ANPD: Competências, Estrutura e Poderes de Fiscalização

Uma lei de proteção de dados sem uma autoridade que a fiscalize é uma lei sem dentes. O legislador brasileiro reconheceu isso ao criar a Autoridade Nacional de Proteção de Dados — mas o caminho até uma ANPD funcional, autônoma e com capacidade operacional foi longo e acidentado. Os artigos que criam e regulamentam a autoridade (Arts. 55-A a 55-L) passaram por revisões profundas, vetos presidenciais, recriação por medida provisória e, finalmente, transformação de natureza jurídica por lei complementar.

Este post analisa cada dispositivo que estrutura a ANPD, examina a evolução institucional da autoridade e compara o modelo brasileiro com autoridades de proteção de dados internacionais.

Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.

A evolução legislativa: por que os Arts. 55-A a 55-L existem

A LGPD original (Lei 13.709, de 14 de agosto de 2018) previa a criação da ANPD nos seus Arts. 55 a 59. Esses artigos foram integralmente vetados pelo presidente da República na sanção da lei, sob o argumento de vício de iniciativa — a criação de um órgão da administração federal deveria partir do Poder Executivo, não do Legislativo.

Quatro meses depois, em dezembro de 2018, a Medida Provisória nº 869/2018 recriou a ANPD com nova redação, agora como órgão da Presidência da República. Essa MP foi convertida na Lei nº 13.853, de 8 de julho de 2019, que introduziu os atuais Arts. 55-A a 55-L na LGPD.

A natureza jurídica inicial da ANPD — órgão da administração direta vinculado à Presidência — levantou preocupações sobre sua independência. A própria lei, porém, já previa a transição: o Art. 55-B determinava que a natureza jurídica era transitória e poderia ser transformada em autarquia pelo Poder Executivo.

Essa transformação ocorreu em duas etapas:

Decreto nº 10.474, de 26 de agosto de 2020 — Aprovou a estrutura regimental da ANPD e o quadro de cargos
Lei nº 14.460, de 25 de outubro de 2022 — Transformou a ANPD em autarquia de natureza especial, com autonomia técnica, decisória, administrativa e financeira

Art. 55-A — A criação da ANPD

"Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados — ANPD, órgão da administração pública federal, integrante da Presidência da República"

A redação do Art. 55-A reflete o momento da criação — quando a ANPD era um órgão vinculado à Presidência, não uma autarquia independente. Com a Lei 14.460/2022, a ANPD passou a ser autarquia de natureza especial, mantidas a estrutura organizacional e as competências originais.

O que significa "natureza especial": Uma autarquia de natureza especial possui autonomia técnica e decisória reforçada. Na prática, isso implica que seus dirigentes têm mandato fixo (não podem ser exonerados livremente), suas decisões técnicas não estão sujeitas a recurso hierárquico para ministérios e sua gestão financeira tem maior autonomia. A ANPD se junta a outras autarquias especiais brasileiras, como as agências reguladoras (ANATEL, ANVISA, ANP).

Art. 55-B — Natureza transitória e transformação

"É assegurada autonomia técnica e decisória à ANPD"

O Art. 55-B, em sua redação original, determinava que a natureza jurídica de órgão da Presidência era transitória e que, em até dois anos da data de entrada em vigor da estrutura regimental da ANPD, deveria ser avaliada sua transformação em entidade da administração pública federal indireta, sob regime autárquico especial.

A transformação ocorreu com a Lei 14.460/2022, dentro do prazo previsto. A autonomia técnica e decisória, que o Art. 55-B já garantia desde a origem, foi reforçada pelo status de autarquia.

Na prática: Antes da transformação, havia preocupação legítima sobre se a ANPD teria independência real para fiscalizar o próprio governo federal — afinal, era um órgão vinculado à Presidência. Como autarquia especial, a independência institucional é juridicamente mais robusta, embora desafios práticos permaneçam, especialmente quanto a orçamento e quadro de pessoal.

Arts. 55-D a 55-F — O Conselho Diretor

Composição (Art. 55-D)

"O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente"

Os diretores são nomeados pelo presidente da República, após aprovação pelo Senado Federal. Os mandatos são de 4 anos, permitida uma recondução. A lei exige que os indicados tenham "reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados".

Mandatos escalonados: Na primeira composição, os mandatos foram diferenciados (de 2 a 6 anos) para evitar que todos os diretores fossem substituídos simultaneamente. Esse mecanismo de escalonamento é prática comum em agências reguladoras e visa garantir continuidade institucional.

Vedações (Art. 55-E)

O Art. 55-E estabelece vedações para os membros do Conselho Diretor, similares às de outras agências reguladoras: proibição de exercer outra atividade profissional, participação em empresas do setor regulado e manifestação política partidária.

Afastamento e perda de mandato (Art. 55-F)

O mandato dos diretores só pode ser perdido em caso de renúncia, condenação judicial transitada em julgado ou processo administrativo disciplinar. Essa proteção é essencial para a independência: sem ela, diretores poderiam ser pressionados a não fiscalizar determinados agentes sob ameaça de exoneração.

Art. 55-J — As competências da ANPD

O Art. 55-J é o dispositivo mais extenso do bloco sobre a ANPD. Ele lista 24 competências que abrangem as três dimensões de atuação da autoridade: regulamentação, fiscalização e educação.

"Compete à ANPD: I – zelar pela proteção dos dados pessoais, nos termos da legislação"

As principais competências, agrupadas por função

Regulamentação:

Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade (inciso III)
Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade (inciso XIII)
Deliberar, na esfera administrativa, sobre a interpretação da LGPD, suas competências e sobre casos omissos (inciso XIV)
Editar normas, orientações e procedimentos simplificados para microempresas e empresas de pequeno porte (inciso XVIII)

Fiscalização e sanção:

Fiscalizar e aplicar sanções em caso de tratamento de dados em descumprimento à legislação (inciso IV)
Requisitar, a qualquer momento, informações, relatórios e outras providências de agentes de tratamento (inciso V)
Apreciar petições de titular contra controlador (inciso VI)

Cooperação e articulação:

Promover ações de cooperação com autoridades de proteção de dados de outros países (inciso IX)
Articular-se com autoridades reguladoras públicas para exercer suas competências em setores de atividades econômicas sujeitos a regulação (inciso XXIII)

Educação e transparência:

Realizar auditorias, ou determinar sua realização, sobre o tratamento de dados pessoais (inciso XVI)
Promover o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e segurança (inciso VII)
Disponibilizar no sítio eletrônico a relação de atividades de tratamento registradas (inciso XIX)

Ponto relevante — §1º: O Art. 55-J, §1º, determina que a ANPD deve observar o princípio da subsidiariedade ao tratar de regulamentos e normas: se um setor já possui autoridade reguladora específica (como o Banco Central para o setor financeiro ou a ANS para saúde suplementar), a ANPD deve articular-se com essa autoridade, não atuar de forma unilateral.

Na prática: Essa articulação é crítica. A Resolução nº 4 do CMN (Banco Central), por exemplo, já trata de segurança da informação no setor financeiro. A ANPD precisa harmonizar suas exigências com as normas setoriais existentes, evitando duplicidade ou contradição regulatória.

Arts. 55-G a 55-L — Estrutura administrativa

Os artigos finais do bloco sobre a ANPD tratam de questões administrativas e operacionais:

Art. 55-G — Atos do Conselho Diretor, definição de quórum e deliberações.

Art. 55-H — Patrimônio da ANPD: bens e direitos transferidos pelo governo federal, doações e recursos de cooperação internacional.

Art. 55-I — Receitas da ANPD: dotações orçamentárias, arrecadação de multas (que constituem receita própria), emolumentos e valores de serviços de qualquer natureza.

Art. 55-K — Quadro de pessoal: a ANPD conta com servidores ocupantes de cargos efetivos, de confiança e funções gratificadas.

Art. 55-L — Regimento interno: o Conselho Diretor aprovará o regimento interno da ANPD.

A questão orçamentária

O orçamento da ANPD é uma das discussões mais relevantes para a efetividade da proteção de dados no Brasil. Com dotação orçamentária estimada na casa de R$ 24 milhões, a ANPD opera com recursos modestos em comparação com autoridades europeias. Para referência, a CNIL francesa (autoridade de proteção de dados da França) opera com orçamento superior a €20 milhões anuais e conta com mais de 250 funcionários — para uma população de 68 milhões de habitantes. A ANPD, com orçamento significativamente menor, atende a um país de 214 milhões.

O Art. 55-I prevê que os valores das multas aplicadas pela ANPD constituem receita própria da autarquia. Com a intensificação da atividade sancionatória, essa receita tende a crescer — mas a dependência de dotações orçamentárias do governo federal permanece como limitação estrutural.

A ANPD na prática: agenda regulatória e fiscalização

Regulamentações publicadas

Desde sua instalação efetiva em novembro de 2020, a ANPD publicou regulamentações sobre os principais temas previstos na LGPD:

Resolução CD/ANPD nº 2/2022 — Agentes de tratamento de pequeno porte
Resolução CD/ANPD nº 4/2023 — Dosimetria e aplicação de sanções
Resolução CD/ANPD nº 15/2024 — Comunicação de incidentes de segurança
Resolução CD/ANPD nº 19/2024 — Transferência internacional de dados

Cada regulamentação seguiu o rito previsto na própria LGPD: tomada de subsídios, análise de impacto regulatório e consulta pública — processo que é deliberadamente transparente, mas que inevitavelmente retarda o ritmo de produção normativa.

Agenda Regulatória 2025-2026

A Agenda Regulatória da ANPD para o biênio 2025-2026 prevê 16 temas prioritários, incluindo direitos dos titulares, inteligência artificial, agregadores de dados pessoais e tratamento de dados de crianças e adolescentes. O Mapa de Temas Prioritários para fiscalização no biênio 2026-2027 inclui quatro eixos: direitos dos titulares, proteção de crianças e adolescentes, tratamento pelo poder público e inteligência artificial.

Decisão de adequação Brasil-UE

Um marco da atuação internacional da ANPD foi a formalização da decisão de adequação mútua em proteção de dados entre Brasil e União Europeia, por meio da Resolução CD/ANPD nº 32/2026. Com essa decisão, transferências de dados pessoais entre Brasil e UE/EEE deixam, em regra, de exigir instrumentos adicionais como cláusulas contratuais padrão — simplificando significativamente operações internacionais.

Comparação com autoridades internacionais

Aspecto	ANPD (Brasil)	CNIL (França)	ICO (Reino Unido)	AEPD (Espanha)
Natureza	Autarquia especial	Autoridade administrativa independente	Autoridade reguladora independente	Autoridade administrativa independente
Dirigentes	5 diretores (mandato 4 anos)	18 membros (mandato 5 anos)	Comissário de Informação	Diretora (mandato 5 anos)
Independência do Executivo	Sim (desde 2022)	Sim	Sim	Sim
Poder sancionatório	Multa até R$ 50M / 2% faturamento Brasil	Multa até 4% faturamento global / €20M	Multa até 4% faturamento global / £17,5M	Multa até 4% faturamento global / €20M

A diferença mais evidente é de escala. As autoridades europeias acumulam décadas de experiência — a CNIL existe desde 1978. A ANPD, instalada em novembro de 2020, é jovem e está construindo sua capacidade institucional progressivamente. O desafio não é apenas orçamentário: é de formação de quadro técnico, desenvolvimento de jurisprudência administrativa e consolidação de credibilidade perante o mercado.

Controvérsias e desafios

Independência real vs. formal

A transformação em autarquia especial (Lei 14.460/2022) formalizou a independência, mas desafios práticos permanecem. A dependência orçamentária do governo federal, o quadro de pessoal ainda reduzido e a necessidade de articulação política para nomeações ao Conselho Diretor são fatores que limitam, na prática, a autonomia plena da autoridade.

Fiscalização do poder público

Um dos testes mais difíceis para qualquer autoridade de proteção de dados é fiscalizar o próprio governo. A ANPD tem demonstrado disposição para fazê-lo — os casos contra SEEDF, INSS e IAMSPE são exemplos —, mas a escala de violações no setor público brasileiro (conforme auditoria do TCU) supera amplamente a capacidade de fiscalização atual.

Equilíbrio entre regulamentação e fiscalização

A ANPD enfrenta uma tensão permanente: enquanto regula (produzindo normas complementares à LGPD), deixa de fiscalizar; enquanto fiscaliza, atrasa a regulamentação. Com recursos limitados, priorizar é inevitável. A estratégia até aqui tem sido regulamentar primeiro e fiscalizar depois — o que faz sentido do ponto de vista de segurança jurídica, mas gera a percepção de que a lei "não tem consequências".

Conclusão

Os Arts. 55-A a 55-L da LGPD desenham uma autoridade com competências amplas — regulamentação, fiscalização, sanção, educação e cooperação internacional. A evolução de órgão vinculado à Presidência para autarquia especial foi um passo institucional relevante, que aproximou o modelo brasileiro do padrão internacional de independência de autoridades de proteção de dados.

O desafio agora é operacional: transformar competências legais em capacidade real de atuação. Isso exige orçamento, pessoal qualificado, jurisprudência administrativa consistente e, principalmente, vontade institucional de exercer plenamente o papel que a lei lhe atribui.

A Confidata acompanha cada regulamentação publicada pela ANPD e atualiza automaticamente os requisitos de conformidade na plataforma, garantindo que organizações estejam sempre alinhadas com as normas mais recentes da autoridade. Conheça nossa plataforma.