+55 11 91272-8412

ANPD vira agência reguladora: impacto na LGPD e descarte de TI

Congresso aprovou a MP 1.317/2025, que transforma a ANPD em agência reguladora e cria carreira própria. O recado ao mercado: fiscalização e governança sobem de nível.

7 Min
Marcio Villanova - ecobrazinforma.org
02/03/2026 01h03 - Atualizado há 6 dias

ANPD vira agência reguladora: impacto na LGPD e descarte de TI
Governança e prova na era regulatória
RESUMO Sem tempo? Leia o resumo gerado por nossa IA
Clique aqui para Ler o Resumo

Autor: Marcio Villanova

O Congresso aprovou a Medida Provisória nº 1.317/2025, que transforma a ANPD em agência reguladora, reforçando estrutura institucional e criando carreira própria de regulação e fiscalização. A aprovação foi comunicada em nota oficial da ANPD publicada em 24/02/2026. :contentReference[oaicite:4]{index=4}

Para empresas, o recado é direto: a proteção de dados tende a operar cada vez mais no padrão “regulatório”, com cobrança mais consistente por governança e, principalmente, por evidência. Isso bate em cheio em um ponto ainda subestimado: ativos físicos com dados (HDs, SSDs, notebooks, desktops, servidores e storages) no momento de desmobilização e destinação.

O que a MP muda na prática

A MP foi editada em 17/09/2025 e altera a LGPD para tratar da ANPD como agência, além de criar carreira específica de regulação e fiscalização de proteção de dados. :contentReference[oaicite:5]{index=5}

Por que isso impacta descarte de TI

A LGPD define “tratamento” de forma ampla, incluindo operações como armazenamento e eliminação. Se um ativo físico contém dados pessoais, a empresa precisa garantir e provar que houve eliminação adequada e que, durante o fluxo, não houve acesso indevido. :contentReference[oaicite:6]{index=6}

Onde as empresas falham

  • Inventário incompleto do que foi desmobilizado;
  • Cadeia de custódia frágil (lacunas entre coleta, transporte, descaracterização e destino);
  • Sanitização sem evidência auditável (ou sem vínculo ao lote/ativo);
  • Relatórios genéricos e não verificáveis.

Checklist mínimo (2026)

  1. Política formal de ciclo de vida de ativos e mídias;
  2. Inventário por lote e, quando aplicável, por ativo;
  3. Cadeia de custódia documentada do início ao fim;
  4. Eliminação/sanitização com evidência auditável (quando houver dado);
  5. Dossiê de conformidade pronto para auditoria e contratos enterprise.

Leituras relacionadas no Ecobraz Informa:

Contato: https://ecobraz.org/contato

Autor: Marcio Villanova

O Congresso aprovou a Medida Provisória nº 1.317/2025, que transforma a Autoridade Nacional de Proteção de Dados (ANPD) em agência reguladora, com estrutura institucional reforçada e criação de carreira própria de regulação e fiscalização. A própria ANPD comunicou a aprovação em nota oficial publicada em 24/02/2026, destacando o fortalecimento da capacidade regulatória e de fiscalização. (Fonte: gov.br/ANPD) :contentReference[oaicite:0]{index=0}

Para o mercado, isso não é “só mudança de status”. É um sinal objetivo: a proteção de dados tende a operar cada vez mais no padrão típico de agências reguladoras — com mais autonomia, estabilidade institucional e previsibilidade de agenda regulatória. O efeito colateral (e mais importante para empresas) é direto: a exigência por evidência e governança sobe. E isso bate com força em um ponto que muita empresa ainda trata como “detalhe operacional”: ativos físicos com dados — especialmente na destinação de TI (notebooks, desktops, servidores, storages, HDs/SSDs e mídias).

O que foi aprovado: MP 1.317/2025 e a elevação institucional da ANPD

A MP 1.317/2025 foi editada em 17/09/2025 e publicada no portal da Presidência, com alterações na LGPD para tratar da Agência Nacional de Proteção de Dados e criação de carreira específica de regulação e fiscalização de proteção de dados, entre outras providências. (Fonte: Planalto) :contentReference[oaicite:1]{index=1}

Do ponto de vista legislativo, o Congresso Nacional registra a tramitação e ementa da MPV, incluindo menção expressa à alteração da Lei nº 13.709/2018 (LGPD) para dispor sobre a ANPD como agência e a criação da carreira de regulação e fiscalização de proteção de dados. (Fonte: Congresso Nacional) :contentReference[oaicite:2]{index=2}

Na prática, a leitura corporativa é simples: proteção de dados tende a virar tema mais “regulatório” e menos “voluntário”. Se antes algumas empresas tratavam LGPD como “projeto”, a tendência é que vire mais “rotina de compliance” — com mecanismos formais de prova, controles e prestação de contas.

Por que isso atinge diretamente a destinação de TI (e não só o time de TI)

A LGPD define “tratamento” de dados pessoais de forma ampla, incluindo operações como coleta, acesso, armazenamento, transmissão e também eliminação. Ou seja: quando uma empresa descarta um ativo que contém (ou pode conter) dados pessoais, ela está lidando com um ponto sensível da governança: o ciclo de vida do dado precisa terminar com eliminação efetiva e demonstrável. (Base legal: Lei 13.709/2018) :contentReference[oaicite:3]{index=3}

É aqui que mora o erro padrão: muitas organizações têm política para “dados no sistema”, mas não têm política e prova para “dados no hardware”. E o hardware continua sendo um meio de armazenamento. O risco não é teórico: ele vira problema quando ocorre auditoria, due diligence, incidente, denúncia, investigação interna ou questionamento do cliente corporativo.

O novo padrão de cobrança: “não basta fazer, tem que provar”

Em ambientes regulados (bancos, fintechs, telecom, indústria, governo e fornecedores enterprise), o que sustenta conformidade não é discurso. É evidência. Com uma ANPD em configuração de agência reguladora, aumenta a probabilidade de:

  • agenda regulatória mais estruturada e cobrança mais consistente;
  • fiscalizações mais técnicas e orientadas por prova documental;
  • exigência de governança transversal (Jurídico, Compliance, Segurança da Informação, Sustentabilidade e Operações);
  • pressão contratual de grandes compradores e cadeias internacionais por trilhas auditáveis.

O impacto prático: se você destina ativos de TI com “declarações genéricas”, sem cadeia de custódia e sem comprovação de sanitização/eliminação quando aplicável, você está aceitando um risco que tende a ficar mais caro.

Onde as empresas estão vulneráveis: descarte e desmobilização de ativos

Os pontos mais frequentes de fragilidade em empresas brasileiras — inclusive grandes — são:

  1. inventário incompleto (não se sabe exatamente o que saiu, quando e para onde);
  2. cadeia de custódia frágil (lacunas entre coleta, transporte, armazenamento temporário, descaracterização e destinação final);
  3. sanitização inconsistente (processo existe, mas evidência não é auditável, ou não é vinculada ao lote/ativo);
  4. documentação “bonita” porém não verificável (relatórios sem lastro técnico, sem rastreabilidade por lote e sem trilha temporal);
  5. terceirização sem governança (o fornecedor “faz”, mas não prova; e no final o risco fica com o controlador).

Esse conjunto é o que transforma descarte em risco LGPD: a empresa pode até “achar” que eliminou o dado, mas não consegue demonstrar. E em compliance, “não demonstrável” costuma ser tratado como “não feito”.

Como conectar LGPD + PNRS sem confundir as coisas

Para ativos de TI, o risco é duplo:

  • PNRS / logística reversa / destinação: provar destinação ambientalmente adequada, rastreabilidade e conformidade regulatória do fluxo físico do resíduo;
  • LGPD aplicada a ativos físicos: provar que o dado foi eliminado de forma adequada (quando houver dado pessoal) e que houve cadeia de custódia suficiente para evitar acesso indevido durante o fluxo.

Essas duas frentes se cruzam no mesmo lote de ativos. E é por isso que “destinação de TI” não deveria ser vendida como serviço operacional simples, e sim como conformidade regulatória aplicada, com trilha de auditoria do início ao fim.

Checklist objetivo para Diretoria, Jurídico e Compliance (2026)

Se sua empresa quer reduzir risco real (não risco “de powerpoint”), a lista mínima para desmobilização/destinação de TI é:

  1. Política formal de ciclo de vida de ativos de TI e mídias, com regras de descarte e critérios de evidência.
  2. Inventário por lote e, quando aplicável, identificação por ativo (tag, serial, identificação interna).
  3. Cadeia de custódia documentada: coleta, transporte, armazenamento, descaracterização e destinação final, com trilha temporal.
  4. Sanitização/eliminação com evidência (quando houver dado), vinculada ao lote/ativo e auditável.
  5. Relatórios verificáveis (não só “declarações”), com rastreabilidade e coerência entre volume, rota e destino.
  6. Dossiê de conformidade pronto para auditoria, cliente e due diligence.

Com a ANPD em configuração de agência reguladora, essa disciplina tende a deixar de ser diferencial e virar “padrão esperado” para empresas sérias, especialmente em contratos enterprise e cadeias mais reguladas.

Leituras relacionadas (Ecobraz Informa)

Conclusão

A aprovação da MP 1.317/2025 e a transformação da ANPD em agência reguladora é um marco institucional. A consequência para empresas é pragmática: o custo de não ter governança e prova tende a subir. E, no tema de ativos de TI, a empresa que não controla cadeia de custódia e não consegue provar eliminação adequada de dados está mantendo um risco oculto que aparece no pior momento: auditoria, crise ou contrato grande.

Contato: https://ecobraz.org/contato


FONTE: https://www.gov.br/anpd/pt-br/assuntos/noticias/congresso-aprova-mp-que-transforma-a-anpd-em-agencia-reguladora-e-fortalece-a-protecao-de-criancas-e-adolescentes-no-ambiente-digital
Tags »
ANPD MP 1.317/2025 agência reguladora LGPD cadeia de custódia
Notícias Relacionadas »