e parâmetros para a definição e a identificação de hipóteses de tratamento de dados pessoais de alto risco.

Fase 1

8

Organizações religiosas

A ação regulatória tem por objetivo estabelecer orientações para as organizações religiosas quanto às medidas necessárias para a sua adequação à LGPD, considerando as suas especificidades.

Fase 1

9

Anonimização e pseudonimização

Em atendimento ao art. 12, § 3º, da LGPD, a ação regulatória tem por objetivo dispor sobre padrões e técnicas utilizados em processos de anonimização e de pseudonimização, de forma a apresentar orientações e esclarecimentos sobre o tema, em conformidade com o previsto na LGPD.

Fase 1

10

Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade

Em atenção à determinação legal disposta no art. 55- J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as diretrizes estratégicas e os subsídios que devem ser propostos pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), conforme previsto no art. 58-B, I, da LGPD.

Fase 2

11

Agregadores de dados pessoais

Conforme previsto no Mapa de Temas Prioritários 2024-2025, a atividade de agregadores de dados pessoais foi incluída entre os temas prioritários da fiscalização da ANPD. Os agregadores frequentemente utilizam a raspagem de dados, uma prática que levanta questões críticas sobre sua conformidade com os princípios da LGPD, especialmente quanto à finalidade, à boa-fé e à proteção dos direitos dos titulares.

Fase 2

Fornecer orientação clara acerca das medidas de transparência a serem adotadas, das hipóteses legais adequadas aos tratamentos de dados pessoais realizados pelos agregadores e dos limites ao uso de dados públicos e tornados manifestamente públicos, entre outros aspectos, é essencial para melhor guiar os agentes de tratamento e prevenir abusos.

12

Dados pessoais sensíveis: dados de saúde

A LGPD estabelece regras mais rígidas ao tratamento de dados pessoais sensíveis, notadamente dados de saúde. Um dos aspectos considerados pela LGPD é o compartilhamento de dados pessoais referentes à saúde com fins econômicos. Nesse sentido, o art. 11, § 3º, determina que a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da ANPD, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.

Fase 2

Por sua vez, o § 4º do mesmo artigo veda a comunicação ou o uso compartilhado de dados pessoais referentes à saúde entre controladores com objetivo de obter vantagem econômica, ressalvadas as exceções previstas no mesmo dispositivo e em seus incisos. Outros aspectos relevantes a serem considerados pela ação regulatória são: (i) o conceito de dado pessoal sensível referente à saúde; e (ii) as hipóteses legais específicas relacionadas à área de saúde, especialmente as previstas no art. 7º, VIII e no art. 11, II, "f", da LGPD.

A ação regulatória deverá considerar as especificidades do Sistema Único de Saúde (SUS) e dos agentes de tratamento que atuam no setor, tais como as operadoras de saúde suplementar. Além disso, serão observados os requisitos e as especificidades decorrentes da regulação setorial.

13

Fornecedores de produtos ou serviços de tecnologia da informação: escopo e obrigações gerais do ECA Digital

A iniciativa regulatória prevê a elaboração de um guia orientativo com o objetivo de esclarecer o alcance dos principais conceitos relacionados ao escopo de aplicação do ECA Digital. Com este intuito, serão abordados os conceitos de "produto ou serviço de tecnologia da informação" (arts. 1º, caput; e 2º, I) e de (ii) "acesso provável" (art. 1º, parágrafo único). Além disso, serão consideradas as exceções ao âmbito de incidência do ECA Digital, conforme previstas em seu art. 39, § 1º, especialmente quanto aos conceitos de "provedores de conteúdos com controle editorial" e "provedores de conteúdos protegidos por direitos autorais".

Fase 2

O Guia pretende, ainda, fixar orientações sobre os deveres de prevenção, de proteção, de informação e de segurança (art. 5º e seguintes). Tais deveres se desdobram em obrigações gerais que devem ser cumpridas pelos fornecedores de produtos ou serviços de tecnologia da informação referidos no art. 1º da Lei. Assim, também quanto a este aspecto, a apresentação de orientações interpretativas é importante para a adequada compreensão do escopo de aplicação do ECA Digital e para conferir maior segurança jurídica ao processo de implementação da lei pelos agentes regulados.

14

Fiscalização e Sanção do ECA Digital - Revisão das Resoluções CD/ANPD nº 1, de 28 de outubro de 2021, e nº 4, de 24 de fevereiro de 2023

Na elaboração do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Agência Nacional de Proteção de Dados, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021 e do Regulamento de Dosimetria e Aplicação de Sanções Administrativas (RDAS), aprovado pela Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, foram consideradas as disposições contidas na LGPD, levando em conta particularidades que são inerentes ao campo da proteção de dados pessoais e privacidade.

Fase 2

Com a recente aprovação do ECA Digital, as novas competências envolvendo a fiscalização e sanção, atribuídas a ANPD pelo Decreto nº 12.622, de 17 de setembro de 2025, devem ser consideradas na atuação desta Agência. Ademais, o art. 35, §1º, do ECA Digital cria parâmetros específicos que devem ser considerados na aplicação das sanções de advertência e multa. Logo, para a construção de um arcabouço regulatório coeso, as normas administrativas existentes devem ser reavaliadas para que as novas competências e os novos critérios previstos no ECA Digital sejam incorporados.

A ação regulatória também poderá abarcar esclarecimentos sobre, por exemplo, a participação deamicus curiaee terceiros interessados, fases e prazos processuais, prazos para decisão em recursos administrativos, prescrição administrativa, termos de ajustamento de conduta, entre outros temas.

15

Mecanismos de aferição de idade

O ECA Digital previu a adoção de mecanismos de aferição de idade a fim de assegurar experiências adequadas à idade de crianças e adolescentes no ambiente digital, respeitadas a autonomia progressiva e a diversidade de contextos socioeconômicos brasileiros.

Fase 2

Nos termos do art. 12 da Lei, esse dever foi atribuído aos provedores de lojas de aplicações de internet e de sistemas operacionais, os quais, entre outras obrigações, devem fornecer sinal de idade aos provedores de aplicações de internet. Por sua vez, independentemente das medidas adotadas pelos sistemas operacionais e lojas de aplicações, os fornecedores de produtos ou serviços de tecnologia da informação devem implementar mecanismos próprios para impedir o acesso indevido de crianças e adolescentes a conteúdos inadequados a sua faixa etária, conforme o art. 14, parágrafo único, do ECA Digital. Para isso, o legislador previu que os fornecedores adotem mecanismos confiáveis de verificação de idade a cada acesso do usuário a conteúdo, produto ou serviço impróprio, inadequado ou proibido para menores de 18 anos, vedada a autodeclaração.

Diante dessas determinações legais e considerando o disposto no art. 11 do ECA Digital, que prevê que o poder público poderá atuar como regulador, certificador ou promotor de soluções técnicas de verificação de idade, a ação busca propor solução regulatória com base em requisitos para o uso de mecanismos de aferição de idade, considerando modelos de negócio, riscos às crianças e adolescentes e salvaguardas para o tratamento de dados pessoais. Para isso, devem ser consideradas as premissas teóricas e de proporcionalidade regulatória diante dos métodos relacionados à verificação, estimativa, inferência e outras soluções técnicas disponíveis. A ação levará em consideração o ato do Poder Executivo a ser expedido nos termos do art. 12, § 3º, do ECA Digital.

16

Processo normativo no âmbito da Agência Nacional de Proteção de Dados: revisão da Portaria 16, de 08 de julho de 2021

A atualização da Portaria 16, de 08 de julho de 2021, que dispõe sobre o processo de regulamentação no âmbito da Autoridade Nacional de Proteção de Dados, é oportuna frente à transformação da ANPD em Agência Reguladora, de modo a garantir plena convergência da autarquia com a Lei 13.848/2019.

Fase 3

Neste sentido, a revisão da Portaria 16/2016 permitirá a uniformização do normativo interno da ANPD à luz da legislação vigente, incluindo, sem prejuízo de outros temas, o necessário detalhamento de procedimentos e prazos para realização de ARR na ANPD, as metodologias cabíveis para realização de AIR e os prazos para publicização das críticas e as sugestões encaminhadas pelos interessados que participam em consultas públicas da agência. Além disso, a revisão da Portaria 16 também poderá abordar mecanismos e espaços de interlocução com crianças e adolescentes em ações regulatórias relacionadas ao ECA Digital.

17

Regras de boas práticas e de governança

O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Fase 4

Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela ANPD.

18

Hipótese Legal - Consentimento

A ação regulatória tem por objetivo estabelecer parâmetros e orientações acerca dos requisitos a serem observados na utilização da hipótese legal do consentimento.

A validade do consentimento depende de elementos como a liberdade de escolha, a clareza das informações prestadas, a finalidade específica do tratamento e a possibilidade de revogação a qualquer momento, sem ônus para o titular.

Fase 4

19

Hipótese Legal - Proteção ao Crédito

Em um cenário onde as informações financeiras dos indivíduos são cada vez mais utilizadas para análises e decisões de concessão de crédito, a proteção desses dados torna-se crucial para garantir a privacidade e a segurança dos titulares. A iniciativa regulatória sobre a hipótese legal de proteção ao crédito, prevista no art. 7º, X, da LGPD, poderá fornecer orientações aos agentes de tratamento acerca da sua aplicação, permitindo o equilíbrio entre o direito à privacidade dos titulares e a necessidade das instituições financeiras e demais agentes de tratamento de acessar informações relevantes para a análise de risco de crédito.

Fase 4