Lei 15.352/2026: A Transformação da ANPD em Agência Reguladora e o Novo Capítulo da Proteção de Dados no Brasil

TITLE: Lei 15.352/2026: A Transformação da ANPD em Agência Reguladora e o Novo Capítulo da Proteção de Dados no Brasil

SUMMARY: A Lei 15.352/2026 transforma a ANPD em agência reguladora com autonomia ampliada. Entenda o impacto para empresas e cidadãos.

IMAGE_URL: https://images.unsplash.com/photo-1633265486064-086b219458ec?w=1200&q=80 IMAGE_SOURCE: Unsplash CATEGORY_ID: 23

Introdução

No dia 25 de fevereiro de 2026, o Presidente da República sancionou a Lei nº 15.352, de 2026, marcando um ponto de inflexão na arquitetura institucional da proteção de dados pessoais no Brasil. A nova legislação transforma a Autoridade Nacional de Proteção de Dados (ANPD) — até então uma autarquia em fase de estruturação — na Agência Nacional de Proteção de Dados (ANPD), equipará-la às demais agências reguladoras federais, como a ANATEL, a ANVISA e a ANS.

A mudança não é meramente nominal. Trata-se de uma reformulação estrutural que confere à autoridade reguladora status, autonomia e instrumentos que antes não possuía, posicionando o Brasil de forma mais consistente no cenário internacional de governança de dados.

Contexto Histórico: Da LGPD à Criação da Agência

A Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) entrou em vigor em setembro de 2020, estabelecendo um novo paradigma na tutela dos dados pessoais dos cidadãos brasileiros. O diploma legal seguiu, em grande medida, o modelo do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, criando um conjunto de princípios, bases legais e direitos para os titulares de dados, além de impor obrigações a controladores e operadores.

Desde a vigência da LGPD, a ANPD funcionou como entidade subordinada à estrutura da Controladoria-Geral da União (CGU), o que restringia sua capacidade regulatória e orçamentária. A autoridade não dispunha de autonomia financeira, não possuía carreira própria de servidores especializados e operava com estrutura limitada, o que comprometeu, nos primeiros anos, a efetividade da fiscalização e da normative production.

O Que Muda com a Lei 15.352/2026

1. Personalidade Jurídica e Autonomia

A Lei 15.352/2026 confere à ANPD personalidade jurídica de direito público, natureza especial e autonomia técnica. Isso significa que a agência deixa de estar vinculada administrativamente à CGU e passa a operar como entidade autônoma, com orçamento próprio e capacidade de autofiscalização.

2. Carreira Própria de Reguladores

Um dos aspectos mais relevantes da nova lei é a criação da carreira de Especialista em Regulação de Proteção de Dados, com 200 cargos a serem preenchidos por concurso público. Trata-se de passo fundamental para garantir a especialização técnica do corpo funcional e a continuidade institucional da regulação.

3. Capacidade Sancionatória Ampliada

A nova legislação reforça o poder sancionatório da agência. As sanções previstas no artigo 52 da LGPD — que incluem advertência, multa simples, multa diária, suspensão e até proibição parcial ou total do exercício de atividades de tratamento — passam a contar com estrutura administrativo-funcional adequada para sua aplicação.

4. Harmonização com o Marco Civil da Internet

A nova lei também promove ajustes na Lei nº 12.965/2014 (Marco Civil da Internet) e na Lei nº 13.326/2016, evitando sobreposições normativas entre os regimes de proteção de dados e de telecomunicações.

Impactos para Empresas e Controladores de Dados

Para o setor privado, a transformação da ANPD em agência reguladora representa, de um lado, maior previsibilidade regulatória — com a expectativa de instruções normativas mais detalhadas e estável — e, de outro, uma fiscalização potencialmente mais rigorosa.

Espera-se que a agência, com estrutura adequada, intensifique a publicação de regulamentos complementares sobre temas como: transferência internacional de dados, anonimização e pseudonimização, vigência dos artigos 55-A e seguintes da LGPD (relativos à aplicabilidade perante tratamentos de dados de pequeno porte) e procedimentos de apuração de incidentes.

Comparativo Internacional

No cenário global, a evolução da ANPD para agência reguladora alinha o Brasil a jurisdições que já possuem entidades dedicadas à proteção de dados com autonomia institucional, a exemplo do Information Commissioner's Office (ICO) do Reino Unido, da Commission Nationale de l'Informatique et des Libertés (CNIL) da França e da própria European Data Protection Board (EDPB) europeia.

A equiparação institucional fortalece a posição do Brasil em negociações de fluxo de dados internacionais, especialmente com a União Europeia, cujo framework de adequação exige avaliação objetiva da capacidade institucional do país receptor.

Perspectivas e Desafios

Apesar do avanço legislativo, permanecem desafios significativos: a efetiva aplicação das sanções administrativas, a construção de uma cultura de compliance em organizações de todos os portes e a capacitação contínua dos agentes públicos envolvidos na tutela de dados pessoais.

O ano de 2026 marca, portanto, o início de uma nova fase para a proteção de dados no Brasil — mais institucionalizada, mais técnica e, espera-se, mais eficaz na defesa dos direitos dos titulares.