LGPD Comentada #27: O Conselho Nacional de Proteção de Dados e da Privacidade
A LGPD não confiou a proteção de dados a um único órgão. Além da ANPD — autoridade com poder fiscalizatório e sancionatório —, a lei criou o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), um órgão consultivo de composição plural. Seu papel é diferente do da ANPD: não fiscaliza, não sanciona, não decide. Propõe, sugere, estuda e — sobretudo — garante que a proteção de dados no Brasil seja construída com participação da sociedade civil, da academia, do setor empresarial e do poder público.
Os Arts. 58-A e 58-B definem a composição e as competências desse conselho. São dispositivos curtos, mas com implicações importantes para a governança democrática da proteção de dados.
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
Nota legislativa: de onde vieram os Arts. 58-A e 58-B
Assim como os artigos que criam a ANPD (55-A a 55-L), os Arts. 58-A e 58-B não constavam da redação original da LGPD. Os Arts. 55 a 59 originais foram vetados na sanção da Lei 13.709/2018. A recriação veio com a Medida Provisória nº 869/2018, convertida na Lei nº 13.853, de 8 de julho de 2019, que introduziu os artigos sobre a ANPD (55-A a 55-L) e sobre o Conselho (58-A e 58-B).
Os arts. 56 e 57 — que tratavam de outros aspectos institucionais na redação original — não foram recriados. Os arts. 58 e 59, também vetados, foram substituídos pelos atuais 58-A e 58-B. A numeração incomum (com letras) reflete essa história legislativa.
Art. 58-A — Composição do CNPD
"O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 (vinte e três) representantes, titulares e suplentes"
A composição do CNPD é deliberadamente diversificada, reunindo representantes de seis segmentos da sociedade:
Os 23 representantes
| Segmento | Representantes | Origem |
|---|---|---|
| Poder Executivo | 6 | Ministérios e órgãos federais |
| Senado Federal | 1 | Indicação do presidente do Senado |
| Câmara dos Deputados | 1 | Indicação do presidente da Câmara |
| Conselho Nacional de Justiça (CNJ) | 1 | Indicação do presidente do CNJ |
| Conselho Nacional do Ministério Público (CNMP) | 1 | Indicação do presidente do CNMP |
| Comitê Gestor da Internet (CGI.br) | 1 | Indicação do CGI.br |
| Entidades representativas do setor empresarial | 3 | Processo de seleção |
| Entidades da sociedade civil com atuação comprovada | 3 | Processo de seleção |
| Instituições científicas, tecnológicas e de inovação | 3 | Processo de seleção |
| Confederações sindicais | 1 | Representação trabalhista |
| Entidades representativas do setor de saúde | 1 | Setor regulado |
| Entidades representativas do setor laboral | 1 | Representação trabalhista |
Total: 23 titulares (cada um com suplente)
Presidência
O CNPD é presidido pelo representante do Ministério da Justiça e Segurança Pública. Essa escolha é significativa: vincula a proteção de dados ao ecossistema de direitos e garantias fundamentais, não ao de regulação econômica ou tecnológica.
Designação e mandato
Os 23 membros são designados por decreto do presidente da República para mandatos de dois anos, permitida uma recondução. A forma de indicação varia: os representantes governamentais são indicados pelos respectivos órgãos; os da sociedade civil, academia e setor empresarial passam por processo de seleção.
A lógica da composição
A distribuição reflete a intenção de que a proteção de dados não seja pautada exclusivamente por juristas ou tecnólogos. A presença de representantes do setor empresarial garante que o impacto econômico da regulação seja considerado. A sociedade civil traz a perspectiva dos direitos dos titulares. A academia contribui com rigor técnico e pesquisa. O setor de saúde — um dos que mais tratam dados sensíveis — tem assento próprio. E as confederações sindicais representam os trabalhadores, cujos dados são massivamente tratados nas relações laborais.
Na prática: A composição funciona como um sistema de pesos e contrapesos consultivo. Nenhum segmento tem maioria sozinho. As recomendações do CNPD, por serem construídas de forma plural, tendem a ser mais equilibradas e mais difíceis de contestar por parcialidade.
Art. 58-B — Competências do CNPD
"Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade"
O Art. 58-B lista cinco competências:
I — Propor diretrizes estratégicas
"Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade"
Esta é a competência mais relevante. O CNPD não elabora a Política Nacional diretamente, mas fornece os subsídios técnicos que a embasam. Em agosto de 2025, o CNPD realizou a entrega formal desses subsídios à ANPD — mais de 800 páginas de conteúdo técnico qualificado, com propostas estruturadas em princípios, diretrizes, objetivos e instrumentos. Os materiais foram elaborados por grupos de trabalho temáticos ao longo do mandato 2024-2025.
Esse trabalho representa o primeiro exercício concreto de construção participativa de política pública de proteção de dados no Brasil, envolvendo representantes de todos os segmentos da composição do CNPD.
II — Elaborar relatórios anuais de avaliação
"Elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade"
O CNPD publicou seu Relatório de Atividades 2024-2025 em agosto de 2025, cobrindo o período desde a retomada dos trabalhos com a nova composição nomeada em junho de 2024.
O relatório serve como instrumento de accountability pública — documenta o que o conselho fez, quais temas abordou e quais recomendações emitiu. É o mecanismo pelo qual a sociedade pode avaliar se o CNPD está cumprindo seu papel.
III — Sugerir ações a serem realizadas pela ANPD
"Sugerir ações a serem realizadas pela ANPD"
O CNPD pode recomendar à ANPD que investigue determinados setores, regule temas específicos ou priorize certos tipos de fiscalização. A ANPD não é obrigada a acatar, mas a recomendação de um órgão com a legitimidade do CNPD carrega peso político e institucional.
Na prática: O CNPD encaminhou sugestões para a Agenda Regulatória da ANPD para o biênio 2025-2026, priorizando seis temas:
- Proteção de dados de crianças e adolescentes, com atenção ao "sharenting" e aos "kids influencers"
- Regulamentação de dados sensíveis de saúde, vida sexual, genéticos e biométricos
- Definição do conceito de "alto risco" na LGPD
- Tratamento de dados pessoais para fins de segurança pública por entidades privadas
- Estabelecimento de critérios para boas práticas e governança de dados
- Uso de dados abertos em projetos de grande impacto ambiental
Esses temas revelam as preocupações prioritárias da sociedade brasileira em relação à proteção de dados — e orientam a agenda da ANPD para além de questões puramente técnicas.
IV — Realizar estudos e debates
"Realizar estudos e audiências públicas e debates e promover o conhecimento sobre a proteção de dados pessoais e da privacidade à população"
Esta competência posiciona o CNPD como um espaço de deliberação pública sobre temas de proteção de dados. As audiências públicas promovidas pelo conselho permitem que cidadãos, empresas e organizações se manifestem sobre temas regulatórios antes que se tornem norma.
V — Disseminar conhecimento
"Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população"
Complementa a competência IV com um mandato de educação e conscientização. A proteção de dados não funciona se a população desconhece seus direitos. O CNPD, por sua composição plural, é o órgão mais adequado para traduzir a LGPD em linguagem acessível ao público leigo.
Consultivo vs. deliberativo: o que o CNPD pode e não pode fazer
A distinção é fundamental. O CNPD é um órgão consultivo — não deliberativo. Isso significa:
| O CNPD pode | O CNPD não pode |
|---|---|
| Propor diretrizes estratégicas | Aprovar regulamentações vinculantes |
| Sugerir ações à ANPD | Determinar que a ANPD faça algo |
| Elaborar relatórios de avaliação | Aplicar sanções |
| Promover estudos e audiências públicas | Decidir sobre processos administrativos |
| Disseminar conhecimento | Fiscalizar diretamente agentes de tratamento |
Essa limitação é intencional. O modelo brasileiro separou claramente a função consultiva e de participação social (CNPD) da função executiva e sancionatória (ANPD). O risco de misturá-las seria comprometer a eficiência da autoridade reguladora ou, inversamente, capturar o conselho consultivo por interesses setoriais.
Comparação com o EDPB europeu
O European Data Protection Board (EDPB) — frequentemente citado como paralelo do CNPD — é, na verdade, um órgão muito diferente:
| Aspecto | CNPD (Brasil) | EDPB (Europa) |
|---|---|---|
| Natureza | Consultivo | Decisório |
| Composição | 23 membros multissetoriais | Chefes das DPAs dos 27 Estados-membros |
| Poder | Propõe e sugere | Emite decisões vinculantes e diretrizes |
| Vínculo | Vinculado à ANPD | Órgão independente da UE |
O EDPB tem poder de emitir pareceres e decisões vinculantes em casos de conflito entre autoridades nacionais. O CNPD, por sua vez, limita-se ao papel consultivo. A aproximação mais precisa seria com os advisory councils que algumas autoridades europeias mantêm (como o Advisory Board do CNIL francês), que também têm composição plural e função consultiva.
A trajetória prática do CNPD
Hiato e retomada (2020-2024)
A primeira composição do CNPD foi nomeada em 2020, mas o conselho enfrentou dificuldades operacionais — incluindo a pandemia de COVID-19 e a própria fase de estruturação da ANPD. Após um período de hiato nas atividades, o conselho foi recomposto em junho de 2024, com 42 novos membros designados (entre titulares e suplentes) e 6 reconduzidos.
Trabalho dos grupos temáticos (2024-2025)
Com a nova composição, o CNPD organizou seus trabalhos em grupos temáticos, cada um responsável por um eixo da política de proteção de dados. Os grupos produziram análises, recomendações e subsídios que foram consolidados no material entregue à ANPD em junho de 2025.
Marco: entrega dos subsídios para a Política Nacional
Em 17 de junho de 2025, os subsídios elaborados pelos grupos de trabalho foram entregues à ANPD em cerimônia realizada no Ministério da Justiça e Segurança Pública. O material soma mais de 800 páginas de conteúdo técnico qualificado, com propostas estruturadas em princípios, diretrizes, objetivos e instrumentos — seguindo o padrão de outras políticas públicas nacionais.
Este momento representou o cumprimento concreto da competência principal do CNPD (Art. 58-B, I): fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade.
Relevância para DPOs e programas de conformidade
O CNPD pode parecer distante do dia a dia de um DPO ou de um programa de conformidade corporativo. Mas sua atuação afeta diretamente o ambiente regulatório:
-
Prioridades de regulamentação: As sugestões do CNPD influenciam a agenda da ANPD. Se o conselho prioriza dados de saúde, por exemplo, a ANPD tende a intensificar regulamentação e fiscalização nesse setor.
-
Interpretação de conceitos abertos: Termos como "alto risco", "boas práticas" e "medidas de segurança adequadas" são conceitos que o CNPD ajuda a definir via subsídios técnicos.
-
Legitimidade social: Um programa de conformidade que se alinha às diretrizes propostas pelo CNPD demonstra aderência não apenas à lei, mas ao consenso social sobre o que constitui proteção de dados adequada — fator relevante na dosimetria de sanções (Art. 52, §1º, IX).
-
Antecipação de tendências: Os temas priorizados pelo CNPD sinalizam áreas onde a regulamentação e a fiscalização tendem a se intensificar. Organizações atentas podem se antecipar.
Conclusão
O CNPD é o mecanismo que a LGPD escolheu para democratizar a construção da política de proteção de dados. Sua composição plural, com 23 representantes de seis segmentos, garante que vozes diversas sejam ouvidas — do setor empresarial à sociedade civil, da academia ao movimento sindical. Suas competências são deliberadamente consultivas, não executivas: o CNPD propõe, a ANPD decide.
A entrega dos subsídios para a Política Nacional de Proteção de Dados, em junho de 2025, foi o primeiro grande produto concreto do conselho. Se esses subsídios se traduzirem em política pública efetiva, o CNPD terá cumprido o papel para o qual foi criado: garantir que a proteção de dados no Brasil seja construída com — e não apenas para — a sociedade.
A Confidata monitora as diretrizes e recomendações do CNPD e da ANPD para manter sua plataforma de conformidade alinhada às prioridades regulatórias brasileiras. Quando novos temas entram na agenda — como dados de saúde, IA ou proteção de crianças —, atualizamos os requisitos automaticamente. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.