O ano de 2025 consolidou definitivamente a proteção de dados como um dos pilares do debate público brasileiro. Se antes o tema parecia restrito a especialistas, advogados, técnicos de segurança e reguladores, agora ele se tornou parte estrutural das discussões sobre cidadania digital, segurança pública, responsabilidade corporativa, tecnologia e até mesmo cultura e esporte.

O país experimentou, em poucos meses, uma convergência de acontecimentos que remodelaram o entendimento coletivo sobre privacidade, revelando fragilidades, oportunidades, riscos e a urgência de uma governança digital mais madura.

O marco simbólico desse movimento foi a transformação da então Autoridade Nacional de Proteção de Dados em Agência Reguladora de natureza especial. A mudança representou muito mais do que uma evolução administrativa. O país passou a contar com uma instituição dotada de autonomia decisória, capacidade fiscalizatória ampliada, corpo técnico próprio e prerrogativas semelhantes às de outras agências que regulam setores essenciais.

O fortalecimento institucional foi acompanhado da criação de novos cargos especializados, ampliando a capacidade da agência de conduzir auditorias, análises de impacto, inspeções e processos sancionatórios mais densos e tecnicamente embasados. No mesmo período, a aprovação do Estatuto Digital da Criança e do Adolescente ampliou o alcance regulatório ao estabelecer um novo pacto de proteção infantil na internet. A legislação reforçou princípios que já estavam presentes na LGPD, como o melhor interesse da criança, e impôs aos agentes econômicos uma responsabilidade mais rigorosa para garantir ambientes digitais seguros e transparentes.

Essa reestruturação ocorreu em um cenário de exposição crescente a vulnerabilidades. A ANPD lançou painéis públicos de incidentes de segurança que, pela primeira vez, possibilitaram ao país visualizar com clareza a dimensão real do problema.

Os dados evidenciaram uma frequência alarmante de incidentes notificados por empresas e órgãos públicos de diferentes setores, especialmente financeiro, educacional, varejista e de saúde. Ao mesmo tempo, um megavazamento global de credenciais conhecido como mother of all breaches despertou atenção mundial ao envolver bilhões de registros e demonstrar o efeito destrutivo do acesso irregular a sistemas digitais. O episódio acendeu alertas sobre a fragilidade estrutural das autenticações baseadas apenas em senha, estimulando debates sobre multifatores, biometria, tokens e políticas mais sofisticadas de identidade digital.

O país também enfrentou, já sob a vigência das novas regras de notificação obrigatória, o desafio de estruturar respostas rápidas a incidentes. As organizações responsáveis pelo tratamento de dados passaram a ter apenas três dias úteis para comunicar ocorrências relevantes à ANPD e aos titulares, um dos prazos mais rigorosos do mundo. Essa exigência pressionou empresas a revisar seus fluxos internos, aprimorar governança, formalizar planos de resposta, criar comitês multidisciplinares e investir em treinamentos. A maturidade em segurança deixou de ser atributo desejável para se tornar condição de sobrevivência institucional.

Mas talvez o debate mais simbólico do ano tenha surgido fora do ambiente digital. O avanço da biometria facial nos estádios de futebol mobilizou diferentes segmentos da sociedade. Em um país que respira esporte e cujos estádios são espaços tradicionalmente ocupados por famílias, a adoção crescente de sistemas de reconhecimento facial trouxe à tona dúvidas profundas sobre proporcionalidade, legalidade, obrigatoriedade e consentimento. Clubes e operadores de arenas justificaram a medida como mecanismo de segurança, prevenção de violência e combate ao cambismo, e argumentaram que a captura biométrica permitiria maior controle de acesso e monitoramento. No entanto, a prática rapidamente expôs dilemas jurídicos e éticos de grande magnitude.

A biometria é considerada dado sensível pela LGPD, exigindo bases legais específicas e medidas reforçadas de segurança. É também um dado permanente, o que significa que, em caso de vazamento, não pode ser substituído como se substitui uma senha. Quando envolve crianças e adolescentes, a coleta se torna ainda mais delicada, pois deve respeitar o melhor interesse do menor e evitar qualquer forma de coerção.

Mas foi justamente nesse ponto que surgiram as principais críticas. Em diferentes estádios, famílias relataram que o cadastro facial parecia obrigatório para ingresso, mesmo quando se tratava de menores. A voluntariedade do consentimento, princípio essencial na LGPD, passou a ser questionada diante de situações em que a coleta de biometria se apresentava como condição para exercer um direito básico: acessar um evento esportivo.

A possibilidade de alternativas menos intrusivas também ganhou destaque, já que tecnologias como QR codes dinâmicos, validação por token, catracas híbridas e check-ins em múltiplas etapas poderiam alcançar objetivos semelhantes com riscos menores.

O tema ganhou relevância econômica e política. Especialistas passaram a defender que clubes e operadores de arenas deveriam elaborar Relatórios de Impacto à Proteção de Dados antes de implementar tecnologias biométricas, justificando sua necessidade, demonstrando medidas de mitigação e avaliando riscos a curto e longo prazo. A ANPD, em sua Agenda Regulatória, já havia indicado que biometria, dados sensíveis e tratamento de alto risco seriam prioridades, e o setor esportivo rapidamente se transformou em um dos contextos mais visíveis desse debate.

É provável que, a partir de 2026, o país assista a uma regulamentação mais direcionada, possivelmente com guias específicos, fiscalizações temáticas e exigências formais de governança para clubes, federações e administradoras de estádios.

Ao observar o conjunto desses movimentos, torna-se evidente que 2025 foi um ano de reconfiguração profunda da relação entre tecnologia, segurança, privacidade e poder público. A maturidade institucional da ANPD, a consolidação de políticas voltadas à proteção infantil, a transparência inédita sobre incidentes de segurança, o rigor regulatório nos prazos de notificação e o debate sobre biometria em ambientes esportivos revelam que o país entrou definitivamente na era da responsabilidade digital. Governança deixou de ser uma opção. Práticas tecnológicas passaram a exigir justificativas sólidas e alinhamento normativo. E a sociedade, mais informada e mais crítica, passou a cobrar proporcionalidade e respeito aos direitos fundamentais.

Se 2023 foi o ano da conscientização e 2024 o ano da adaptação, 2025 se tornou o ano da consolidação. A proteção de dados assumiu seu papel como componente essencial da vida pública e privada, influenciando políticas, regulamentos, decisões empresariais e comportamentos sociais. O país termina o ano diante de um novo horizonte, em que privacidade e segurança caminham juntas não apenas como valores jurídicos, mas como condições indispensáveis para a construção de confiança e para a própria experiência contemporânea de cidadania.