LGPD em 2026: O Que Mudou e o Que a ANPD Está Fiscalizando Agora
Dra. Camila Ferreira
Advogada | DPO Certificada
A LGPD completou seis anos de vigência em 2026. E se nos primeiros anos a ANPD ainda estava estruturando sua capacidade de fiscalização, o cenário de 2026 é completamente diferente: processos administrativos em andamento, sanções aplicadas em série e o setor de saúde e estética como alvo declarado de fiscalização prioritária.
Se você ainda está em modo "vou me adequar quando tiver tempo", o tempo acabou.
O que mudou regulatoriamente em 2025-2026
Regulamento de Comunicação de Incidentes (2025)
A ANPD publicou regulamentação específica sobre comunicação de incidentes de segurança, estabelecendo:
- Prazo de 72 horas para notificação de incidentes que representem risco relevante aos titulares
- Formulário padronizado de comunicação no portal gov.br
- Obrigação de notificar os titulares afetados em linguagem clara e acessível
- Critérios objetivos para determinar quando um incidente precisa ser notificado
Para clínicas de estética, isso significa: celular roubado com dados de pacientes, sistema invadido, ficha de anamnese enviada para pessoa errada — tudo precisa ser avaliado e possivelmente notificado em 72 horas.
Regulamento de Avaliação de Impacto à Proteção de Dados (RIPD)
O relatório de impacto (RIPD) — exigido quando há tratamento de dados sensíveis em larga escala — teve seus critérios de obrigatoriedade detalhados. Para clínicas que tratam dados de saúde de centenas de pacientes, o RIPD pode ser obrigatório.
Revisão dos critérios para agentes de pequeno porte
A ANPD revisou e reafirmou as regras diferenciadas para pequenos agentes, mas com um alerta: a simplificação não elimina as obrigações de segurança, transparência e resposta a titulares. Só simplifica a documentação.
Prioridades de fiscalização da ANPD em 2026
A ANPD divulgou publicamente suas prioridades de fiscalização. O setor de saúde e bem-estar — que inclui clínicas de estética — está entre os três setores prioritários.
Por que o setor de estética está na mira
- Volume de dados sensíveis: clínicas de estética tratam dados de saúde sistematicamente — fichas de anamnese, histórico de procedimentos, fotos que revelam condições corporais
- Baixo grau de conformidade histórico: o setor não tem tradição de compliance em proteção de dados, o que significa que fiscalizações tendem a encontrar infrações facilmente
- Uso desregrado de redes sociais: fotos de antes e depois sem consentimento documentado continuam sendo prática comum
- WhatsApp como canal de dados clínicos: compartilhamento de fichas e fotos via aplicativo sem segurança adequada
O que os fiscais verificam primeiro
Com base nos processos já concluídos pela ANPD, é possível identificar o roteiro típico de uma fiscalização:
- Existência de política de privacidade pública e atualizada
- Canal de comunicação para solicitações de titulares
- Registro de consentimentos — especialmente para dados sensíveis e para uso de imagens
- Controle de acesso aos dados (quem vê o quê)
- Medidas de segurança implementadas nos sistemas
Se você falha nos itens 1 e 2, os fiscais nem precisam ir mais fundo para autuá-la.
O que fazer agora: as prioridades de 2026
Se você ainda não tem política de privacidade
Essa é a prioridade número 1. Publique no site e disponibilize na recepção. Um documento genérico copiado da internet é melhor do que nada, mas um documento que reflita sua realidade operacional é o que realmente protege.
Se você não tem registro de consentimentos
Implante agora um processo de obtenção e registro de consentimento — especialmente para:
- Uso de fotos de antes e depois em marketing
- Coleta de dados de saúde na anamnese
- Comunicações de marketing por WhatsApp
Se você ainda compartilha dados por WhatsApp
Crie uma política interna por escrito e treine a equipe. O WhatsApp não vai desaparecer da operação, mas algumas práticas específicas precisam mudar.
Se você nunca respondeu uma solicitação de titular
Crie um e-mail dedicado para privacidade e defina um processo interno para respondê-lo em até 15 dias. Documente todas as solicitações e respostas.
A boa notícia: compliance básico é acessível
A ANPD diferencia claramente entre:
- Clínicas que nunca consideraram o tema (penalidade mais severa)
- Clínicas com compliance imperfeito mas demonstrável (penalidade atenuada)
Ter documentação, mesmo imperfeita, ter treinado a equipe, mesmo que brevemente, ter respondido solicitações, mesmo com atraso — tudo isso conta. O esforço demonstrado de boa-fé é reconhecido.
2026 não é mais o tempo de "começar a pensar em LGPD". É o tempo de demonstrar que você já está cumprindo. O Assenti gera automaticamente sua política de privacidade, registra consentimentos e mantém seu histórico de compliance documentado. Diagnóstico gratuito em 5 minutos.
Este artigo tem caráter informativo e não substitui assessoria jurídica especializada.
Dra. Camila Ferreira
Advogada | DPO Certificada
Advogada especialista em Direito Digital e Proteção de Dados, com LLM pela Universidade de São Paulo. Certificada como DPO pela EXIN e IAPP. Assessorou mais de 60 clínicas de estética e saúde na jornada de adequação à LGPD, sendo referência nacional na aplicação da lei para o setor.
