Conforme destacamos nas notas publicadas ao longo dessa semana, a proteção de dados pessoais no Brasil caminha para uma fase de maior maturidade e sofisticação regulatória. Superado o momento inicial de adaptação à Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018), o debate tende a se concentrar menos na conformidade formal e mais na efetividade das medidas adotadas pelos agentes de tratamento.

Um dos eixos centrais para o futuro é o fortalecimento institucional da Agência Nacional de Proteção de Dados (ANPD). A expectativa é de ampliação da atuação normativa e fiscalizatória, com maior previsibilidade regulatória, consolidação de entendimentos e intensificação da aplicação de sanções administrativas, o que tende a influenciar diretamente a postura das organizações quanto à gestão de riscos e à governança em privacidade. Frente a isso, alguns temas são altamente antecipados para a ampliação da proteção de dados no Brasil.

O ECA Digital

O mês de março do presente ano marcará o início da vigência da Lei nº 15.211/2025, conhecido como ECA Digital, que dispõe sobre a proteção de crianças e adolescentes em ambientes digitais e, consequentemente, cria regras para essa proteção, que incluem questões atinentes ao tratamento de dados pessoais e ao uso de aplicativos, jogos eletrônicos, programas de computador, redes sociais e relacionados.

A Lei também trouxe novas competências à ANPD, que foi convertida em Agência Reguladora, com mais autonomia técnica, decisória, administrativa e financeira para a fiscalização da LGPD e do próprio ECA Digital.

Dados Biométricos

Conforme prevê a Agenda Regulatória da ANPD para o biênio 2025-2026, o tratamento de dados biométricos é uma das prioridades para este ano. Em 2025, a Agência conduziu uma Tomada de Subsídios em relação à proposta de regulamentação sobre o tema e, agora, deve publicar uma resolução sobre o tema, estabelecendo critérios mais específicos para o tratamento desses dados.

Inteligência Artificial

A ANPD tem sido apontada nos Projetos de Lei como a autoridade administrativa que seria responsável pela fiscalização sobre o uso de Inteligência Artificial no Brasil. Sendo assim, além de ser esperado que, com a aprovação dos PLs, especialmente o de nº 2.338/23, a ANPD assuma as responsabilidades relativas à regulamentação do uso de IA no país.

Não obstante, a Agência também incluiu o tema em sua agenda regulatória, que deve ser tratado ainda nesse ano, levando em consideração os temas tratados na tomada de subsídios realizada em 2024, o direito de revisão de decisões automatizadas e a aplicação da LGPD nos contextos de treinamento e uso de sistemas de IA.

Transferência Internacional

Além da publicação da decisão de adequação mútua entre Brasil e União Europeia, é esperado que ANPD regulamente outros temas relacionados à transferência internacional ainda nesse ano, sobretudo o reconhecimento de Cláusulas-Padrão Equivalentes e a regulamentação dos demais mecanismos de transferência internacional pendentes.

Hipóteses legais

Assim como a ANPD publicou guias orientativos sobre a hipótese legal do Legítimo Interesse, é esperado que a Agência publique documentos semelhantes para outras hipóteses legais polêmicas, como o Consentimento, a Proteção ao Crédito e até a Execução do Contrato, cuja aplicação para contratos que envolvem terceiros é muito antecipada.

Direitos dos Titulares

Além do destacado acima, observa-se uma tendência de maior protagonismo dos titulares de dados, com crescimento de demandas administrativas e judiciais e maior conscientização sobre direitos e deveres. Esse movimento tende a impulsionar o desenvolvimento de mecanismos mais eficientes de atendimento aos titulares e de resolução de conflitos.

Por fim, o futuro da proteção de dados no Brasil aponta para uma convergência regulatória internacional, especialmente com regimes como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), o que é particularmente relevante para operações que envolvem transferências internacionais de dados e cadeias globais de serviços.

Em síntese, a proteção de dados no Brasil tende a evoluir para um modelo baseado em responsabilização, prevenção e gestão contínua de riscos, no qual a conformidade com a LGPD deixa de ser um fim em si mesma e passa a integrar uma estratégia mais ampla de governança, ética e sustentabilidade institucional.