No último dia 25 de junho de 2026, encerrou-se meu mandato como conselheiro do CNPD - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, exercido na condição de representante indicado pela Associação Brasileira de Governança de Dados (govDADOS) para a vaga destinada à sociedade civil, referente ao biênio 2024-2026. A participação da sociedade civil em órgãos colegiados da Administração Pública vai além da presença qualificada nos debates e da formulação de propostas: ela também exige transparência quanto às posições defendidas, às iniciativas desenvolvidas e aos resultados alcançados. É com esse propósito que apresento este balanço da atuação exercida no âmbito do CNPD.
O CNPD é o órgão consultivo integrante da estrutura da ANPD - Agência Nacional de Proteção de Dados, com competência para propor diretrizes estratégicas, realizar estudos e disseminar o conhecimento sobre proteção de dados pessoais e privacidade, nos termos do art. 58-B da lei 13.709/18 (LGPD). Não se trata de um órgão com atribuições fiscalizatórias ou sancionatórias, mas de um espaço institucional voltado à construção de consensos técnicos e ao assessoramento da ANPD na formulação de políticas públicas. Sua composição reúne representantes do Estado, da academia, do setor produtivo e da sociedade civil, promovendo o diálogo entre diferentes perspectivas sobre a proteção de dados pessoais no Brasil.
Ao longo do biênio 2024-2026, a representação exercida pela govDADOS no CNPD concentrou-se em três frentes principais: a) coordenação de Grupos de Trabalho temáticos, b) participação ativa nos debates estratégicos realizados em plenário, especialmente aqueles relacionados à futura PNPD - Política Nacional de Proteção de Dados e c) apresentação de contribuições técnicas à Tomada de Subsídios para a Agenda Regulatória da ANPD para o biênio 2027-2028. As seções seguintes apresentam um panorama dessas iniciativas e dos principais resultados alcançados.
a) Coordenação de dois GTs temáticos
Entre os instrumentos de atuação disponíveis no âmbito do CNPD, os GTs constituem o espaço de maior aprofundamento técnico. É nesse ambiente que os conselheiros podem desenvolver estudos especializados, reunir contribuições de diferentes instituições e formular recomendações destinadas ao aperfeiçoamento da atuação da ANPD. Durante o mandato, a representação exercida pela govDADOS concentrou parte significativa de seus esforços na coordenação de dois GTs com escopos distintos, mas complementares: o primeiro voltado à educação e à capacitação em proteção de dados pessoais; o segundo dedicado à coordenação institucional entre a ANPD e os demais reguladores setoriais. Ambos resultaram em relatórios aprovados pelo plenário do CNPD, contendo recomendações concretas dirigidas à ANPD.
GT1/24 - Educação e capacitação em proteção de dados
Na condição de representante da govDADOS, propus a criação e coordenei o GT1, sobre o tema educação e capacitação em proteção de dados, que foi aprovado pelo plenário e instituído em setembro de 2024. Seu relatório final, com 95 páginas, foi aprovado por unanimidade em março de 2025, após doze reuniões virtuais, análise documental, escuta de especialistas e recebimento de contribuições de instituições como o Instituto Alana, a Data Privacy Brasil, o CEAPD e a Câmara de Educação Superior do MEC - Ministério da Educação.
A necessidade de criação do GT partiu de uma constatação simples, mas de grande relevância prática. Seis anos após a publicação da LGPD e dois anos após a promulgação da EC 115, que reconheceu a proteção de dados pessoais como direito fundamental, permanecia evidente o baixo grau de maturidade da sociedade brasileira em relação ao tema. O desafio já não era propriamente normativo, mas cultural e institucional: faltavam mecanismos permanentes de conscientização da população e de capacitação dos profissionais responsáveis pela aplicação cotidiana da legislação.
Uma das principais contribuições do GT consistiu em diferenciar dois conceitos frequentemente tratados como equivalentes, embora possuam objetivos distintos. A conscientização dirige-se ao público em geral, buscando fortalecer a compreensão dos titulares acerca de seus direitos e deveres. A capacitação, por sua vez, destina-se aos profissionais que atuam direta ou indiretamente com proteção de dados pessoais, exigindo estratégias, instrumentos e métricas próprias.
Essa distinção orientou as dez recomendações prioritárias aprovadas pelo Grupo. Entre elas, destacou-se a proposta de criação da ENAD - Escola Nacional de Proteção de Dados, concebida como estrutura permanente para coordenar as iniciativas educacionais da ANPD. Também foram recomendadas parcerias com o Ministério da Educação para a inserção transversal do tema nos diferentes níveis de ensino, a inclusão de diretrizes de cidadania digital no Plano Nacional de Educação, o fortalecimento da capacitação de servidores públicos por meio da ENAP e o estabelecimento de cooperação com a OAB Nacional para a formação dos profissionais da área jurídica.
A proposta de criação da ENAD merece registro especial. Atualmente, as ações educativas promovidas pela ANPD - seminários, guias orientativos e eventos institucionais - apresentam caráter relevante, mas ainda fragmentado. A instituição de uma escola nacional permitiria conferir maior continuidade às políticas de formação, produzir conteúdo voltado a diferentes públicos, certificar profissionais e articular parcerias permanentes com universidades, órgãos públicos e entidades da sociedade civil. Não por acaso, essa recomendação foi posteriormente reiterada entre as contribuições apresentadas pela govDADOS à Agenda Regulatória da ANPD para o biênio 2027-2028.
GT3/25 - Coordenação interinstitucional e eficiência administrativa da ANPD
Também na condição de representante da govDADOS, propus a criação e coordenei o GT3, que teve por objetivo enfrentar um dos principais desafios da regulação contemporânea: a coordenação entre a ANPD e os diversos órgãos responsáveis pela regulação de setores que também tratam intensivamente dados pessoais. Sua criação foi aprovada pelo plenário, com sua instituição em outubro de 2025. O relatório final, com 112 páginas, foi entregue em 2 de junho de 2026.
A natureza transversal da LGPD torna inevitável a sobreposição entre a atuação da ANPD e a de reguladores setoriais. Instituições financeiras, operadoras de telecomunicações, hospitais, plataformas digitais e diversos outros agentes econômicos submetem-se simultaneamente à disciplina da legislação de proteção de dados e às normas expedidas por autoridades especializadas. Sem mecanismos adequados de coordenação, esse cenário pode gerar conflitos de competência, insegurança jurídica, duplicidade de procedimentos fiscalizatórios e risco de aplicação de sanções pelo mesmo fato.
Embora o § 4º do art. 55-J da LGPD determine que a ANPD mantenha fórum permanente de comunicação com outros órgãos reguladores, verificou-se, ao longo dos trabalhos, que essa diretriz ainda não se encontrava plenamente implementada. O relatório final mapeou a situação de 17 instituições estratégicas quanto à existência de ACTs - Acordos de Cooperação Técnica com a ANPD. O resultado foi expressivo: apenas cerca de 40% dos órgãos analisados possuíam ACTs formalizados. Entre os que não possuem - e que concentram volumes elevadíssimos de tratamento de dados pessoais - estão o BACEN, a ANATEL, a ANVISA, o CNJ, o CNMP e o TCU, todos responsáveis por setores nos quais o tratamento de dados pessoais possui elevada relevância regulatória.
A ausência desses acordos ultrapassa a esfera meramente administrativa. Sem protocolos previamente estabelecidos, permanecem indefinidos aspectos essenciais da atuação coordenada entre os reguladores, como o compartilhamento de informações, a condução de investigações conjuntas, a definição da autoridade responsável em casos de competência concorrente e a adoção de mecanismos destinados a prevenir o bis in idem administrativo. Na prática, o agente regulado pode ser submetido a múltiplas exigências procedimentais e enfrentar incertezas quanto aos deveres de comunicação de incidentes envolvendo dados pessoais.
Diante desse diagnóstico, o GT apresentou dez recomendações estruturadas em três eixos principais. O primeiro propôs a ampliação e o aperfeiçoamento dos ACTs celebrados pela ANPD; o segundo recomendou a criação de mecanismos permanentes de coordenação operacional, incluindo protocolos para definição da autoridade líder (lead authority), realização de fiscalizações conjuntas e compartilhamento de informações; o terceiro sugeriu a instituição de um Observatório Interinstitucional de Coordenação Regulatória, destinado a acompanhar continuamente as interfaces entre a ANPD e os demais reguladores.
As recomendações também dialogaram com experiências internacionais de coordenação regulatória, como o OIRA - Office of Information and Regulatory Affairs, nos Estados Unidos, o NKR - Normenkontrollrat, na Alemanha, e o DRCF -Digital Regulation Cooperation Forum, no Reino Unido. Embora desenvolvidos em contextos institucionais distintos, esses modelos demonstram que a coordenação entre autoridades reguladoras constitui elemento essencial para assegurar coerência normativa, eficiência administrativa e maior segurança jurídica aos agentes submetidos à regulação.
b) Participação em debates estratégicos
A coordenação dos GTs representou apenas uma das dimensões da atuação desenvolvida pela representação da govDADOS no CNPD. Paralelamente às atividades técnicas, participei ativamente dos debates realizados em plenário, especialmente naqueles relacionados à organização dos trabalhos do CNPD, à elaboração da futura PNPD e ao aperfeiçoamento dos instrumentos de atuação da ANPD. Em todas essas oportunidades, procurei contribuir para o fortalecimento institucional do CNPD e para o aprimoramento da qualidade técnica de suas deliberações.
Uma das primeiras contribuições ocorreu durante a segunda reunião ordinária do CNPD, quando foi possível questionar se os GTs constituiriam o único canal para o encaminhamento de propostas relacionadas à futura PNPD. A preocupação consistia em assegurar que a construção de uma política pública de alcance nacional permanecesse aberta à participação de todos os conselheiros e das entidades representadas, ainda que não integrassem determinado GT. O questionamento resultou em importante esclarecimento por parte da presidência do CNPD, que confirmou a existência de canais adicionais para o recebimento de contribuições. A definição desse procedimento ampliou as possibilidades de participação da sociedade civil e contribuiu para conferir maior transparência ao processo de elaboração da Política Nacional, preservando o caráter plural que deve orientar a construção das políticas públicas de proteção de dados pessoais.
Outra iniciativa relevante ocorreu durante a quinta reunião ordinária, quando apresentei proposta para que o CNPD aprovasse nota institucional de apoio ao projeto de lei que instituiu o Dia Nacional da Proteção de Dados em homenagem ao professor Danilo Doneda. A iniciativa havia sido originalmente articulada pela própria govDADOS e buscava conferir reconhecimento institucional a uma personalidade cuja contribuição foi decisiva para a consolidação do direito brasileiro da proteção de dados pessoais. A proposta foi aprovada por unanimidade pelo plenário do CNPD e representou importante manifestação institucional de apoio ao projeto legislativo. Posteriormente, a proposição foi aprovada pelo Congresso Nacional e convertida na lei 15.254/25, consolidando uma iniciativa que contou com a participação ativa da associação tanto na articulação legislativa quanto na obtenção do apoio institucional do CNPD.
Também merece destaque a contribuição apresentada durante os debates relativos ao Guia de Compartilhamento de Dados no Setor Público. Na ocasião, defendi que os conselheiros pudessem encaminhar diretamente à ANPD suas contribuições técnicas individuais, independentemente da construção de um posicionamento coletivo do CNPD. A proposta foi acolhida pela Presidência e permitiu preservar a riqueza das diferentes perspectivas técnicas existentes entre os membros do colegiado, sem prejuízo da atuação institucional do próprio CNPD.
Por fim, participei das discussões sobre transparência e publicidade das reuniões do CNPD, ocasião em que a representação da govDADOS manifestou cautela quanto à proposta de transmissão irrestrita de todas as sessões pela internet. A posição defendida não se opunha à transparência da atuação do órgão, mas procurava preservar um ambiente favorável ao debate técnico qualificado, evitando que a exposição permanente das discussões comprometesse a liberdade necessária para a construção de consensos entre os conselheiros. Em contrapartida, reafirmei o entendimento de que as atas, deliberações e documentos produzidos pelo CNPD devem permanecer integralmente públicos, assegurando o controle social sobre a atuação do CNPD.
c) Contribuições à Agenda Regulatória 2027-2028
Além das iniciativas desenvolvidas no âmbito dos GTs e das discussões realizadas em plenário, a representação da govDADOS apresentou à ANPD um conjunto estruturado de contribuições à “Tomada de Subsídios” destinada à elaboração da Agenda Regulatória 2027-2028. O documento reuniu dez propostas organizadas em três eixos temáticos, refletindo tanto os diagnósticos construídos ao longo do mandato quanto questões que, embora ainda não enfrentadas pela autoridade, apresentam elevado impacto para a consolidação do sistema brasileiro de proteção de dados pessoais.
O primeiro eixo concentrou-se no fortalecimento das políticas de educação e capacitação, em continuidade aos trabalhos desenvolvidos pelo GT1/2024. Nesse contexto, a govDADOS reiterou a proposta de criação da ENAD - Escola Nacional de Proteção de Dados, concebida como estrutura permanente para coordenar as ações educativas da ANPD. Também foi sugerida a regulamentação do sistema de acreditação, certificação e selos previsto nos arts. 33, inciso II, e 50, §§ 3º e 4º, da LGPD, instrumento que permanece sem disciplina normativa, apesar de seu potencial para incentivar boas práticas e elevar os padrões de conformidade dos agentes de tratamento.
O segundo eixo voltou-se às bases legais para o tratamento de dados pessoais, identificando lacunas regulatórias que vêm gerando insegurança jurídica tanto para controladores quanto para titulares. Entre as propostas apresentadas destacaram-se a definição de critérios objetivos para o tratamento secundário de dados, a regulamentação da monetização primária de dados pessoais - tema ainda inédito nas agendas regulatórias da ANPD - e o aprofundamento da disciplina relativa ao legítimo interesse, especialmente por meio da densificação dos parâmetros aplicáveis ao teste de proporcionalidade previsto no art. 10 da LGPD.
O terceiro eixo abordou desafios regulatórios emergentes decorrentes da rápida evolução tecnológica e da crescente complexidade das atividades de tratamento de dados pessoais. As contribuições abrangeram a definição de parâmetros jurídicos para avaliação do risco de reidentificação de dados anonimizados, nos termos do art. 12 da LGPD; o estabelecimento de padrões mínimos de segurança da informação, conforme previsto no art. 46, § 1º; o aperfeiçoamento do regime aplicável às decisões automatizadas e ao direito à explicação, disciplinado pelo art. 20; a construção de um regime de transição para bases de dados legadas; e a regulamentação do tratamento de dados pessoais para treinamento de sistemas de inteligência artificial, incluindo as diferentes etapas do ciclo de vida dos modelos.
Embora distintas entre si, as propostas compartilham uma característica comum: procuram antecipar desafios regulatórios que tendem a ganhar relevância nos próximos anos. Mais do que responder a problemas já consolidados, o objetivo foi contribuir para que a Agenda Regulatória da ANPD incorporasse temas estratégicos capazes de orientar a evolução do sistema brasileiro de proteção de dados de forma preventiva, coerente e baseada em evidências.
Balanço: A sociedade civil e o CNPD
Como observado anteriormente, o CNPD é um órgão de natureza consultiva. Suas manifestações, recomendações e relatórios subsidiam tecnicamente a atuação da ANPD, mas não possuem caráter vinculante. Essa característica, por vezes apontada como uma limitação do modelo institucional, representa, na realidade, um incentivo à construção de consensos e ao fortalecimento da fundamentação técnica das propostas apresentadas ao CNPD.
Nesse contexto, a participação dos representantes da sociedade civil adquire especial relevância. A efetividade de sua atuação não decorre da existência de poder decisório, mas da capacidade de formular diagnósticos consistentes, construir soluções tecnicamente fundamentadas e dialogar com os diferentes segmentos representados no colegiado. Foi essa perspectiva que orientou a atuação exercida ao longo do biênio, sempre buscando conciliar rigor técnico, diálogo institucional e compromisso com o aperfeiçoamento da política brasileira de proteção de dados pessoais.
A atuação da representação da govDADOS no CNPD concentrou-se em iniciativas voltadas ao fortalecimento da educação em proteção de dados, ao aperfeiçoamento da coordenação regulatória entre a ANPD e os demais órgãos públicos, à qualificação dos debates estratégicos conduzidos pelo CNPD e à apresentação de propostas para a sua futura Agenda Regulatória. Os produtos resultantes desses trabalhos - relatórios técnicos, recomendações e contribuições formais - permanecem à disposição da ANPD como subsídios para o desenvolvimento de suas atividades regulatórias.
Com o encerramento do meu mandato, conclui-se também este ciclo de representação da govDADOS no CNPD. Permanece, contudo, o compromisso individual e institucional com o desenvolvimento da governança de dados, o fortalecimento da proteção de dados pessoais e o aprimoramento das políticas públicas relacionadas ao tema. A proteção de dados pessoais no Brasil amadurece. A govDADOS teve o privilégio de dar a sua contribuição. Nosso mandato no CNPD terminou, mas o trabalho está apenas começando.