Durante anos, a Autoridade Nacional de Proteção de Dados (ANPD) viveu uma curiosa crise de identidade institucional: exercia funções típicas de agência reguladora sem que houvesse, contudo, o correspondente reconhecimento formal.
A Lei nº 15.352/2026, oriunda da Medida Provisória nº 1.317/2025, parece finalmente encerrar essa longa saga administrativa. A ANPD passou a integrar expressamente o rol do artigo 2º da Lei nº 13.848/2019, assumindo, de forma inequívoca, o status de agência reguladora [1].
Não se trata de mera alteração de nomen iuris. A mudança repercute diretamente sobre sua autonomia decisória, sua estabilidade institucional e sua capacidade regulatória, especialmente diante da criação da Carreira de Regulação e Fiscalização de Proteção de Dados [2].
A questão central decorrente dessa redefinição de sua natureza jurídica consiste, portanto, em verificar se a ANPD finalmente recebeu instrumentos compatíveis com a relevância constitucional daquilo que tutela: o direito fundamental à proteção de dados pessoais, positivado no artigo 5º, LXXIX, da Constituição da República [3].
A experiência internacional oferece poucas dúvidas sobre essa necessidade. A Organização para Cooperação e Desenvolvimento Econômico (OCDE) exige autoridades dotadas de governança, recursos e expertise técnica suficientes para o exercício efetivo de suas competências [4]. O General Data Protection Regulation (GDPR), regulamento europeu de proteção de dados, vai além e exige independência funcional e ausência de influência externa sobre a autoridade supervisora [5].
Antes de avançar nessa análise, vale recorrer a uma analogia ilustrativa
No clássico documentário Edifício Master, de Eduardo Coutinho, o antigo síndico do prédio profere uma frase que se tornou memorável: “Primeiro, eu tento Piaget. Se não dá certo, eu parto para Pinochet” [6].
A afirmação, embora carregada de exagero retórico, traduz uma lógica simples de administração: primeiro se busca a pedagogia; depois, se necessário, a sanção. O síndico referia-se ao cumprimento das regras condominiais. Inicialmente, tentava educar os moradores, em uma alusão aos ensinamentos de Jean Piaget; diante da persistência no descumprimento, recorria ao poder coercitivo, ainda que simbolicamente associado ao rigor autoritário de Pinochet.
No caso do documentário, a sanção só existe porque há uma autoridade com competência suficiente para aplicar as sanções existentes em um regulamento. A possibilidade de punição confere densidade real àquela autoridade – no caso do documentário, o síndico. Sem isso, restam apenas recomendações solenemente ignoradas.
Transportando essa lógica para o cenário institucional, a conclusão parece inevitável: sem autonomia, não há fiscalização efetiva. Há, no máximo, uma pedagogia regulatória com baixa capacidade, embora a competência sancionatória tenha previsão.
No Brasil, a trajetória da ANPD foi marcada precisamente por essas hesitações. Inicialmente concebida como autarquia em regime especial, acabou sendo instituída como órgão da Presidência da República. O argumento formal era o vício de iniciativa legislativa; o argumento material, contudo, parecia mais factível: autonomia custa caro, e independência institucional raramente figura entre as prioridades orçamentárias do Estado [7].
Danilo Doneda já advertia que a existência de uma autoridade verdadeiramente independente exigia uma decisão política séria sobre estrutura e recursos. Cíntia Rosa Pereira de Lima, na mesma linha, sustentava que não se tratava propriamente de gasto, mas de investimento institucional [8].
Ambos tinham razão. O debate nunca foi apenas financeiro; era, sobretudo, uma escolha sobre prioridades estatais.
A formalização da ANPD como agência reguladora corrige uma ambiguidade persistente: a autoridade já exercia funções regulatórias relevantes sem estar plenamente inserida no regime jurídico das agências reguladoras.
Além disso, a Lei nº 15.352/2026 institui carreira própria de especialistas em regulação e fiscalização, o que talvez seja um dos pontos mais relevantes — e menos celebrados — da reforma. Afinal, autonomia sem capacidade técnica não passa de um bom discurso institucional.
A criação de um quadro permanente reduz improvisações administrativas, fortalece a previsibilidade decisória e diminui a dependência excessiva de cargos transitórios. Em matéria sancionatória, isso se torna ainda mais relevante.
O tema ganha contornos ainda mais sensíveis diante da ampliação da agenda regulatória da ANPD, especialmente com a implementação do chamado Estatuto Digital da Criança e do Adolescente. A proteção de crianças e adolescentes no ambiente digital exige decisões sofisticadas sobre coleta de dados, responsabilização de plataformas e parâmetros de fiscalização [9].
Nesse ponto, a ironia se impõe quase sozinha
O Brasil reconheceu a proteção de dados como direito fundamental antes de consolidar plenamente a autoridade responsável por garanti-lo. Primeiro veio o direito; depois — com atraso considerável — a estrutura institucional apta a torná-lo efetivo.
Talvez seja um retrato bastante fiel do nosso constitucionalismo: generoso nas promessas e progressivamente cauteloso nas entregas.
A formalização da ANPD como agência reguladora, embora represente um avanço inegável, não resolve, por si só, os desafios ainda existentes. Nenhuma lei produz, automaticamente, independência material. Cultura institucional, transparência decisória e estabilidade regulatória continuam sendo elementos indispensáveis.
Ainda assim, seria equivocado tratar essa mudança como meramente simbólica. Em matéria de proteção de dados, forma também é substância.
A pergunta relevante já não é mais se a ANPD virou agência reguladora — isso foi resolvido. O verdadeiro questionamento é outro: a ANPD passará a agir — e a ser tratada — efetivamente como uma agência reguladora?
Se a resposta for positiva, teremos um fortalecimento institucional real. Caso contrário, restará apenas mais um exemplo de boa arquitetura normativa desacompanhada de efetividade prática.
[1] BRASIL. Lei nº 15.352, de 26 de fevereiro de 2026. Altera a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), a Lei nº 13.848, de 25 de junho de 2019, e a Lei nº 10.871, de 20 de maio de 2004, para dispor sobre a transformação da Autoridade Nacional de Proteção de Dados em agência reguladora federal e instituir a Carreira de Regulação e Fiscalização de Proteção de Dados. Diário Oficial da União: seção 1, Brasília, DF, 26 fev. 2026; BRASIL. Lei nº 13.848, de 25 de junho de 2019. Dispõe sobre a gestão, a organização, o processo decisório e o controle social das agências reguladoras. Diário Oficial da União: seção 1, Brasília, DF, 26 jun. 2019.
[2] BRASIL. Lei nº 10.871, de 20 de maio de 2004. Dispõe sobre a criação de carreiras e organização de cargos efetivos das autarquias especiais, denominadas Agências Reguladoras, e dá outras providências. Diário Oficial da União: seção 1, Brasília, DF, 21 maio 2004. Com alterações promovidas pela Lei nº 15.352, de 26 de fevereiro de 2026.
[3] BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: Senado Federal, 1988. Art. 5º, LXXIX; BRASIL. Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Diário Oficial da União: seção 1, Brasília, DF, 11 fev. 2022.
[4] OECD – ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. The OECD Privacy Framework. Paris: OECD Publishing, 2013. Disponível aqui.
[5] EUROPEAN UNION. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016. General Data Protection Regulation (GDPR). Official Journal of the European Union, Brussels, 4 maio 2016. Arts. 51 e 52
[6] VIANA, Marcelo. Tomar decisões é difícil, mas a matemática pode ajudar. Folha de S.Paulo, São Paulo, 28 jul. 2017. Reproduzido por Instituto de Matemática Pura e Aplicada (IMPA). Disponível aqui.
[7] AGÊNCIA SENADO. MP concede autonomia de autarquia à Autoridade Nacional de Proteção de Dados. Senado Federal, Brasília, 14 jun. 2022. Disponível aqui.
[8] DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei Geral de Proteção de Dados. 1. ed. São Paulo: Thomson Reuters Brasil, 2019; LIMA, Cíntia Rosa Pereira de. Autoridade nacional de proteção de dados e a efetividade da Lei Geral de Proteção de Dados: de acordo com a Lei n. 13.709/2018 e as alterações da Lei n. 13.853/2019, o Marco Civil da Internet (Lei n. 12.965/2014) e as sugestões de alteração do CDC (PL 3.514/2015). São Paulo: Almedina, 2020.DATA PRIVACY BRASIL. Implementando o ECA Digital.
[9] DATA PRIVACY BRASIL. Roda de conversa: implementando o ECA Digital. São Paulo, s.d. Disponível aqui.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login