Os sete anos da Lei Geral de Proteção de Dados no Brasil
sexta-feira, 5 de setembro de 2025
Atualizado às 07:38
Após sete anos da aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD) ? disciplina normativa que faltava, consoante reivindicava a doutrina1 ? o Brasil vivencia uma profunda e constante transformação em sua cultura de privacidade e proteção de dados.2 Sejam quais forem as limitações dessa lei, não se pode deixar de reconhecer que ela não apenas estabeleceu robusto marco regulatório, mas também impulsionou uma estrutural mudança na forma como empresas, órgãos públicos3 e cidadãos lidam com informações pessoais.4
Desde a implementação da LGPD, em setembro de 2020, diversas alterações ocorreram no cenário jurídico5 e corporativo, visando fortalecer a privacidade e a segurança dos dados pessoais6. Os anos que se seguiram, após o advento da lei, foram decisivos para a construção inicial da cultura da proteção de dados no País, assim como para o aprimoramento das ferramentas e medidas estabelecidas pela Autoridade Nacional de Proteção de Dados (ANPD), que assume papel central na fiscalização e orientação da matéria.
A ANPD, criada para fiscalizar e garantir o cumprimento da LGPD, tem desempenhado papel fundamental na sua aplicação. Nos últimos anos, tem estabelecido diretrizes, emitido orientações e aplicado multas (apenas quando necessário), fortalecendo a cultura de proteção de dados no país.7 No sentido orientativo, também cabe destacar o relevante papel do Conselho Nacional de Proteção de Dados e da Privacidade (CNPD), que vem contribuindo para a disseminação de conhecimento a respeito da matéria e para a implantação das políticas públicas.8
A vigência da LPGD tem sido essencial para consolidar práticas de proteção de dados e oferecer maior segurança jurídica às organizações. Nesse sentido, organizações públicas e privadas passaram a adotar práticas de governança de dados alinhadas às exigências da LGPD, demonstrando compromisso crescente com a proteção dos direitos dos titulares. Entre as principais medidas, destacam-se: i) a implementação de estruturas robustas de governança de dados, ii) o mapeamento de dados pessoais, que envolve a identificação precisa das informações tratadas, suas finalidades e ciclos de vida, iii) a realização de Avaliações de Impacto à Proteção de Dados para atividades que apresentem riscos elevados aos titulares, iv) a adoção de salvaguardas para assegurar a proteção dos titulares em operações de transferência internacional de dados pessoais9, e v) a designação de um Encarregado de Proteção de Dados (DPO), responsável por intermediar a comunicação entre titulares, organizações e a ANPD.
Tais práticas, hoje consolidadas, reforçam a transparência e fortalecem a confiança dos consumidores e da sociedade. Contudo, ainda que tais medidas representem avanços significativos, a plena efetividade da legislação ainda enfrenta obstáculos, como a crescente digitalização de serviços e o avanço de tecnologias de ponta, tais como Inteligência Artificial, Internet das Coisas e Big Data, que ampliam a complexidade da proteção de dados, impondo às organizações o desafio contínuo de preservar a segurança em ambientes dinâmicos.10
Nesse cenário, torna-se indispensável que a ANPD mantenha a constante atualização de suas orientações, equilibrando a proteção de dados pessoais com a promoção da inovação tecnológica. Atualmente, a Autoridade está trabalhando na sua Agenda Regulatória para o biênio 2025-2026.11 Ao todo, o documento prevê 16 ações prioritárias para o aperfeiçoamento da aplicação da LGPD, estando entre elas:
- Inteligência Artificial (IA): análise e regulamentação do uso de IA no tratamento de dados pessoais, com foco em transparência, segurança e responsabilização.
- Dados Pessoais Sensíveis e Biométricos: diretrizes específicas para o tratamento de informações sensíveis, incluindo dados biométricos e garantindo maior proteção aos titulares.
- Tratamento de Dados Pessoais de Alto Risco: normas e parâmetros para atividades que envolvem risco elevado à privacidade, como avaliação de impacto e medidas de mitigação.
- Anonimização e Pseudonimização: incentivo à adoção de técnicas que reduzam riscos à privacidade, promovendo a utilização segura de dados para análises e pesquisas.
Quadra assinalar que a proteção de dados no Brasil ainda se encontra em desenvolvimento. O contexto tecnológico, caracterizado por transformações rápidas e complexas, demanda atualização contínua das normas e adaptação dinâmica das estratégias de governança de dados. Adicionalmente, ainda persiste o grande desafio de promover inclusão digital ampla, além do acesso equitativo às ferramentas tecnológicas, mitigando riscos de exclusão e vulnerabilidades. Nos próximos anos, será absolutamente crucial e decisivo consolidar os avanços alcançados e enfrentar os desafios remanescentes, estabelecendo a proteção de dados como um pilar estratégico e inafastável para a inovação, a segurança da informação e o desenvolvimento sustentável do país.
__________
1 Cf. DE LUCCA, Newton; MOTA MACIEL, Renata, A Lei nº 13.709, de 14 de agosto de 2018: a Disciplina Normativa que Faltava, in Direito & Internet, vol. IV, Sistema de Proteção de Dados Pessoais, Coordenadores: DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Ci'ntia Rosa Pereira de; MOTA MACIEL, Renata; São Paulo: Quartier Latin, 2019, pp. 21/50.
2 BRASIL. Marco no cenário brasileiro da proteção de dados, LGPD comemora seis anos. Gov.br. Autoridade Nacional de Proteção de dados: Brasília. 2024. Disponível aqui. Acesso em: 13 ago. 2025.
3 CRAVO, Daniela Copetti; CUNDA, Daniela Zago Gonçalves da; RAMOS, Rafael. Lei Geral de Proteção de Dados e o poder público. Porto Alegre : Escola Superior de Gestão e Controle Francisco Juruena. Centro de Estudos de Direito Municipal, 2021. 223 p.
4 LIMA, Ci'ntia Rosa Pereira de; RAMIRO, Li'via Froner Moreno. Direitos do Titular dos Dados Pessoais. In: LIMA, Ci'ntia Rosa Pereira de. Comenta'rios a` Lei Geral de Protec¸a~o de Dados. Sa~o Paulo: Almedina, 2020, p. 249 - 278..
5 DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de Dados. Revista dos Tribunais: São Paulo. 2 ed.. 2019.
6 BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em 13 ago. 2025.
7 BRASIL. ANPD publica Agenda Regulatória 2025-2026. Gov. br. Autoridade Nacional de Proteção de Dados: Brasília. Disponível aqui.
8 LIMA, Ci'ntia Rosa Pereira de. Autoridade Nacional de Protec¸a~o de Dados e a Efetividade da Lei Geral de Protec¸a~o de Dados. Sa~o Paulo: Almedina, 2020. p. 229.
9 ROMAN, Juliana; LIMA, Cintia Rosa Pereira. Breve análise sobre a transferência internacional de dados: Resolução CD/ANPD nº 19, de 23 de agosto de 2024. Migalhas. 2024. Migalhas: São Paulo. Disponível aqui. Acesso em 29 ago. 2025.
10 MORETTI, Juliano Lazzarini; ZUFFO, Milena Maltese. LGPD e inteligência artificial: um estudo comparado. Revista Direito Internacional e Globalização Econômica.. v. 13 n. 13. PUC-SP: São Paulo 2025, p. 21 - 42. Disponível aqui. Acesso em 13 ago. 2025.
11 BRASIL. ANPD publica Agenda Regulatória 2025-2026. Gov.br. Autoridade Nacional de Proteção de dados: Brasília. 2024. Disponível aqui. Acesso em 13 ago. 2025.
