A Agenda Regulatória 2025-2026 da Autoridade Nacional de Proteção de Dados (ANPD) representa mais do que um planejamento administrativo. Ela sinaliza a transição definitiva da autoridade para uma fase de densidade técnica, objetivação normativa e enforcement estruturado da Lei Geral de Proteção de Dados Pessoais (LGPD).
Se os primeiros anos da LGPD foram marcados por construção institucional e afirmação principiológica, o próximo biênio tende a consolidar precedentes administrativos e parâmetros concretos de responsabilização. E o setor de saúde será, ao que tudo indica, o primeiro grande laboratório dessa nova etapa regulatória.
A priorização de dados biométricos e dados de saúde não é casual. Trata-se do núcleo mais sensível da proteção de dados: informações que, por sua natureza, afetam diretamente dignidade, identidade e integridade do titular. Ao eleger esses temas como foco normativo e fiscalizatório, a ANPD assume o desafio de enfrentar zonas de tensão entre inovação tecnológica e direitos fundamentais.
No caso da biometria, o debate transcende a privacidade tradicional. O reconhecimento facial e outras tecnologias de identificação inequívoca introduzem riscos de vigilância permanente, discriminação algorítmica e uso secundário não previsto. A futura resolução sobre o tema — atualmente em elaboração — deverá estabelecer critérios objetivos sobre bases legais, avaliação de impacto e padrões mínimos de segurança.
O ponto crítico será a construção de parâmetros proporcionais. Uma regulação excessivamente aberta gera insegurança jurídica; uma excessivamente restritiva pode inviabilizar soluções legítimas de identificação e segurança. A ANPD terá de calibrar esse equilíbrio com técnica e previsibilidade.
Já no campo dos dados de saúde, a complexidade é estrutural. Hospitais, clínicas, laboratórios, operadoras e pesquisadores operam em rede. O compartilhamento de informações é condição para a própria prestação do serviço e para o avanço científico. Ao mesmo tempo, o potencial de dano decorrente de vazamentos ou usos indevidos é elevado.
A agenda regulatória indica que temas como minimização, retenção, anonimização para pesquisa e bases legais alternativas ao consentimento serão enfrentados de forma mais detalhada. A fase interpretativa da LGPD tende a ceder espaço a uma fase probatória: será necessário demonstrar, documentalmente, a adequação das escolhas jurídicas e técnicas realizadas pelas organizações.
Talvez o sinal mais claro de mudança esteja na meta de realização de dez atividades de fiscalização até 2026. A Autoridade Nacional de Proteção de Dados deixa evidente que não pretende apenas regulamentar — pretende verificar, auditar e, quando necessário, sancionar.
Auditorias de Relatórios de Impacto (RIPD), verificação de medidas de segurança, análise de contratos com operadores, investigação de incidentes e fiscalização temática em biometria estão no horizonte. O enforcement será, cada vez mais, orientado por risco e por impacto coletivo.
Isso altera a lógica de compliance. Não bastará possuir políticas internas formais ou termos de consentimento padronizados. A autoridade tende a exigir coerência operacional, governança demonstrável e rastreabilidade das decisões. A documentação deixará de ser mera formalidade para se tornar elemento central de defesa regulatória.
O biênio 2025-2026 será, portanto, um teste duplo. Para o setor regulado, será a prova de maturidade na internalização da cultura de proteção de dados. Para a ANPD, será o teste de sua capacidade de produzir normas técnicas claras, proporcionais e estáveis, evitando oscilações interpretativas que comprometam a segurança jurídica.
A consolidação de critérios objetivos para biometria, a definição equilibrada de parâmetros para dados de saúde e a execução transparente das fiscalizações determinarão se a LGPD ingressará em um ciclo virtuoso de previsibilidade regulatória — ou em um cenário de incerteza e litigiosidade crescente.
A fase decisiva começou. E ela exigirá técnica, diálogo institucional e responsabilidade compartilhada.
Márcia Ferreira é advogada e especialista em Direito Digital e Proteção de Dados do Di Blasi, Parente & Associados.
Os artigos e reportagens assinadas não refletem necessariamente a opinião da editora, sendo de responsabilidade exclusiva dos respectivos autores.