Antes da Lei Geral de Proteção de Dados, o cenário era de vulnerabilidade em relação à privacidade e à segurança das informações pessoais. Ou seja, a coleta, armazenamento e uso de dados pessoais eram realizados de maneira desregulada. Por consequência, essa desregulação consentia para que empresas e organizações utilizassem as informações das pessoas sem o consentimento explícito delas mesmas.
Essa falta de regulamentação gerou preocupações sobre a exposição de dados sensíveis. Entre elas, as informações financeiras, de saúde e de identificação. Sem contar o aumento de risco de violação de privacidade e fraudes. A ausência de normas claras também dificultava a responsabilização de entidades. Essas, obviamente, não adotavam práticas adequadas para proteger as informações dos usuários.
No dia 14 de agosto de 2008 esse cenário começou a mudar.
Depois da LGPD
“Mais do que um mero instrumento normativo, a LGPD elevou no Brasil a proteção à privacidade a um novo patamar. Afinal, desde sua publicação, ela vem impactando diretamente as estratégias empresariais e a conscientização da população sobre o uso de dados pessoais.” A afirmação é de Carla do Couto Hellu Battilana, sócia na área de Cybersecurity & Data Privacy do TozziniFreire Advogados.
Ela então lembra que, desde a publicação da LGPD, diversas transformações ocorreram. Um dos marcos mais significativos foi a Emenda Constitucional nº 115/2022, que passou a reconhecer a proteção de dados pessoais como um direito fundamental, assim como garantias como a liberdade de expressão e a dignidade humana. “Esse reconhecimento proporcionou maior segurança jurídica para cidadãos e empresas, além de proteger a legislação contra retrocessos”, explica Battilana.
Outro progresso importante foi o amadurecimento na aplicação do legítimo interesse como base legal para o tratamento de dados, que agora conta com esclarecimentos adicionais no Guia publicado pela Autoridade Nacional de Proteção de Dados (ANPD). “Ao definir parâmetros mais claros, a ANPD auxiliou no equilíbrio entre as necessidades das empresas e a preservação dos direitos dos titulares”, comenta Battilana.
Novidades na lei: vazamentos
Outra novidade importante foi a Resolução CD/ANPD nº 15, que entrou em vigor em abril de 2024, embora sua aplicação tenha se tornado mais rigorosa a partir do segundo semestre de 2025. A normativa estabelece que empresas e entidades públicas que lidam com dados pessoais de clientes, usuários ou cidadãos comuniquem vazamentos e incidentes de segurança em até 3 dias úteis a partir do momento em que a ocorrência é conhecida.
O intuito é aumentar a transparência e proteger os direitos dos titulares de dados, especialmente frente ao crescimento significativo de ataques cibernéticos e falhas operacionais no País. De acordo com a Resolução, a notificação do vazamento deve ser feita à ANPD e aos titulares dos dados. Em suma, essa comunicação é obrigatória somente quando houver risco relevante aos direitos dos afetados e ao menos um dos seguintes fatores:
- Tratamento em larga escala;
- Dados sensíveis ou de crianças e adolescentes;
- Informações financeiras, biométricas ou protegidas por sigilo legal.
“Pela primeira vez, a ANPD fornece critérios objetivos. Agora as empresas têm clareza sobre quando devem realizar a notificação e as potenciais consequências de não fazê-lo”, afirma Bruno Fuentes, advogado especializado em Direito da Tecnologia e Cibersegurança do GMP/G&C Advogados Associados. “A comunicação precisa ser rápida, técnica e transparente. O improviso nesse contexto representa um grande desafio”, complementa.
Prazos e penalidades
O prazo padrão para a notificação é de 3 dias úteis, podendo ser estendido para 6 dias em casos de agentes de pequeno porte, como microempresas, ONGs ou startups. Adicionalmente, a empresa deve manter um registro interno do incidente por um período de 5 anos, mesmo que opte por não realizar uma comunicação formal.
Desde julho deste ano, a ANPD intensificou sua fiscalização: mais de 20 empresas foram notificadas por não comunicar ou por falhas no tratamento de dados. As sanções previstas pela LGPD variam de advertências a multas que podem chegar a R$ 50 milhões por infração, sem considerar o impacto na imagem. “Ignorar a LGPD já não é um risco meramente teórico. A autoridade está se posicionando, e cada caso de omissão pode criar precedentes para penalidades mais severas”, alerta Fuentes.
A ANPD também planeja, na Agenda Regulatória 2025–2026, novas normas relacionadas a Inteligência Artificial, dados biométricos e tratamento realizado por órgãos públicos. “É um sinal claro do amadurecimento da autoridade. A expectativa é que as exigências aumentem, em vez de diminuírem”, analisa o especialista.
Empresas devem estar preparadas
De acordo com Bruno Fuentes, a recomendação é inequívoca: quem ainda não estabeleceu uma política interna de resposta a incidentes está em atraso. “Dispor de um plano formal, com atribuições definidas, sistema de detecção e canal de comunicação com a ANPD é o mínimo. Aguardar a ocorrência de um incidente para criar uma estratégia é um erro que pode ter um custo elevado.”
Além disso, o advogado ressalta que o encarregado de dados (DPO) ganhou nova importância com a Resolução nº 18/2024, passando a ser o responsável direto por coordenar ações, responder à ANPD e manter os registros atualizados.
Por sua vez, Carla do Couto Hellu Battilana, argumenta que, no campo da tecnologia, a ANPD tem desempenhado um papel central nas discussões sobre IA, ao lançar um sandbox regulatório e participar ativamente dos debates do Projeto de Lei nº 2.338/2023, que pode torná-la a coordenadora nacional de governança de IA. “A interseção entre IA e proteção de dados é inevitável, exigindo uma atenção redobrada para que a inovação avance em conjunto com a segurança e a privacidade,” avalia Battilana.
Por fim, a especialista acredita que visualizar o futuro da LGPD exige uma observação atenta das tendências emergentes, como o avanço da IA, a integração de padrões internacionais de proteção de dados e a crescente sofisticação das ameaças cibernéticas. “Este é um cenário em contínua evolução que requer a atualização constante e o comprometimento de todos os agentes envolvidos.”
2º Encontro de Encarregados de Dados
No 2º Encontro de Encarregados de Dados da ANPD, o presidente da ANPD, Waldemar Gonçalves, enfatizou que o principal desafio do Brasil atualmente está em estabelecer um ambiente propício ao avanço tecnológico, ao mesmo tempo em que busca assegurar a proteção dos direitos fundamentais dos cidadãos. “Nesse contexto, a regulação é indispensável. Portanto, a ANPD está aberta ao diálogo para desenvolver o melhor marco regulatório para o País. E, tecnicamente, preparada para assumir a função de órgão central do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), precisando apenas de um fortalecimento orçamentário e estrutural”, afirmou.
Nas palavras de Waldemar Gonçalves, a IA é o tema do momento. E, em paralelo, o encarregado de dados, nos órgãos e nas empresas, sejam elas públicas ou privadas, é o elemento essencial que a ANPD tem em suas atividades.
Encarregado de dados
Essa pessoa, segundo ele, dialoga com a ANPD e com todos os níveis da organização, mantendo comunicação ainda com o titular de dados. “A atenção que temos pelo encarregado de dados é grande, pois ele é como um braço atuante dentro das empresas. Portanto, nosso encontro é um espaço fundamental para fortalecermos a cultura de proteção de dados pessoais no Brasil. Quando éramos apenas cinco diretores, não imaginávamos que em tão pouco tempo alcançaríamos tanto. Sabemos que promover uma cultura é um processo lento, mas já estamos conseguindo avançar, colocando os primeiros tijolos na construção de uma cultura sólida, semelhante àquela que existe em países onde a proteção de dados é discutida desde os anos 90.”
O deputado federal Aguinaldo Ribeiro (PP-PB), relator do PL nº 2338/2023, que regulamenta o uso da IA, enfatizou que a regulamentação é uma necessidade, não uma escolha, e que o desafio é desenvolver o melhor marco regulatório para a nação. “A regulamentação da IA é uma questão da humanidade e de grande relevância. Essa discussão não deve ser ideológica, mas sim uma política de Estado que precisa ser abordada de maneira ampla e holística”, concluiu.
LGPD não é pauta nas empresas
A pesquisa IT Trends Snapshot, da Logicalis, empresa global de soluções e serviços de transformação digital, com dados sobre a conformidade das empresas brasileiras com a LGPD, diz que a lei não é prioridade para as empresas no Brasil. O tema caiu de 51% para 8% entre 2021 e 2023. E somente 36% dizem estar agindo em consonância com a lei.
Veja as prioridades dos negócios no período:
Os desafios para implementar a LGPD
Questionados sobre os principais desafios de adequação à LGPD, os respondentes citaram três grandes dificuldades: adequação de processos/sistemas (26%); engajamento de usuário/colaboradores (18%). e segurança de dados (17%).
Confira abaixo os obstáculos das empresas:
Dado pessoal
Dado pessoal refere-se a qualquer informação que pode identificar uma pessoa de forma direta ou indireta, como nome, CPF, RG, e-mail, características físicas, entre outros. Os titulares de dados pessoais têm direitos garantidos pela LGPD, incluindo o direito de acessar, corrigir, eliminar ou portar seus dados. Além disso, qualquer tratamento inadequado de dados pessoais pode resultar em sanções legais significativas para as entidades envolvidas, além de danos à sua reputação.
CONAREC 2025
A Era do Diálogo, principal encontro sobre as relações de consumo, será realizado no CONAREC! O maior congresso de Customer Experience do mundo terá um palco dedicado às discussões sobre proteção de dados, judicialização, transparência e defesa do consumidor. Garanta já a sua participação e faça parte dessa construção!
