Por DMS Advogados
O contexto da decisão
Em 24 de fevereiro de 2026, o Senado Federal aprovou a Medida Provisória 1.317/2025, convertendo a Autoridade Nacional de Proteção de Dados (ANPD) em Agência Nacional de Proteção de Dados — mantendo a sigla, mas alterando de forma substancial sua natureza jurídica e sua capacidade institucional.
A mudança não é cosmética. Ela posiciona a ANPD ao lado das demais agências reguladoras brasileiras — como ANVISA, ANATEL e ANEEL — conferindo-lhe autonomia funcional, técnica, decisória, administrativa e financeira, além de patrimônio próprio. Vinculada ao Ministério da Justiça e Segurança Pública, a nova agência passa a operar com um quadro de 200 especialistas em regulação de proteção de dados, a serem admitidos por concurso público.
O que muda na estrutura: da autoridade à agência
A distinção entre uma “autoridade” e uma “agência reguladora” não é apenas terminológica. Em termos jurídicos e operacionais, agências reguladoras no Brasil gozam de estabilidade institucional reforçada, maior blindagem contra interferências políticas diretas e estrutura orçamentária própria. Isso se traduz, na prática, em maior previsibilidade regulatória e maior capacidade de enforcement — ou seja, de fiscalização efetiva e aplicação de sanções.
Considere um cenário hipotético: duas empresas do mesmo setor, com volumes similares de dados tratados. Uma investe continuamente em governança de dados — mapeamento de processos, políticas internas, contratos revisados e canal de atendimento ao titular. A outra mantém conformidade formal, sem substância operacional. Sob uma autoridade com capacidade institucional limitada, o risco prático para ambas era relativamente equiparado. Sob uma agência com corpo técnico especializado e estrutura autônoma, a diferença entre as duas passa a ter consequências mensuráveis — em autuações, em responsabilização e em reputação.
O ECA Digital como vetor de expansão regulatória
Um dos principais fundamentos para a mudança estrutural foi a atribuição à ANPD de regulamentar o Estatuto Digital da Criança e do Adolescente (ECA Digital), instituído pela Lei 15.211/2025 e com vigência a partir de 17 de março de 2026.
Essa nova competência é relevante por dois motivos. Primeiro, porque amplia o escopo de atuação da agência para um setor de alta sensibilidade — dados de crianças e adolescentes no ambiente digital — historicamente tratado com maior rigor regulatório em jurisdições maduras, como a União Europeia. Segundo, porque o prazo de vigência já está fixado, o que cria uma janela de conformidade definida e objetiva para empresas que tratam dados desse público.
A lógica econômica da conformidade preventiva
O investimento em proteção de dados comporta uma análise de custo-benefício direta. O custo de um programa estruturado de conformidade — diagnóstico, implementação de políticas, treinamento, revisão contratual — é mensurável e previsível. O custo de uma autuação pela ANPD, em contraste, envolve não apenas a multa (que pode chegar a 2% do faturamento, limitada a R$ 50 milhões por infração), mas também custos reputacionais, de resposta a incidentes e de litígio com titulares de dados.
Com uma agência mais estruturada, a probabilidade de enforcement aumenta. Isso não altera a norma — a LGPD é a mesma desde 2020 — mas altera o cálculo de risco. Empresas que operavam com tolerância ao risco regulatório baseada na baixa capacidade de fiscalização precisam recalibrar essa premissa.
O que as empresas devem fazer agora
A aprovação da MP 1.317/2025 é um marco institucional que recomenda, no mínimo, três ações imediatas:
Primeiro, revisão do nível de maturidade do programa de proteção de dados vigente — identificando lacunas entre a conformidade formal e a conformidade operacional efetiva.
Segundo, avaliação específica do tratamento de dados de crianças e adolescentes, considerando as obrigações do ECA Digital e o prazo de março de 2026.
Terceiro, revisão dos contratos com operadores e suboperadores de dados, dado que a responsabilidade solidária por incidentes permanece como vetor relevante de risco.
Conclusão
A transformação da ANPD em agência reguladora não inaugura novas obrigações legais — a LGPD já as estabelece. O que ela inaugura é uma nova realidade institucional: um órgão com maior capacidade técnica, maior independência e maior musculatura para exercer suas atribuições com consistência.
A pergunta estratégica para qualquer organização que trata dados pessoais é objetiva: o seu programa de conformidade foi desenhado para o ambiente regulatório que existia, ou para o que passa a existir?
DMS Advogados atua na assessoria jurídica em proteção de dados, privacidade e governança digital. Entre em contato para uma avaliação do seu programa de conformidade.
#ANPD #LGPD #AgênciaNacionalDeProteçãoDeDados #ProteçãoDeDados #ECАDigital #DireitoDigital #Compliance #GovernançaDeDados #RegulamentaçãoDigital #EnforcementRegulatorio #DadosPessoais #PrivacidadeDeDados #MP13172025 #AgênciaReguladora #RiscoRegulatorio #DireitoEmpresarial #DMSAdvogados #Privacidade #TransformacaoInstitucional #DireitoTecnologia
