Em 17 de julho, o Brasil marca o Dia Nacional de Proteção de Dados Pessoais. A data, ainda recente no calendário jurídico nacional, chega em 2026 encontrando um cenário substancialmente distinto daquele vivido em 2020, quando a LGPD entrou em vigor.
Naquele momento, a proteção de dados era, para a maioria das empresas brasileiras, um capítulo de compliance recém-descoberto, tratado com desconfiança por parte de quem via na nova lei apenas um custo regulatório adicional. Seis anos depois, o quadro é outro: o Brasil consolidou uma autoridade de dados com status de agência reguladora, obteve reconhecimento mútuo de adequação com a União Europeia e ampliou de forma significativa o arcabouço normativo que rege o ambiente digital, incluindo a proteção de crianças e adolescentes.
Não se trata de comemorar uma tarefa concluída, mas de reconhecer que o Brasil deu passos institucionais concretos rumo à maturidade em governança de dados e segurança da informação, sem perder de vista os desafios estruturais que ainda separam a letra da lei da prática cotidiana das organizações além do letramento da população.
Sem dúvidas, o marco mais expressivo desse amadurecimento é a transformação da Autoridade Nacional de Proteção de Dados em agência reguladora. A lei 15.352/26, sancionada em 25 de fevereiro, alterou a LGPD e a lei 13.848/19 para inserir formalmente a ANPD no regime jurídico das agências reguladoras federais, ao lado de autarquias como Anatel, Anvisa e Aneel. A mudança não é apenas nominal: a Agência passa a ter autonomia funcional, técnica, decisória, administrativa e financeira, patrimônio próprio e processo decisório submetido aos mesmos parâmetros de adequação entre meios e fins que regem as demais agências do setor.
A lei tem origem na MP 1.317/25, convertida em lei após tramitação no Congresso, e resolve uma ambiguidade que se arrastava havia anos na comunidade jurídica: até então, a ANPD era uma autarquia de natureza especial, com autonomia técnica e decisória, mas sem estar formalmente inserida no regime das agências reguladoras propriamente ditas. Especialistas como Danilo Doneda já alertavam que uma autoridade de proteção de dados verdadeiramente independente exigia uma decisão política clara sobre estrutura e orçamento, e não apenas boas intenções normativas. A lei 15.352/26 responde a esse chamado, ainda que a pergunta que fica em aberto seja outra: se a ANPD passará, na prática cotidiana, a atuar como uma agência reguladora de fato, ou se a nova arquitetura institucional ficará apenas no papel.
A nova lei também instituiu a Carreira de Regulação e Fiscalização de Proteção de Dados, com 200 vagas de especialista em regulação a serem providas por concurso público, viabilizadas pela transformação de 797 cargos vagos de outras carreiras do Poder Executivo federal, além de um órgão de auditoria interna e de cargos comissionados destinados a servidores de carreira. Em abril, o decreto 12.881/26 e a resolução CD/ANPD 33 concluíram a reestruturação organizacional, criando seis superintendências, executiva, inovação tecnológica, regulação, fiscalização, relações institucionais e internacionais, e gestão interna. Hoje a Agência já conta com cerca de 500 pessoas entre servidores, colaboradores e estagiários, um salto expressivo para um órgão que, poucos anos atrás, operava com equipe reduzida e orçamento limitado, ocupando três andares de um único edifício em Brasília.
Essa transformação não nasceu isolada. Ela decorre diretamente das novas atribuições conferidas à ANPD pelo Estatuto Digital da Criança e do Adolescente, o ECA Digital, que a designou como autoridade responsável por regular e fiscalizar a proteção de crianças e adolescentes no ambiente digital. Ou seja: o fortalecimento institucional foi, em boa medida, uma resposta regulatória a uma agenda de proteção que se tornou impossível de sustentar com a estrutura anterior.
A condição de agência reguladora também aproxima a ANPD, em termos de prerrogativas, de autarquias já consolidadas como Anatel e Anvisa: seus especialistas passam a contar com poderes de interditar estabelecimentos, apreender bens e requisitar auxílio de força policial quando necessário para garantir o cumprimento da LGPD, um patamar de atuação bem distinto daquele com que a Autoridade iniciou seus trabalhos, em 2020. Ao mesmo tempo, o novo status submete a Agência a parâmetros mais rigorosos de processo decisório e transparência regulatória, os mesmos que já regem Aneel, ANP, Anatel, Anvisa, ANS, ANA, Antaq, ANTT, Ancine e ANM, o que representa, também, um ganho de previsibilidade para as organizações reguladas, que passam a contar com regras de jogo mais claras sobre como a Agência fundamenta suas decisões.
O reconhecimento mútuo de adequação com a União Europeia
Se a transformação em agência reguladora é o marco institucional interno, o reconhecimento mútuo de adequação entre Brasil e União Europeia é o marco de projeção internacional. O caminho até ali não foi construído de uma só vez: já em 2024, a ANPD havia regulamentado, por meio da resolução CD/ANPD 19/24, o Regulamento de Transferência Internacional de Dados, organizando os mecanismos previstos na LGPD para o envio de dados pessoais a outros países, cláusulas-padrão contratuais, cláusulas específicas, normas corporativas globais e, no topo dessa hierarquia de segurança jurídica, as próprias decisões de adequação. Foi esse alicerce regulatório que permitiu, em 27 de janeiro de 2026, em cerimônia no Palácio do Planalto, o anúncio de decisões unilaterais e coordenadas entre Brasil e União Europeia reconhecendo que a LGPD e o RGPD oferecem níveis de proteção de dados pessoais equivalentes.
A decisão brasileira, formalizada pela resolução CD/ANPD 32/26, passou a permitir que dados pessoais circulem entre as duas jurisdições sem a necessidade de cláusulas-padrão contratuais ou outros mecanismos adicionais de transferência internacional previstos na LGPD. O efeito prático é a criação de um dos maiores corredores de fluxo seguro de dados do mundo, reunindo os 27 Estados-membros da União Europeia e os países do Espaço Econômico Europeu, com acesso facilitado a um mercado da ordem de 450 milhões de consumidores.
Para empresas brasileiras com operações internacionais e, de forma mais ampla, para o próprio ecossistema de inovação e pesquisa que depende de fluxos de dados entre os dois blocos, a adequação reduz custos de conformidade e amplia a segurança jurídica, com estimativas de mercado apontando para um crescimento de 7% a 9% no comércio digital bilateral. O que se convencionou chamar de "corredor digital Brasil-UE" tende a beneficiar particularmente setores intensivos em dados como tecnologia, serviços financeiros, saúde e healthtechs , ao eliminar a necessidade de auditorias técnicas complexas apenas para viabilizar o fluxo bilateral de informações, e a facilitar a integração de cadeias entre matrizes europeias e filiais brasileiras. Vale o registro de que a decisão não abrange transferências para outras jurisdições, como Estados Unidos ou países asiáticos, que continuam sujeitas aos mecanismos tradicionais da LGPD.
Como é praxe nesse tipo de instrumento, a resolução prevê reavaliação periódica, no caso em quatro anos, o que reforça a lógica de que decisões de adequação são reconhecimentos vivos, sujeitos a monitoramento contínuo, e não credenciais estáticas. O dado relevante para as organizações é outro: a manutenção de programas de privacidade robustos já era uma exigência doméstica e agora também sustenta a posição do Brasil como destino confiável de dados no cenário internacional. E o cronograma de fortalecimento institucional caminha junto com essa responsabilidade: para as organizações brasileiras, aproveitar esse novo corredor de dados pressupõe manter o mapeamento de fluxos internacionais atualizado, políticas de privacidade revisadas e documentos disponíveis em português e linguagem clara, a facilitação de fluxo não é, em nenhuma hipótese, um passe livre para relaxar a governança interna.
O ecossistema regulatório da internet ganha novos contornos
Embora a aplicação das novas regras de proteção de dados seja extensiva a todos os CNPJs, não obstante tenham ou não presença digital ou custodiem dados pessoais em sistemas de informática, o fator de escala da coleta e tratamento de dados no ambiente digital, com ou sem ferramentas de inteligência artificial, atrai a atenção para negócios fomentados no mundo da internet.
E com isso, em paralelo ao eixo institucional e internacional, o Brasil avançou também na regulação do ambiente digital propriamente dito. O Marco Civil da Internet, norma que já completou mais de uma década de vigência, vem sendo atualizado por sucessivos decretos que redesenham a responsabilidade de provedores de conexão e de aplicação, o mais recente deles, o decreto 12.975, de 20 de maio de 2026, especificamente voltado a esse tema. Trata-se de um movimento de maturação regulatória que acompanha, em ritmo próprio, a experiência internacional de responsabilização de plataformas por cem conteúdo e por práticas de design que afetam direitos de seus usuários e que dialoga diretamente com a agenda de proteção de dados, na medida em que grande parte das obrigações de moderação e transparência de plataformas pressupõe também o tratamento adequado de dados pessoais dos usuários envolvidos.
Nesse mesmo pacote regulatório, o ECA Digital, instituído pela lei 15.211/25 e em vigor desde 17 de março de 2026, talvez represente a mudança de maior impacto prático para empresas que atuam ou têm presença potencial junto ao público infantojuvenil. A norma exige mecanismos efetivos de verificação etária, superando modelos baseados exclusivamente em autodeclaração; veda o design manipulativo voltado a crianças e adolescentes; impõe configurações de privacidade e segurança ativadas por padrão; e proíbe mecanismos de recompensa aleatória, como loot boxes, para esse público. Sua regulamentação executiva já rendeu três decretos publicados somente em março de 2026: o decreto 12.880, que instituiu a Política Nacional de Promoção e Proteção dos Direitos da Criança e do Adolescente no ambiente digital; o decreto 12.881, que ampliou a estrutura da ANPD; e o decreto 12.882, voltado à articulação nacional das forças de proteção a esse público.
É importante situar essa nova camada normativa dentro de uma lógica de complementaridade, e não de substituição: o ECA Digital convive com o próprio Estatuto da Criança e do Adolescente, cujas obrigações históricas, como o alvará judicial exigido para determinadas formas de publicidade dirigida a esse público, não desaparecem diante do ambiente digital, apenas exigem releitura à luz das novas formas de interação social e econômica. Do ponto de vista operacional, a adequação de empresas B2C voltadas ao público infantojuvenil costuma passar por quatro frentes centrais: revisão do inventário de dados pessoais de menores, elaboração de avaliações de impacto específicas para esse tratamento, revisão contratual com fornecedores de tecnologia e publicidade, e capacitação interna das áreas de produto e de dados. Trata-se, na prática, de uma extensão natural da lógica de privacy by design já presente na LGPD, agora com parâmetros mais específicos e um público destinatário claramente definido.
A velocidade com que esse ecossistema normativo vem sendo implementado, três decretos executivos em um único mês, somados à criação de uma agência reguladora e ao reconhecimento internacional de adequação, tudo dentro de um intervalo de poucos meses, dá a exata medida de como esses movimentos se conectam organicamente entre si. Não é uma coincidência de calendário: é a consequência de uma agenda regulatória que passou a tratar dados pessoais, segurança da informação e proteção de públicos vulneráveis como dimensões de um mesmo problema de governança digital, e não como pautas isoladas.
Segurança da informação: Da norma ao dado concreto
As sanções aplicadas pela ANPD até o momento seguem um padrão relativamente previsível: falhas básicas de conformidade, como ausência de encarregado nomeado, inventário de dados desatualizado e, sobretudo, atraso na comunicação de incidentes de segurança, que a resolução CD/ANPD 15/24 exige seja feita em até três dias úteis a partir do conhecimento do fato. Prazo exíguo que gera muitas críticas, mas é o vigente e tem sido cobrado, ao menos, para efetivação da comunicação em caráter preliminar com informações básicas para serem complementadas posteriormente.
Até aqui, a atuação sancionadora recaiu majoritariamente sobre órgãos públicos, o que se explica tanto pela prioridade inicial de fiscalização da Agência quanto pelo fato de que empresas privadas tendem a buscar solução antes que o processo avance para sanção formal e também pela circunstância de que multas pecuniárias não podem ser aplicadas ao Poder Público, o que limita o efeito dissuasório sobre esse segmento e evidencia a necessidade de a fiscalização avançar também sobre o setor privado.
Esse cenário, porém, tende a mudar. Com a transformação em agência reguladora, a capacidade de fiscalização da ANPD foi multiplicada: mais autonomia orçamentária, quadro técnico ampliado e poder de requisição reforçado, o que sinaliza para o mercado que a fiscalização sobre empresas privadas de maior porte deve se intensificar nos próximos ciclos, com multas potencialmente mais expressivas quando alcançar companhias de faturamento relevante. Para os programas de governança em privacidade, a lição prática é clara: documentação de inventário de tratamento de dados, avaliação de impacto e, principalmente, um protocolo formal e testado de resposta a incidentes deixaram de ser boas práticas recomendáveis para se tornar elementos concretamente auditáveis pela Autoridade e frequentemente são também os primeiros pontos verificados quando um incidente já ocorreu. Cooperação com a Agência durante uma fiscalização, por sinal, é expressamente prevista como atenuante no cálculo da multa, o que reforça que a postura da organização diante do processo fiscalizatório importa tanto quanto a conformidade prévia.
A estrada que ainda temos pela frente
Todo esse avanço institucional, no entanto, convive com uma realidade menos animadora na ponta: a efetiva disseminação da cultura de proteção de dados dentro das organizações brasileiras. Segundo o Mapa de Empresas, ferramenta oficial mantida pelo DREI - Departamento Nacional de Registro Empresarial e Integração, o Brasil conta hoje com 24,9 milhões de empresas ativas, número expressivo, e que dá a real dimensão do desafio de capilarizar a cultura de privacidade além das grandes corporações. Levantamentos recentes de mercado indicam que apenas cerca de 17% das empresas brasileiras possuem um encarregado pelo tratamento de dados pessoais nomeado, interno ou terceirizado, e outras pesquisas apontam que aproximadamente um quarto das organizações formalmente sujeitas à LGPD sequer designou essa figura, apesar da obrigação legal.
O problema não se resume à ausência de nomeação. Entre as empresas que já contam com DPO, a maioria concentra a função em profissionais que acumulam outras atribuições, jurídico ou compliance, principalmente, o que revela uma nomeação ainda mais formal do que estratégica em boa parte dos casos. Pesquisas setoriais recentes mostram que apenas uma minoria das organizações brasileiras atingiu o nível mais avançado de maturidade em proteção de dados, com a maior parte ainda posicionada em estágio intermediário, e que a falta de equipe dedicada e de orçamento próprio segue sendo apontada pelos próprios encarregados como uma das principais barreiras ao exercício pleno da função.
Os números de estrutura reforçam esse diagnóstico: levantamentos recentes indicam que uma parcela relevante dos encarregados brasileiros atua sozinha, sem equipe de apoio, e que a maioria das áreas de privacidade conta com no máximo cinco pessoas, uma distância considerável da média observada em programas internacionais de referência, que costumam operar com equipes bem maiores dedicadas exclusivamente ao tema. O investimento segue a mesma lógica: mesmo entre empresas de grande porte, com mais de mil funcionários, uma parcela expressiva ainda destina menos de R$ 600 mil por ano à área de privacidade, valor modesto se comparado aos orçamentos de companhias globais equivalentes. Não por acaso, pesquisas com encarregados brasileiros mostram que o investimento tende a crescer de forma reativa, depois de um incidente grave, e não como parte de um planejamento estruturado de longo prazo, o que é, em si, um indicativo de que a cultura de proteção de dados ainda compete internamente com outras prioridades orçamentárias mais visíveis no curto prazo.
Esse descompasso não é surpreendente diante do tamanho e da heterogeneidade do tecido empresarial brasileiro, majoritariamente composto por micro e pequenos negócios com recursos limitados para estruturar programas de privacidade robustos. Mas ele expõe um ponto que interessa diretamente à reflexão proposta pelo Dia Nacional de Proteção de Dados: o amadurecimento regulatório e institucional que o Brasil vem construindo, ANPD fortalecida, adequação internacional reconhecida, arcabouço normativo cada vez mais sofisticado, só se converte em proteção efetiva aos titulares de dados quando alcança a ponta da cadeia, ou seja, quando a cultura de conformidade deixa de ser um diferencial de grandes companhias e passa a ser prática difundida entre organizações de todos os portes.
Dia Nacional da Proteção de Dados: Uma data para reconhecer avanços e endereçar pendências
O 17 de julho, portanto, é uma boa oportunidade para um balanço honesto. De um lado, o Brasil consolidou, em pouco mais de um ano, uma sequência de marcos que dificilmente teriam sido imagináveis há uma década: uma autoridade de dados com status de agência reguladora, reconhecimento mútuo de adequação com o principal bloco de referência global em privacidade, e um arcabouço normativo que já avança sobre temas sensíveis como a proteção de crianças e adolescentes no ambiente digital. De outro, o desafio de universalizar a cultura de proteção de dados, para além dos setores regulados e das grandes empresas, permanece como a fronteira mais relevante a ser conquistada. Reconhecer os dois lados dessa equação, sem minimizar nenhum deles, é o que torna esta data relevante não apenas como marco simbólico, mas como convite a uma reflexão contínua sobre o que ainda precisa ser feito.