A autoridade virou agência

Quando a LGPD - Lei Geral de Proteção de Dados foi sancionada em 2018, o Brasil dava um passo essencial para se alinhar à agenda internacional da privacidade. No entanto, apesar do texto legal robusto, muito pavimentado pela legislação europeia, faltava ao país uma peça fundamental para consolidar sua credibilidade regulatória: uma autoridade independente, com estrutura própria, para fiscalizar, normatizar e promover a cultura de proteção de dados.

Em setembro de 2020, a LGPD entrou em vigor. A ANPD, enquanto Autoridade Nacional de Proteção de Dados já existia formalmente, criada por medida provisória, mas ainda atuava sob um modelo transitório, vinculada à Presidência da República. A ausência de autonomia plena - inclusive orçamentária e administrativa - sempre foi um ponto de atenção para operadores do Direito, profissionais da área e observadores internacionais.

Agora, com a edição da MP 1.317/25, o Brasil avança de forma concreta. A Autoridade Nacional de Proteção de Dados ganha status de agência reguladora, com independência decisória e estrutura institucional definitiva. Trata-se de um movimento que merece ser celebrado: ele consolida uma nova etapa na governança de dados pessoais no país.

A história da ANPD começa com um veto. Ao sancionar a LGPD em 2018, o então presidente Michel Temer - constitucionalista de formação - vetou os dispositivos que criavam a Autoridade Nacional de Proteção de Dados, sob o correto argumento, como constitucionalista, de que não havia previsão orçamentária específica.

Meses depois, o mesmo governo editaria a MP que criou a ANPD, dessa vez como um órgão vinculado à Presidência, com estrutura transitória e cargos emprestados de outros entes da Administração Pública. A escolha política e administrativa, embora importante para viabilizar a implementação da LGPD, não conferia à ANPD a independência necessária para se equiparar às autoridades de proteção de dados da União Europeia, como exige o regulamento europeu (GDPR) para uma decisão de adequação.

Essa condição institucional incompleta foi, por muito tempo, um dos motivos que impediram o reconhecimento do Brasil como país "adequado" para fins de transferência internacional de dados com base no GDPR.

Para que um país seja reconhecido pela União Europeia como adequado em termos de proteção de dados, não basta ter uma boa lei. É preciso demonstrar que há efetividade na aplicação da norma, fiscalização técnica e imparcial e garantias institucionais que assegurem a proteção dos direitos dos titulares.

A independência da autoridade nacional é um dos pilares desse modelo. No Brasil, o modelo original da ANPD, subordinado diretamente ao Executivo Federal, era constantemente questionado quanto à sua real capacidade de atuar com isenção - especialmente em casos envolvendo o próprio governo.

A MP 1.317/25 corrige esse descompasso e alinha o país com os parâmetros exigidos pela comunidade internacional: uma autoridade técnica, permanente e dotada de plena autonomia funcional. Esse é um marco institucional e simbólico que reposiciona o Brasil no mapa global da privacidade.

A MP transforma a ANPD em agência reguladora com natureza autárquica especial, integrando o rol de entidades como ANATEL, ANEEL e Anvisa. Com isso, a ANPD passa a contar com independência administrativa, autonomia financeira e competências normativas ampliadas.

A nova estrutura não só consolida o papel fiscalizador e regulador da ANPD, como também cria condições reais para o exercício pleno de sua missão institucional: promover a proteção de dados pessoais como direito fundamental no Brasil.

Um aspecto particularmente promissor da MP é a previsão de criação de cargos próprios, funções comissionadas e estruturas de carreira para servidores especializados. Pela primeira vez, o Estado brasileiro sinaliza que a proteção de dados exige quadros técnicos dedicados, capacitados e permanentes, com conhecimento jurídico, tecnológico e regulatório.

Esse movimento tem reflexos diretos no mercado profissional: abre caminho para uma nova fase na carreira de proteção de dados, tanto na esfera pública quanto na privada. O reconhecimento da ANPD como agência reguladora impulsiona o fortalecimento da comunidade de DPOs, advogados especialistas, profissionais de compliance e pesquisadores da área.

A nova fase da ANPD, enquanto agência, coincide com um momento estratégico de sua atuação. A Agenda Regulatória 2023-2024 da então Autoridade já apontava temas prioritários como o compartilhamento de dados com o Poder Público, a regulação de bases legais específicas (como o legítimo interesse) e a fiscalização de tratamentos de alto risco.

Desde seu nascimento, a ANPD tem mostrado abertura para a diplomacia, por meio de apoio e debates técnicos com autoridades estrangeiras, como o EDPB - Comitê Europeu de Proteção de Dados. Há esforços conjuntos voltados à troca de informações, procedimentos de cooperação e alinhamento regulatório - todos relevantes para o reconhecimento de adequação do Brasil no âmbito do GDPR.

A proteção de dados pessoais no Brasil deu um passo firme e simbólico com a edição da MP 1.317/25. O país, que iniciou essa jornada com atrasos e improvisos, agora estrutura sua Autoridade de forma definitiva, autônoma e condizente com os padrões internacionais.

A transformação da ANPD em agência reguladora não é apenas um aprimoramento institucional. É a consolidação de uma cultura regulatória orientada à proteção da privacidade, à valorização da governança de dados e à segurança jurídica das relações digitais.

Trata-se de uma conquista coletiva - fruto do trabalho de juristas, pesquisadores, profissionais da área, membros da sociedade civil e agentes públicos comprometidos com a construção de um ecossistema mais transparente e responsável no tratamento de dados pessoais.

Mais do que celebrar a autonomia da ANPD, é hora de reforçar o compromisso com sua missão regulatória, com a valorização de seus quadros técnicos e com o fortalecimento contínuo da cultura de proteção de dados no Brasil.