A LGPD do Brasil em 2026: A Postura de Fiscalização da ANPD, o Consentimento de Cookies e o Guia de Transferência Internacional de Dados para Editores e Anunciantes
A Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil entrou em vigor em setembro de 2020 e foi, durante a maior parte dos seus primeiros três anos, um regime de privacidade excepcionalmente bem redigido, mas com fiscalização irregular. Esse período chegou ao fim. A Autoridade Nacional de Proteção de Dados (ANPD) passou de uma postura de emissão de orientações para a fiscalização ativa durante 2024 e 2025, o programa sandbox de 2025 da agência amadureceu, e o regulamento de transferência internacional de dados de 2026 finalmente esclareceu uma das áreas mais ambíguas da LGPD. Para qualquer editor, anunciante ou plataforma que processe dados pessoais de usuários brasileiros — sejam baseados no Brasil ou atendendo ao mercado brasileiro a partir do exterior — o ambiente de 2026 é significativamente mais exigente do que o de 2023. Este guia percorre a LGPD tal como está hoje, o que o consentimento para cookies realmente exige, como as transferências internacionais funcionam agora sob o novo regulamento e quais são os temas de fiscalização da ANPD em 2026.
A Estrutura da LGPD em 2026
A LGPD é o principal estatuto de proteção de dados no Brasil, e seu texto central tem sido notavelmente estável desde a promulgação. O que mudou foi a infraestrutura regulatória ao seu redor.
A ANPD como Regulador Maduro
A ANPD tornou-se plenamente operacional em 2021 e passou seus primeiros três anos construindo capacidade processual, emitindo orientações e realizando consultas. Em 2024 havia avançado para a fiscalização ativa, e em 2025 havia emitido algumas de suas primeiras multas administrativas significativas, incluindo contra plataformas estrangeiras. A postura da agência em 2026 está mais próxima de suas contrapartes europeias do que de seu período inicial de abordagem mais suave.
O Regulamento de Transferência Internacional de Dados de 2026
O desenvolvimento regulatório mais importante para editores estrangeiros foi o regulamento de transferências internacionais da ANPD, finalizado no final de 2025 e que entrou em vigor em 2026. O regulamento introduz um mecanismo de adequação, cláusulas contratuais padrão aprovadas pela ANPD, regras corporativas vinculantes e certificações, todos funcionando de forma análoga aos mecanismos do Capítulo V do GDPR. Antes deste regulamento, as transferências internacionais operavam sob um conjunto de regras muito mais vago que editores e fornecedores de ad-tech normalmente navegavam por meio de acordos comerciais bilaterais. O regime de 2026 é substancialmente mais viável, mas substancialmente mais exigente em termos de documentação.
Quem Está Sujeito à Regulação
A LGPD aplica-se extraterritorialmente. Qualquer controlador que processe dados pessoais de indivíduos localizados no Brasil no momento da coleta, ou que processe dados coletados do Brasil independentemente de onde o processamento ocorra, está no escopo. Editores estrangeiros que atendem usuários brasileiros por meio de sites localizados ou inventário programático comprado contra IPs brasileiros estão claramente ao alcance, e a ANPD invocou a disposição extraterritorial em vários casos de 2025.
O que Conta como Dados Pessoais sob a LGPD
A definição de dados pessoais da LGPD é ampla e segue de perto o GDPR. Dados pessoais são informações relacionadas a uma pessoa natural identificada ou identificável, e a ANPD tem consistentemente tratado cookies, identificadores de publicidade, endereços IP, impressões digitais de dispositivos e perfis comportamentais como dados pessoais quando podem ser vinculados a um indivíduo diretamente ou por meios razoáveis.
Dados Pessoais Sensíveis
A LGPD designa uma lista ampla de categorias sensíveis: origem racial ou étnica, crença religiosa, opinião política, filiação sindical ou de organização política, convicções filosóficas ou religiosas, saúde, vida sexual, dados genéticos e dados biométricos quando usados para identificação única. O processamento de dados pessoais sensíveis aciona requisitos de consentimento mais rígidos e obrigações adicionais do controlador.
Por que Isso Importa para os Cookies
Um cookie que armazena um identificador de sessão rotineiro é dado pessoal comum. Um cookie que alimenta um segmento de público tocando na lista sensível da LGPD — interesses de saúde, afiliações religiosas, tendências políticas — é processamento de dados pessoais sensíveis e requer o fluxo de consentimento elevado, não o consentimento geral de publicidade. Editores que executam segmentos de público que se sobrepõem à lista sensível devem auditar seus fluxos de consentimento especificamente em relação a essa fronteira.
Consentimento de Cookies sob a LGPD em 2026
A LGPD permite múltiplas bases legais para o processamento, mas para cookies e tecnologias similares que não são estritamente necessárias para a prestação do serviço, as orientações e a fiscalização da ANPD convergiram para o consentimento como base prática.
Os Cinco Elementos do Consentimento Válido
O consentimento sob a LGPD deve ser:
- Livre — prestado sem coerção e não vinculado à prestação de um serviço ao qual o usuário tem direito de outra forma
- Informado — o titular compreende quais dados são processados, por quem, para qual finalidade e com quais consequências
- Inequívoco — expresso por meio de um ato afirmativo claro, não inferido a partir do silêncio, caixas pré-marcadas ou rolagem como consentimento
- Específico — vinculado a finalidades claramente identificadas em vez de consentimento genérico amplo
- Destacado em casos que envolvem dados sensíveis, com consentimento explícito e separado para o processamento sensível específico
Como é uma CMP em Conformidade
Uma CMP configurada para tráfego brasileiro em 2026 deve apresentar:
- Um banner visível antes que qualquer cookie ou rastreador não essencial seja ativado, em Português por padrão para usuários brasileiros
- Igual destaque visual para Aceitar, Recusar e Personalizar — a ANPD tem especificamente apontado designs de banner em que a ação Recusar é menos visível
- Controles granulares por finalidade: análise, publicidade, personalização, transferência internacional e qualquer processamento de categoria sensível
- Um fluxo separado e claramente rotulado para processamento de dados pessoais sensíveis, protegido por sua própria ação
- Um mecanismo persistente e de fácil acesso para revogar o consentimento após a escolha inicial
- Um Aviso de Privacidade em Português com divulgações completas do controlador, operadores, finalidades, destinatários, retenção e direitos
Registros de Consentimento
Os controladores devem manter evidências do consentimento — quem consentiu, quando, para qual finalidade e por qual interface. A ANPD citou registros de consentimento inadequados em várias ações de fiscalização, e registros exportáveis com carimbo de data/hora são a expectativa de linha base.
O Regime de Transferência Internacional de Dados de 2026
Esta é a área em que 2026 parece significativamente diferente de 2024. O regulamento de transferências internacionais da ANPD entrou em vigor no início do ano, e as implicações práticas ainda estão sendo absorvidas pelos editores estrangeiros.
Os Novos Mecanismos de Transferência
O regulamento prevê quatro caminhos primários para transferência internacional legítima:
- Decisões de adequação emitidas pela ANPD reconhecendo jurisdições ou setores de destino como fornecendo proteção adequada
- Cláusulas contratuais padrão aprovadas pela ANPD, que funcionam de forma análoga às SCCs do GDPR
- Regras corporativas vinculantes para transferências intra-grupo dentro de organizações multinacionais
- Autorização específica para transferências que não se encaixam nos caminhos padrão, caso a caso
A Abordagem Prática para 2026
Para a maioria dos editores estrangeiros, a abordagem de trabalho em 2026 é executar cláusulas contratuais padrão aprovadas pela ANPD com operadores internacionais, documentar o mecanismo de transferência no aviso de privacidade e complementar com autorização baseada em consentimento apenas quando o mecanismo padrão não se aplica. Isso é significativamente mais simples do que o regime pré-2026, que frequentemente dependia de lógica de consentimento por transferência que gerava CMPs inviáveis.
Decisões de Adequação até o Momento
A ANPD emitiu decisões de adequação para um punhado de jurisdições até o início de 2026, e espera-se que expanda a lista incrementalmente. Os Estados Unidos não estão na lista de adequação no início de 2026, o que significa que transferências para fornecedores de ad-tech e análise baseados nos EUA requerem cláusulas contratuais ou outro mecanismo válido.
Direitos do Titular dos Dados
A LGPD concede um conjunto robusto de direitos, aplicados por meio do arcabouço brasileiro:
- Direito à confirmação do tratamento
- Direito de acesso aos dados tratados
- Direito à correção de dados incompletos, inexatos ou desatualizados
- Direito à anonimização, ao bloqueio ou à eliminação de dados desnecessários, excessivos ou tratados em desconformidade
- Direito à portabilidade dos dados para outro fornecedor de serviço
- Direito à eliminação dos dados tratados com o consentimento do titular
- Direito à informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
- Direito à informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
- Direito à revogação do consentimento
- Direito de se opor ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento quando houver descumprimento
- Direito à revisão de decisões tomadas unicamente com base em tratamento automatizado
Prazos de Resposta
Os controladores devem responder às solicitações dos titulares dentro de 15 dias sob o regulamento, com a possibilidade de prorrogação em casos justificados. Isso é mais restrito do que o prazo de 30 dias do GDPR e tem sido uma lacuna operacional recorrente para editores estrangeiros ajustados ao ritmo europeu.
Penalidades e Postura de Fiscalização em 2026
A atividade de fiscalização da ANPD escalou significativamente ao longo de 2024 e 2025, e 2026 está em trajetória semelhante.
Multas Administrativas
A LGPD permite multas administrativas de até 2% do faturamento do controlador relativo à sua atividade no Brasil no seu último exercício, limitadas a BRL 50 milhões por infração. A ANPD utilizou o meio da faixa em vários casos de 2025, incluindo contra plataformas estrangeiras, e a metodologia de penalidades da agência foi publicada em 2024 e agora é aplicada de forma consistente.
Outras Sanções
Além de multas, a ANPD pode emitir advertências, exigir medidas corretivas, suspender parcial ou totalmente as atividades de tratamento e proibir operações específicas de tratamento. A publicação da infração é uma sanção acompanhante de rotina e tem peso reputacional no mercado brasileiro.
Temas de Fiscalização
As ações da ANPD em 2025 e início de 2026 se concentram em temas recorrentes: banners de consentimento ambíguos ou ausentes, falta de aviso de privacidade em Português, transferências internacionais sem mecanismo válido sob o novo regulamento e falha em responder às solicitações dos titulares dentro do prazo de 15 dias. Editores estrangeiros foram citados nas quatro categorias.
O Requisito de DPO
A LGPD exige que os controladores nomeiem um Encarregado de Tratamento de Dados Pessoais e publiquem seus dados de contato. Controladores estrangeiros que processam dados brasileiros em escala precisam de um DPO designado, e os dados de contato devem ser facilmente acessíveis no aviso de privacidade. A ANPD citou dados de contato do DPO ausentes ou inacessíveis em várias cartas de fiscalização.
Lista de Verificação para Auditoria do Tráfego Brasileiro em 2026
- O banner da CMP é servido em Português com Aceitar, Recusar e Personalizar com igual destaque visual
- As finalidades de consentimento são granulares e separam qualquer processamento de categoria sensível por trás de seu próprio fluxo de consentimento
- O aviso de privacidade (Aviso de Privacidade) está disponível em Português com divulgações completas do controlador, operadores, finalidades, retenção, direitos e contato do DPO
- As transferências internacionais dependem de cláusulas contratuais padrão aprovadas pela ANPD, decisão de adequação, BCRs ou autorização específica — não na lógica legada de consentimento por transferência
- Os registros de consentimento têm carimbo de data/hora, são exportáveis e retidos pelo período de tratamento mais uma margem auditável
- O fluxo de trabalho de solicitação dos titulares consegue responder em 15 dias de ponta a ponta, em Português
- O DPO está designado e os dados de contato estão publicados no aviso de privacidade
- A lista de fornecedores foi revisada quanto à necessidade, com fornecedores não utilizados ou redundantes removidos para reduzir a superfície de transferência internacional
- Os segmentos de público de categoria sensível são protegidos por consentimento explícito, coletado separadamente
As Perspectivas para 2026
O regime de privacidade do Brasil amadureceu de um estatuto bem redigido com fiscalização limitada para um dos regimes mais exigentes nas Américas. O regulamento de transferência internacional de 2026 fechou a lacuna estrutural mais relevante, e a postura de fiscalização da ANPD alcançou as ambições da lei. Para editores que já operam uma pilha de consentimento de nível GDPR, a lacuna para a conformidade com a LGPD é operacional e não arquitetônica: CMP e aviso em Português, mecanismos de transferência aprovados pela ANPD, o ritmo de resposta de 15 dias, a designação do DPO e atenção à lista mais ampla de dados sensíveis. A lacuna pode ser fechada em semanas se for priorizada — e o Brasil é o maior mercado único da América Latina, de modo que a priorização normalmente se paga rapidamente. Os editores que trataram o Brasil como um mercado de toque mais leve até 2024 estão descobrindo que 2026 é significativamente mais caro, e os que atrasarem ainda mais descobrirão que 2027 será pior ainda.