Por seis anos, a ANPD existiu como órgão dentro da Presidência, sem carreira própria, sem orçamento independente. Nesse período, aplicou apenas R$ 14.400 em multas, contra a Telekall Infoservice, uma microempresa de telemarketing. Os demais casos foram contra órgãos públicos, que por lei não recebem multa pecuniária, apenas advertência e medidas corretivas. Uma agência orientativa, sem dentes. Nós acompanhamos essa transição de perto e o sinal é claro: o modelo orientativo acabou.
A virada institucional: Lei 15.352/2026 e o poder de polícia
Isso mudou em fevereiro de 2026. A Lei 15.352/2026, sancionada em 25 de fevereiro, transformou a ANPD em autarquia vinculada ao Ministério da Justiça. Ganhou autonomia financeira, carreira própria (200 cargos, concurso em 24 de junho de 2026) e poder de polícia: interdição e apreensão de bens. A transição de modelo orientativo para sancionador é institucional, não retórica.
Não é mais uma agência que orienta. É uma agência que interdita e apreende. A diferença entre advertir e interditar é a diferença entre um ofício e uma ordem de parada. Para quem trata LGPD como checklist de compliance, isso muda o cálculo de risco. Para quem trata como arquitetura, muda o cálculo de prioridade.
O primeiro caso: Claro, Serasa e as três infrações
O primeiro caso de sanção contra grande empresa privada veio em 8 de junho de 2026. A ANPD abriu processo administrativo sancionador contra a Claro e novo processo de fiscalização contra a Serasa Experian. Claro compartilhava mais de 100 dados diferentes por cliente com a Serasa. Três infrações: compartilhamento excessivo (Art. 6º, III), falta de transparência com titulares (Art. 6º, VI e Art. 9º) e canal do DPO não efetivo (Art. 41).
O contrato acabou em 2023, mas a fiscalização seguiu. Multa potencial: até 2% do faturamento no Brasil, limitado a R$ 50 milhões por infração. Claro também recebeu aviso para contratos. Importante: é processo administrativo sancionador, não condenação. Mas o sinal para o mercado é inequívoco — a ANPD agora processa grande empresa privada, não apenas microempresa de telemarketing ou órgão público.
56 agentes, 27 cumpriram, 8 com pendências, 21 silenciosas
Em 25 de junho, a ANPD concluiu monitoramento de conformidade do DPO e canais de comunicação. Monitorou 56 agentes. Os 27 que cumpriram plenamente foram arquivados: a fiscalização funciona como correção, não punição. Os 8 com pendências, incluindo Google e iFood, têm 10 dias úteis para regularizar. Até grandes techs têm gaps.
Os 21 que não responderam foram encaminhadas para sanção. Não responder à ANPD agora é obstrução, não silêncio. A lógica mudou: no modelo orientativo, não responder era omissão tolerável. No modelo sancionador, não responder é evidência de descumprimento. A fiscalização que vem não avisa — e quem não responde quando avisa, perde a chance de corrigir.
O que muda na prática: DPO, necessidade, incidentes e IA
O que isso muda para quem opera infraestrutura e dados: DPO não é cargo cerimonial, é canal efetivo de comunicação com titulares. Compartilhamento de dados precisa de avaliação de necessidade documentada. Incidentes devem ser notificados à ANPD em 3 dias úteis. O Mapa Prioritário 2026-2027 prioriza 75 ações em quatro eixos sobre qualquer fiscalização. A ANPD também prepara para regular IA (PL 2338).
A arquitetura que sobrevive é Zero Trust desde o desenho, com least privilege e segurança para IA. É o que implementamos na Tech86. Não se trata de reagir à fiscalização — trata-se de desenhar para que a fiscalização não encontre o que procurar. Least privilege reduz o escopo de qualquer incidente. Micro-segmentação contém o lateral movement. MFA em todo acesso admin reduz o vetor que mais comprometeu infraestrutura nos últimos 12 meses, segundo relatórios de threat intel.
O Mapa Prioritário 2026-2027: 75 ações em quatro eixos
O Mapa Prioritário 2026-2027 da ANPD prioriza 75 ações em quatro eixos sobre qualquer fiscalização pontual. Isso significa que a fiscalização não é reativa — é planejada e sistemática. Os quatro eixos cobrem desde governança de dados até segurança da informação, desde direitos do titular até internacionalização de dados. Quem opera infraestrutura precisa entender que a ANPD não está procurando um caso — está construindo um programa de fiscalização contínua.
A diferença entre o modelo anterior e o atual é estrutural. Antes, a ANPD respondia a denúncias e incidentes. Agora, ela define prioridades anuais, aloca os 200 cargos de carreira própria e executa. O concurso de 24 de junho de 2026 não é simbólico — é a base operacional para 75 ações fiscalizatórias. Quem espera a fiscalização bater à porta para se preparar já está em desvantagem. A preparação precisa ser anterior ao Mapa, não posterior à sanção.
Conclusão: o custo de não estar pronto já não é teórico
Nós repetimos: a fiscalização que vem não avisa, e o custo de não estar pronto já não é teórico. A ANPD passou de R$ 14.400 em seis anos para multa potencial de R$ 50 milhões por infração. O modelo orientativo acabou. O modelo sancionador chegou com poder de interdição e apreensão. As 21 empresas que não responderam descobriram isso tarde demais.
Na Tech86, nós ajudamos empresas a desenhar arquitetura que sobrevive à fiscalização — Zero Trust desde o desenho, least privilege, DPO efetivo, workflow de incidentes em 3 dias úteis e preparação para regulação de IA. Antes da sanção, não depois.