ANPD faz da IA um dos quatro eixos de fiscalização em 2026-2027, mira 20 ações em 2027 e assume coordenação do SIA

Resumo: a ANPD publicou o Mapa de Temas Prioritários para a fiscalização no biênio 2026-2027 colocando inteligência artificial e tecnologias emergentes entre os quatro eixos de atuação — ao lado de direitos dos titulares, proteção de crianças e adolescentes no ambiente digital e tratamento de dados pelo setor público. O documento prevê 20 ações fiscalizatórias específicas de IA em 2027 e chega em paralelo à movimentação de PL 2338/2023, PL 762 e PL 704 no Congresso, que devem definir o desenho institucional final antes do recesso de agosto. Por lei complementar enviada pelo Executivo em dezembro, a ANPD passa a coordenar o SIA — Sistema Nacional de Regulação e Governança de Inteligência Artificial.

O que diz o Mapa de Fiscalização 2026-2027

O Mapa lista quatro prioridades para a fiscalização do biênio:

  • Direitos dos titulares: ações voltadas a atendimento de pedidos de acesso, retificação e portabilidade.
  • Proteção de crianças e adolescentes no ambiente digital: foco em plataformas com base de usuários jovens.
  • Tratamento de dados pelo setor público: revisão de bases legais em prefeituras, estados e órgãos federais.
  • Inteligência artificial e tecnologias emergentes no contexto do tratamento de dados pessoais: intensificação da fiscalização de sistemas de IA, com 20 ações previstas em 2027.

Para IA, a autoridade deixa claro o que vai avaliar: transparência (o titular sabe que interage com IA?), mitigação de vieses (o sistema discrimina grupos protegidos?), segurança da informação (os dados de treinamento e alimentação estão protegidos?) e impacto em direitos dos titulares (decisões automatizadas respeitam o art. 20 da LGPD, sobre revisão humana?).

SIA — Sistema Nacional de Regulação e Governança de IA

Por lei complementar enviada pelo Executivo em dezembro de 2025, a ANPD passa a ser coordenadora do SIA. Na prática, isso significa que a autoridade centraliza a articulação entre reguladores setoriais (Banco Central para IA financeira, ANATEL para telecom, ANS para saúde) e passa a atuar como regulador residual em temas sem alocação clara. Quando há tratamento de dados pessoais envolvido, a ANPD é regulador primário ou concorrente conforme o setor e a natureza do risco.

Combinado com o PL 762 (que amplia poder da ANPD) e o PL 704 (que ajusta prazos de compliance), o modelo emergente é o de um coordenador nacional com braços setoriais — algo mais próximo do arranjo europeu do que do americano.

Por que importa

Para empresas que usam IA no Brasil, três consequências práticas do Mapa e do SIA:

  • Escopo ampliado: não é só chatbot de atendimento. Modelo de risco de crédito, sistemas de recomendação, IA em RH (scoring de currículos) e IA em saúde entram no radar.
  • Avaliação de Impacto Algorítmico (AIA): tende a virar exigência formal para sistemas de alto risco, alinhando-se ao Data Protection Impact Assessment já previsto pela LGPD.
  • Documentação técnica: a autoridade indica que vai pedir evidência — não é mais suficiente afirmar boas práticas.

Riscos e limitações

O Mapa é um plano — não é regulamentação binding em si. Muita coisa depende ainda de: (i) aprovação final do PL 2338 antes do recesso; (ii) publicação de regulamentos específicos pela ANPD nos próximos 12 meses; (iii) alocação orçamentária e de pessoal para tocar 20 fiscalizações de IA em 2027, número que pressiona a estrutura atual da autoridade. Há risco de duplicidade com reguladores setoriais e de sobrecarga de compliance para empresas menores. O tema envolve implicações jurídicas relevantes — vale envolver profissionais da área para avaliação caso a caso.

Cenário — o próximo movimento

Três marcos a acompanhar no próximo semestre. Primeiro, votação do PL 2338 antes de 31 de agosto — se passar, o desenho institucional do SIA sai do papel. Segundo, publicação, pela ANPD, de guia de referência para AIA em sistemas de IA de alto risco, provavelmente ainda em 2026. Terceiro, seleção pública das primeiras 20 ações de fiscalização de IA para 2027, com foco esperado em setores financeiro, saúde, educação, RH e recomendação. Empresas em cada um desses setores precisam se estruturar até dezembro.

Conclusão prática

Para times de dados, compliance e produto no Brasil, três ações valem os próximos 60 dias: (1) mapear todos os sistemas de IA em produção que tocam dados pessoais e classificá-los por risco (baixo, moderado, alto); (2) preparar documentação mínima — objetivo, base legal, dados usados, avaliação de vieses, plano de revisão humana; (3) montar um comitê interno com jurídico, segurança da informação, ciência de dados e negócios para governar decisões de IA de forma auditável. O Brasil está a poucos meses de sair do modelo “boas intenções” para o modelo “prove com documento”. Como as consequências podem ser jurídicas, financeiras e reputacionais, vale procurar assessoria jurídica especializada antes de assumir posições.

Fonte original: ANPD — Mapa de Temas Prioritários 2026-2027. Análise complementar em Trench Rossi Watanabe.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja

Recent Posts

Supply chain no npm: pacotes AsyncAPI com 2 milhões de downloads semanais tomados por malware híbrido de 91 mil linhas

Atacantes injetaram info-stealer, cripto-stealer e RAT em quatro pacotes AsyncAPI. Malware usa IPFS e nós…

1 hora ago

Lidl confirma vazamento de dados de clientes na Alemanha, Bélgica e Holanda via prestador terceirizado

Rede alemã de supermercados notifica clientes online após invasores exfiltrarem nomes, telefones, e-mails e datas…

1 hora ago

Pesquisador libera PoC de zero-day no Windows horas após o maior Patch Tuesday da história

Chaotic Eclipse publicou o LegacyHive, exploit funcional contra o User Profile Service em todas as…

1 hora ago

DuneSlide, CurXecute e EchoLeak: a onda de CVEs 9.3 a 9.8 que transformou copilots de IA em vetor de RCE

DuneSlide (CVE-2026-50548/50549) leva o Cursor a RCE zero-click. Junto com EchoLeak e CurXecute, marca a…

5 horas ago

NVIDIA Nemotron 3 Ultra puxa 47,7 no Intelligence Index a 400 tok/s — e Jensen avisa: potência é o teto real da fábrica de IA

Nemotron 3 Ultra chega com 550B/55B ativos em MoE Mamba-Attention, 400+ tok/s e liderança entre…

5 horas ago

Gemini Enterprise Agent Platform mira o padrão corporativo de agentes: ADK processa 6 trilhões de tokens/mês, Memory Bank e agentes de dias

Google evoluiu a Vertex AI no Gemini Enterprise Agent Platform: ADK Python-native, Memory Bank persistente,…

5 horas ago