ANPD como agência reguladora: Maturidade ou aumento do custo?

1. Introdução

A transformação da ANPD - Autoridade Nacional de Proteção de Dados em agência reguladora - que passará a ser denominada AGPD - Agência Nacional de Proteção de Dados - representa um marco institucional na consolidação da privacidade como política de Estado no Brasil.

Aprovada por meio da MP 1.317/25 (com aprovação pelo Senado Federal em fevereiro de 2026), a medida altera o desenho institucional originalmente concebido pela lei 13.709/18 (LGPD), conferindo ao órgão maior envergadura técnica, autonomia administrativa e orçamento próprio.

O cerne do debate, todavia, transcende a dogmática jurídica para adentrar a seara estrutural e econômica: essa mudança promove a almejada segurança jurídica e eficiência regulatória ou, por outro lado, eleva os custos de conformidade e aprofunda a intervenção estatal na economia digital?

2. Fundamentos jurídicos da nova configuração

A criação de autarquias de regime especial encontra guarida no art. 37 da CF/88, autorizando a organização da Administração Indireta para o exercício de funções técnicas especializadas. Com a nova roupagem garantida pela MP 1.317/25 e sua submissão à lei das agências reguladoras (lei 13.848/19), a agência passa a ostentar prerrogativas típicas, tais como:

• Autonomia decisória e funcional.
• Mandatos fixos para seus dirigentes.
• Orçamento próprio e gestão financeira independente.
• Quadro permanente de especialistas (carreira de regulação e fiscalização, provida via concurso público).

Esse modelo alinha o órgão a entidades como Anvisa, Anatel e Aneel, consolidando a proteção de dados como um autêntico setor regulado permanente. Do ponto de vista jurídico-institucional, cristaliza-se a independência regulatória; sob a ótica econômica, amplia-se o escopo da intervenção do Estado sobre o mercado digital.

3. Análise econômica do Direito: Custo regulatório e eficiência

Sob as lentes da análise econômica do Direito (law & economics), é cediço que toda regulação desencadeia dois efeitos diametralmente opostos: a mitigação de externalidades negativas e a elevação dos custos de transação.

A regulação robusta de dados atua mitigando externalidades prejudiciais, tais como vazamentos massivos, fraudes cibernéticas, uso abusivo de dados pessoais e a assimetria informacional entre grandes players e consumidores. Em contrapartida, impõe custos de conformidade (compliance) consideráveis à iniciativa privada:

• Estruturação e manutenção de programas de governança contínuos.
• Realização de auditorias periódicas e elaboração de RIPD - Relatórios de Impacto.
• Nomeação e suporte ao DPO - Encarregado pelo Tratamento de Dados.
• Treinamentos corporativos e reengenharia de processos internos.

Enquanto grandes corporações absorvem tais custos com relativa naturalidade, pequenas e médias empresas podem sofrer impactos desproporcionais, gerando potenciais barreiras de entrada e favorecendo a concentração de mercado. O questionamento central, portanto, é imediato: a elevação do rigor normativo produzirá um ganho social que supere o incremento do custo econômico?

4. Comparativo com o GDPR europeu

O modelo regulatório brasileiro caminha a passos largos em direção ao GDPR - General Data Protection Regulation da União Europeia.

Semelhanças:

• Previsão de sanções administrativas pecuniárias severas.
• Atuação de uma autoridade supervisora técnica e independente.
• Exigência de relatórios de impacto para atividades de alto risco.
• Responsabilização objetiva do controlador.

Diferenças estruturais:

• O GDPR opera sob uma lógica supranacional, com mecanismos de cooperação e consistência (One-Stop-Shop) entre diversas autoridades europeias.
• A Europa dispõe de um aparato técnico histórico e maior integração digital em suas instituições.
• O lastro orçamentário das autoridades do velho continente supera de forma expressiva a realidade brasileira.

Enquanto a implementação do GDPR contou com maciço investimento público e um período de adaptação dilatado, o Brasil ainda esbarra em desafios crônicos, como o déficit tecnológico da máquina pública, restrições fiscais severas e uma heterogeneidade na maturidade digital do setor produtivo. A conversão da Agência aproxima o Brasil do padrão-ouro europeu, mas o sucesso da empreitada dependerá de uma capacidade institucional prática que ainda precisa ser plenamente construída.

5. Impactos orçamentários e estruturação da máquina pública

A transição institucional exige a estruturação de cargos técnicos especializados (especialistas em regulação). Historicamente, a ANPD operou com um orçamento módico se comparada a suas congêneres. A nova configuração exigirá:

• Expansão das despesas correntes com pessoal.
• Aportes vultosos em infraestrutura tecnológica.
• Aprimoramento capilar das capacidades investigativa e sancionatória.

Em um cenário macroeconômico de restrição fiscal, o debate é imperativo: como garantir a eficiência na alocação desses recursos públicos? A consolidação da agência só se justifica se o ônus orçamentário for suplantado por benefícios tangíveis, como o incremento da segurança jurídica e a mitigação de danos bilionários oriundos de incidentes de segurança cibernética.

6. Impactos para as empresas e a economia digital

Na prática, o mercado deve se preparar para um novo paradigma de fiscalização. A estrutura ampliada tende a desaguar em:

• Intensificação exponencial dos processos administrativos sancionadores.
• Edição de normas e diretrizes setoriais mais granulares e específicas.
• Escrutínio rigoroso sobre o modelo de negócios de plataformas digitais.

Organizações cujas operações dependam intrinsecamente de big data, inteligência artificial, publicidade programática e plataformas de jogos online estarão na linha de frente da atuação regulatória. Sob o prisma concorrencial, empresas que já internalizaram a cultura de privacidade gozarão de evidente vantagem competitiva, ao passo que agentes negligentes enfrentarão um risco regulatório sem precedentes.

7. Reflexos no ECA Digital e a proteção infantojuvenil

A recém-criada AGPD - Agência Nacional de Proteção de Dados assume um protagonismo inegável na fiscalização e aplicação do ECA - Estatuto Digital da Criança e do Adolescente Digital - lei 15.211/25. Com a nova musculatura institucional, a autarquia terá ferramentas robustas para:

• Regular e coibir práticas de publicidade infantil abusiva e a "adultização" precoce no ambiente virtual.
• Fiscalizar o perfilamento comportamental e fazer valer a proibição das caixas de recompensa (loot boxes) para menores.
• Exigir mecanismos confiáveis de verificação de idade e consentimento qualificado parental.
• Aplicar multas substanciais e sanções de suspensão às plataformas descumpridoras.

Embora louvável sob a ótica da proteção integral (art. 227 da CF), o rigor do ECA Digital impõe um acalorado debate sobre os limites da intervenção estatal, a liberdade econômica e a viabilidade técnica de certas inovações no ecossistema digital brasileiro.

8. Maturidade institucional ou hipertrofia regulatória?

A metamorfose da autoridade nacional admite duas leituras:

1. Maturidade institucional: A proteção de dados e a autodeterminação informativa finalmente alcançam o status de pilares estruturantes e perenes da economia digital brasileira, com o Estado assumindo seu papel garantidor de forma efetiva.
2. Hipertrofia regulatória: O inchaço da máquina estatal e a sanha fiscalizatória podem asfixiar a inovação, elevar vertiginosamente o "Custo Brasil" e gerar um ambiente de insegurança que afugenta investimentos em novas tecnologias.

O pêndulo entre essas duas realidades será ditado pela postura da própria agência: se atuará pautada pela racionalidade técnica, accountability e responsividade, ou se cederá à tentação do microgerenciamento e da expansão desmedida de controle.

9. Conclusão

A ascensão da ANPD à condição de agência reguladora é um salto institucional inquestionável. No entanto, seus desdobramentos ultrapassam as fronteiras do Direito Administrativo e tangenciam diretamente os rumos da economia nacional.

O Brasil inaugura uma fase de consolidação regulatória do seu mercado digital. O desafio premente não se restringe à tutela dos dados pessoais, mas sim à execução dessa nobre tarefa calcada nos princípios da eficiência, da proporcionalidade e da responsabilidade fiscal. O verdadeiro teste de fogo da nova agência será a sua capacidade de harmonizar a intransigente defesa dos direitos fundamentais com a preservação da livre iniciativa e da inovação tecnológica.

_______________________

BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em: Planalto

BRASIL. Lei nº 13.709, de 14 de agosto de 2018 (LGPD). Disponível em: Planalto

BRASIL. Lei nº 13.848, de 25 de junho de 2019 (Lei das Agências Reguladoras). Disponível em: Planalto

BRASIL. Medida Provisória nº 1.317, de 17 de setembro de 2025 (Transformação em Agência Reguladora). Disponível para consulta de tramitação: Congresso Nacional

BRASIL. Lei nº 15.211, de 17 de setembro de 2025 (Estatuto Digital da Criança e do Adolescente / ECA Digital). Disponível em: Imprensa Nacional - Diário Oficial da União

UNIÃO EUROPEIA. Regulation (EU) 2016/679 (GDPR). Disponível em: EUR-Lex