A Agenda Regulatória 2025-2026 da Autoridade Nacional de Proteção de Dados (ANPD) marca um ponto de inflexão na trajetória da autoridade e inaugura uma fase de maior densidade técnica e institucional na aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD). Não se trata apenas de um cronograma administrativo. O documento consolida prioridades, antecipa conflitos interpretativos e sinaliza como o enforcement deverá se estruturar nos próximos dois anos.
Entre os 16 temas elencados, dois concentram especial atenção: dados biométricos e dados de saúde. Ambos integram o núcleo duro dos dados pessoais sensíveis e envolvem tensões diretas entre inovação tecnológica, eficiência operacional e proteção de direitos fundamentais. Ao priorizá-los, a ANPD deixa claro que pretende enfrentar zonas cinzentas que, até aqui, foram tratadas predominantemente sob a ótica principiológica da LGPD.
Biometria e o desafio da proporcionalidade
A regulamentação de dados biométricos encontra-se em estágio avançado. Após Tomada de Subsídios e consolidação técnica, a autoridade trabalha na minuta de resolução que deverá disciplinar bases legais, exigências de segurança, avaliação de impacto e limites para o uso de tecnologias como reconhecimento facial.
O debate é estrutural. A biometria desloca a discussão da esfera meramente informacional para o campo da identificação inequívoca e da vigilância potencial. O tratamento desses dados envolve risco elevado, irreversibilidade prática (uma digital não pode ser "revogada") e impacto coletivo. A futura norma, portanto, não será apenas setorial — poderá influenciar a compreensão geral de proporcionalidade, necessidade e adequação no uso de tecnologias intensivas em dados.
O ponto central será a objetivação de critérios. A regulação de biometria exige parâmetros técnicos claros sobre análise de risco e bases legais aplicáveis. A ausência de critérios objetivos pode gerar insegurança jurídica e travar inovação legítima.
A consulta pública prevista para 2026 tende a ser o momento decisivo para calibrar esse equilíbrio.
Dados de saúde e a tensão entre compartilhamento e finalidade
Se a biometria avança em fase normativa, os dados de saúde ingressam agora em ciclo estruturado de regulamentação. O setor é, por definição, intensivo em informações sensíveis: prontuários, exames, histórico clínico, dados genéticos, pesquisas e telemedicina.
A ANPD sinaliza que pretende aprofundar temas como minimização, retenção, compartilhamento interinstitucional e anonimização para pesquisa. A questão central reside na compatibilização entre circulação necessária de dados — essencial à tutela da saúde e à pesquisa científica — e o princípio da limitação de finalidade.
A tensão não é trivial. Hospitais e laboratórios operam em rede; pesquisas clínicas dependem de compartilhamento; políticas públicas exigem consolidação de dados. Ao mesmo tempo, vazamentos ou usos indevidos têm alto potencial de dano individual e coletivo.
A tendência é de maior exigência documental e justificativa técnica. O setor de saúde precisará demonstrar, de forma robusta, a adequação das bases legais utilizadas e a proporcionalidade do compartilhamento. A fase principiológica da LGPD está cedendo espaço a uma fase probatória.
O enforcement como vetor institucional
Talvez o aspecto mais relevante da Agenda Regulatória seja a meta explícita de realização de dez atividades de fiscalização até o final de 2026. A ANPD sinaliza que combinará ações reativas — decorrentes de denúncias ou incidentes — com fiscalizações temáticas planejadas.
Entre as medidas possíveis estão auditorias de Relatórios de Impacto à Proteção de Dados (RIPD), verificação de medidas de segurança, análise de contratos com operadores, inspeção de atendimento aos direitos dos titulares e investigação de compartilhamento indevido.
Esse movimento representa amadurecimento institucional. A autoridade passa a estruturar enforcement baseado em risco, priorizando tratamentos de alto impacto — como inteligência artificial aplicada à saúde, reconhecimento biométrico e fluxos massivos de dados sensíveis.
A fiscalização tende a avaliar substância, não apenas forma. A ANPD deve concentrar esforços na efetividade das práticas. Não bastará possuir políticas internas; será necessário demonstrar governança real, rastreabilidade e coerência operacional.
O teste da maturidade regulatória
A Agenda 2025-2026 coloca à prova não apenas o setor regulado, mas a própria autoridade. A construção de normas técnicas em ambientes de rápida transformação tecnológica exige equilíbrio entre proteção de direitos fundamentais e segurança jurídica para inovação.
A consolidação de critérios objetivos para biometria, a definição clara de parâmetros para compartilhamento de dados de saúde e a execução coordenada das fiscalizações serão determinantes para evitar decisões casuísticas e assimetria regulatória.
O biênio que se inicia tende a ser decisivo para a consolidação da ANPD como regulador técnico e institucionalmente robusto. A LGPD entra, enfim, em sua fase mais concreta: aquela em que princípios serão testados na prática, sob a lente do enforcement e da construção de precedentes administrativos.
Márcia Ferreira é advogada e especialista em Direito Digital e Proteção de Dados do Di Blasi, Parente & Associados.
Os artigos e reportagens assinadas não refletem necessariamente a opinião da editora, sendo de responsabilidade exclusiva dos respectivos autores.