LGPD aos Cinco Anos: Por Que o Brasil Ainda Multa Pouco e o Risco Cresce Rápido

O que aconteceu e por que importa

A Lei Geral de Proteção de Dados Pessoais (LGPD) completou cinco anos de vigência plena em setembro de 2025, e o Brasil enfrenta um paradoxo regulatório que desperta atenção de especialistas, empresas e organismos internacionais. A legislação prevê multas de até 2% do faturamento bruto da empresa, limitadas a R$ 50 milhões por infração, e estabelece sanções que colocam o país entre os regimes mais ambiciosos de proteção de dados do mundo. Contudo, a aplicação prática dessas sanções ficou muito abaixo do previsto. Segundo dados da Autoridade Nacional de Proteção de Dados (ANPD), até agosto de 2024 foram registradas 18 sanções administrativas, sendo apenas duas multas formais, ambas aplicadas à microempresa Telekall Infoservice, que juntas somaram R$ 14,4 mil. Em 2024, nenhuma empresa privada de grande porte foi efetivamente multada por descumprimento da LGPD. Esse hiato entre a severidade da norma e a timidez da fiscalização levanta questões sobre a efetividade real da proteção de dados pessoais no Brasil.

O contraste com outras jurisdições é expressivo. Na União Europeia, apenas no período de janeiro de 2023 a janeiro de 2024, as multas aplicadas com base no Regulamento Geral de Proteção de Dados (GDPR) totalizaram 1,78 bilhão de euros, conforme levantamentos compilados pelo escritório L.O. Baptista Advogados. Nos Estados Unidos, o governo do Texas aplicou à Meta uma multa recorde de 1,4 bilhão de dólares por captura e uso de dados biométricos sem autorização. Em 2024, cinco países (Estados Unidos, União Europeia, Reino Unido, Argentina e Austrália) somaram 1,7 bilhão de dólares em sanções por infrações relacionadas à proteção de dados, enquanto o Brasil não registrou nenhuma multa contra pessoa jurídica de direito privado. Esse descasamento não é meramente numérico: ele alimenta um cenário em que o risco reputacional e judicial cresce, mas o custo efetivo da não-conformidade ainda permanece baixo para a maioria das organizações.

Contexto histórico e regulatório

A LGPD foi sancionada em agosto de 2018 e entrou em vigor em modo gradual, com aplicação plena a partir de setembro de 2020, após o período de adequação. A lei foi parcialmente influenciada pelo GDPR europeu, mas carrega especificidades próprias, incluindo a previsão de sanções administrativas que podem chegar a R$ 50 milhões e a figura do encarregado de dados. Desde então, a ANPD foi instalada como órgão regulador e passou por um processo lento de estruturação institucional, que incluiu a definição de sua composição, a edição de resoluções normativas e a construção de uma agenda regulatória. O período entre 2020 e 2023 foi marcado por consultas públicas, publicações de guias orientativos e pela priorização de uma abordagem pedagógica em vez de punitiva, o que, na visão da própria autarquia, buscava incentivar a cultura de proteção de dados antes de impor sanções financeiras.

O ano de 2024 representou um ponto de inflexão na trajetória regulatória. A ANPD editou um conjunto de resoluções que supriram lacunas técnicas fundamentais: a Resolução CD/ANPD nº 15/2024 estabeleceu o prazo de três dias úteis para comunicação de incidentes de segurança à autoridade e aos titulares afetados; a Resolução CD/ANPD nº 18/2024 definiu critérios, responsabilidades e poderes do encarregado de dados; e a Resolução CD/ANPD nº 19/2024 disciplinou as transferências internacionais de dados, incluindo os mecanismos de cláusulas-padrão e decisões de adequação. Além disso, a Deliberação CD-10/2025 introduziu multas diárias para casos de descumprimento de medidas cautelares determinadas no curso de processos de fiscalização, elevando significativamente a pressão sobre empresas que resistem à conformidade. Esse conjunto normativo formou finalmente a base técnica que faltava para que a ANPD pudesse caracterizar infrações com maior precisão e aplicar sanções de forma fundamentada.

Dados, evidências e o que os números mostram

Os dados disponíveis permitem traçar um panorama quantitativo, ainda que com limitações importantes. A pesquisa da Data Privacy Brasil de 2024 indica que 80% das empresas brasileiras consideram a LGPD uma prioridade estratégica, mas apenas 30% declararam estar em conformidade total com a lei. Um levantamento anterior, de 2023, apontava que apenas 36% das organizações brasileiras estavam totalmente adequadas, um avanço modesto em relação aos 11% registrados em 2021. A Febrac registrou que 64% das empresas não estão em conformidade com a LGPD, enquanto o Sebrae constatou que três em cada quatro pequenos negócios ainda não completaram a adequação, com apenas 5% dos empreendedores declarando conhecer bem a lei. Esses números revelam uma assimetria persistêmica: grandes bancos, varejistas digitais e empresas de tecnologia lideram o processo de adequação, enquanto pequenos e médios negócios permanecem em estágios iniciais ou incipientes.

No campo das decisões judiciais, o crescimento é expressivo. Um estudo da plataforma Jurisprudência em Foco registrou um aumento de mais de 500% nas menções à LGPD em decisões judiciais entre outubro de 2023 e outubro de 2024, passando de 7.503 para 15.921 pronunciamentos. Em setembro de 2025, o Superior Tribunal de Justiça (STJ) reconheceu o dano moral presumido em casos de disponibilização indevida de dados pessoais por agências de crédito, sem consentimento ou comunicação prévia ao titular. A decisão da Terceira Turma do STJ, relatada pela ministra Nancy Andrighi, estabeleceu que a simples divulgação de informações cadastrais, como telefone ou dados de adimplemento, para terceiros sem autorização legal implica responsabilidade objetiva do gestor do banco de dados, bastando o fato da divulgação para gerar direito à indenização. Essa decisão não depende de comprovação de prejuízo efetivo pelo titular, ampliando exponencialmente a exposição financeira das empresas que tratam dados de forma inadequada.

Impactos práticos e consequências

Os impactos da não-conformidade se distribuem de forma desigual entre os setores econômicos. O setor financeiro, que já está sujeito às exigências do Banco Central do Brasil (Resolução 4.893/2021), opera sob múltiplas camadas regulatórias e mantém estruturas relativamente maduras de governança de dados, embora a exposição a incidentes seja significativa devido ao volume de dados sensíveis manipulados. As empresas de tecnologia e telecomunicações tornaram-se alvos prioritários da fiscalização da ANPD em 2024, quando vinte empresas de grande porte foram notificadas por não indicarem adequadamente o canal de comunicação com o encarregado de dados. O varejo digital enfrentou a necessidade de rever cadastros, práticas de cookies, programas de marketing e procedimentos de atendimento aos direitos dos titulares, com pressão crescente tanto de reguladores quanto de consumidores mais conscientes de seus direitos.

Para os próximos anos, os sinais de intensificação do enforcement são claros. A Deliberação CD-10/2025 introduziu o instrumento de multas diárias para descumprimento de medidas cautelares, o que significa que uma empresa que descumprir uma determinação da ANPD poderá acumular penalidades a cada dia de resistência, elevando o custo da não-conformidade de forma acelerada. O reconhecimento da equivalência entre a LGPD e o GDPR, formalizado pela Resolução CD/ANPD nº 32/2026 em janeiro de 2026, cria uma nova dimensão de risco: empresas brasileiras que operam com dados de cidadãos europeus ou que mantêm fluxos internacionais de dados precisarão demonstrar conformidade com padrões equivalentes aos exigidos na União Europeia, sob pena de perder acesso a mercados e enfrentar barreiras regulatórias em ambas as jurisdições. Para bancos, varejistas e empresas de tecnologia, o risco de multa milionária deixa de ser uma possibilidade distante e passa a ser um cenário plausível no curto e médio prazo.

Contrapontos, críticas e limites da análise

Não faltam vozes dissonantes na avaliação desse cenário. Especialistas como a advogada Bianca Mollicone, sócia do Pessoa & Pessoa Advogados, argumentam que a atuação do governo é compatível com o grau de amadurecimento do Brasil em relação ao tema, lembrando que a Europa vem se debruçando sobre proteção de dados desde a década de 1970, enquanto o Brasil sancionou a LGPD apenas em 2018 e foi alcançado pela pandemia no início de sua vigência. Na mesma linha, há quem sustente que a postura pedagógica da ANPD foi uma escolha racional de política regulatória, projetada para construir uma cultura de proteção de dados antes de passar para a fase punitiva, evitando assim o risco de judicialização em massa que poderia paralisar tanto a agência quanto o sistema judiciário. Patricia Peck, sócia-fundadora do Peck Advogados e especialista em direito digital, reconhece que a fase educativa foi normal, mas adverte que chegar a um próximo estágio exigirá aplicação mais efetiva de multas, como se observa em outros países.

Há também críticas estruturais que merecem atenção. Uma das principais lacunas permanece a ausência de regulamentação dos padrões técnicos mínimos de segurança, prevista no artigo 46 da LGPD mas ainda não detalhada pela ANPD. Sem esses parâmetros, as empresas operam em um estado de incerteza sobre o que exatamente constitui conformidade técnica suficiente, e a própria agência enfrenta dificuldades para caracterizar falhas de segurança como infrações administrativas. Outro limite relevante é a fragmentação da fiscalização entre múltiplos órgãos: Procons, Ministério Público e tribunais civis atuam paralelamente à ANPD, suprindo parcialmente a função sancionatória, mas dispersando a capacidade de resposta regulatória e criando incerteza sobre qual órgão detém primazia em cada situação. Além disso, a LGPD isenta entidades públicas de multas financeiras, o que concentra as sanções em dinheiro em um universo ainda mais restrito de agentes, reduzindo o efeito preventivo geral da norma para o setor público, que é grande manipulador de dados pessoais no Brasil.

Cenários e síntese

Para os próximos cinco anos, o cenário mais provável é de aumento gradual, porém consistente, na aplicação de sanções administrativas pela ANPD, com foco inicial em casos de grande repercussão e em empresas que demonstrarem resistência recorrente à adequação. A expectativa não é de uma explosão imediata de multas milionárias, mas de um ciclo progressivo de intensificação que acompanhará a maturação institucional da agência e a consolidação dos parâmetros técnicos definidos pelas resoluções editadas em 2024 e 2025. Paralelamente, as condenações judiciais por danos morais e materiais tende a se multiplicar, impulsionadas pela decisão do STJ sobre dano presumido, podendo representar, no agregado, custos superiores aos das próprias multas administrativas. O reconhecimento de equivalência com o GDPR eleva a régua para empresas com operações internacionais, criando dois níveis de exposição: quem descumprir a LGPD estará sujeito não apenas a sanções nacionais, mas também a barreiras comerciais e regulatórias nas relações com a União Europeia e outros países que reconhecem o regime europeu como padrão.

A síntese que se impõe é a de uma lei que mudou de verdade o cenário jurídico brasileiro, mas cuja aplicação ainda está aquém de seu potencial preventivo. O custo da não-conformidade já não é zero: o risco reputacional, a exposição judicial e a pressão crescente da fiscalização são fatores que pesam sobre as organizações. Porém, o custo efetivo das sanções pecuniárias segue baixo para a maioria das empresas, especialmente as de grande porte, o que reduz o incentivo financeiro direto à adequação. Nos próximos anos, esse cenário deverá mudar de forma significativa, à medida que a ANPD ganhar tração regulatória, as decisões judiciais acumularem jurisprudência e o reconhecimento internacional da LGPD pressionar as empresas a adotarem padrões de proteção de dados comparáveis aos exigidos nas principais economias do mundo. Para as organizações que tratam a conformidade como estratégia, o momento atual oferece uma janela de adequação com risco punitivo ainda reduzido; para quem postergar, o custo da adequação tardia tende a crescer de forma exponencial.