LGPD aos sete anos: o que mudou na proteção de dados no Brasil e o que ainda falta

Sete anos de LGPD: o cenário atual da proteção de dados no Brasil

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) completou sete anos de vigência em agosto de 2025, consolidando-se como o principal marco normativo para o tratamento de dados pessoais no Brasil. Sancionada em agosto de 2018 e entrou em vigor em setembro de 2020, a LGPD foi elaborada a partir da influência do Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e buscou estabelecer princípios, bases legais e obrigações para organizações que tratam dados pessoais, tanto no ambiente digital quanto no físico.

Desde sua entrada em vigor, a legislação provocou transformações significativas na governança corporativa de empresas brasileiras. A criação de papéis como o encarregado de dados, a exigência de relatório de impacto à proteção de dados para tratamentos de alto risco e a implementação de processos de gestão de consentimento tornaram-se práticas reconhecidas em organizações de maior porte. Contudo, a extensão dessas práticas para pequenas e médias empresas permanece como um dos desafios não resolvidos do marco regulatório.

Para 2026, a agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD) indica foco especial em quatro eixos: o tratamento de dados pelo setor público, a proteção de crianças e adolescentes em ambientes digitais, o uso de dados biométricos e a fiscalização de tecnologias emergentes como inteligência artificial. Esses temas representam uma mudança de escala na discussão sobre proteção de dados, que deixaria de ser limitada ao universo corporativo para atingir estruturas governamentais e modelos de negócio baseados em aprendizado de máquina.

O reconhecimento internacional e seus efeitos práticos

Em janeiro de 2026, a ANPD e a Comissão Europeia concluíram que a LGPD e o GDPR oferecem níveis equivalentes de proteção de dados pessoais. Essa decisão foi resultado de um processo de avaliação que analisou aspectos técnicos e jurídicos da legislação brasileira, comparando-os com os padrões europeus. O reconhecimento equivalente abre caminho para a facilitação de transferências internacionais de dados entre Brasil e Europa, reduzindo a necessidade de mecanismos adicionais para empresas que operam em ambos os mercados.

Para empresas brasileiras que tratam dados de cidadãos europeus ou que desejam estabelecer parcerias comerciais com organizações localizadas na União Europeia, o reconhecimento representa uma redução de barreiras regulatórias. Porém, especialistas advertem que a equivalência formal não significa identidade de procedimentos: as obrigações específicas de cada jurisdição permanecem distintas, e empresas precisam manter compliance paralelo para ambas as legislações.

O reconhecimento também fortalece a posição do Brasil em fóruns internacionais de proteção de dados, onde o país passa a participar como membro com marco regulatório considerado adequado por jurisdições de referência. Isso pode facilitar negociações comerciais, transferência de tecnologias e parcerias em pesquisa envolvendo dados pessoais.

A estruturação da ANPD como autoridade reguladora e seus desafios

A transformação da ANPD em agência reguladora, com maior autonomia técnica e decisória, representa uma mudança institucional significativa. Criada originalmente como parte da estrutura da Presidência da República, a autoridade passou a operar com características que reforçam sua capacidade de atuação independente, inclusive com orçamento próprio e processo de nomeação de seus diretores que envolve maior estabilidade funcional.

Nos últimos anos, a ANPD intensificou suas atividades de fiscalização, criando o Painel de Fiscalização que reúne informações sobre procedimentos abertos, sanções aplicadas e medidas corretivas determinadas. Esse painel permite acompanhar a evolução da atuação regulatória e oferece visibilidade sobre os setores e práticas que mais concentram intervenções. Ainda assim, o volume de fiscalizações ainda é limitado quando comparado ao número de organizações potencialmente sujeitas à LGPD no país.

A capacidade operacional da ANPD permanece como uma das principais críticas. O número de processos administrativos abertos anualmente é significativamente inferior ao volume de incidentes de segurança envolvendo dados pessoais reportados por organizações. Isso gera uma percepção, entre operadores do direito e profissionais de compliance, de que a norma existe mais como referência formal do que como instrumento efetivo de aplicação. Contudo, essa percepção pode mudar conforme a autoridade amplia sua estrutura e consolida precedentes sancionatórios.

Os setores mais impactados e as práticas que se firmaram

O mercado de seguros representa um dos setores onde a discussão sobre proteção de dados ganhou maior intensidade. As empresas do ramo tratam dados sensíveis para atividades de subscrição, precificação e prevenção a fraudes, e a forma como essas informações são geridas influencia diretamente a confiança dos consumidores. A adequação à LGPD passou a ser avaliada não apenas sob o prisma da conformidade legal, mas também como fator de competitividade, especialmente em um mercado que tem enfrentado crescimento de demandas por transparência e controle por parte dos clientes.

No setor de tecnologia, as obrigações de privacidade tornaram-se parte integrante dos processos de desenvolvimento de produtos e serviços. Empresas que oferecem plataformas digitais passaram a incorporar avaliações de impacto à privacidade desde a fase de design de novos recursos, prática conhecida como privacy by design. Essa mudança de abordagem, que desloca a preocupação com conformidade do momento pós-operacional para a etapa de concepção, representa uma evolução significativa na forma como dados pessoais são tratados.

O setor de saúde, que lida com dados sensíveis por definição, também passou por transformações relevantes. A obrigatoriedade de base legal específica para o tratamento de registros de saúde, com destaque para o consentimento do titular ou para a necessidade de proteção da vida, fez com que hospitais, clínicas e laboratórios revisassem seus processos de coleta e armazenamento de informações. A interoperabilidade de sistemas de saúde, que permitiria o compartilhamento de dados entre instituições para fins de continuidade assistencial, ainda enfrenta desafios relacionados à privacidade e à segurança.

Os novos temas: inteligência artificial, dados biométricos e proteção de menores

A expansão do uso de inteligência artificial em processos decisórios automáticos traz desafios ainda não inteiramente resolvidos pelo arcabouço legal vigente. A LGPD estabelece que o titular tem direito a solicitar revisão de decisões automatizadas que afetem seus interesses, mas a forma como esse direito será efetivamente aplicado a sistemas de aprendizado de máquina permanece em discussão. A ANPD tem sinalizado que a elaboração de orientações específicas sobre o tema faz parte da agenda regulatória para os próximos anos.

Especialistas apontam que a transparência sobre o funcionamento de algoritmos que afetam decisões de crédito, emprego, seguros e serviços públicos é uma das lacunas mais relevantes do atual marco. Quando um sistema de inteligência artificial nega um crédito ou altera a classificação de risco de um cliente, o titular dos dados afetados enfrenta dificuldades para compreender as razões da decisão e para exercer seu direito de contestação. A mediação entre a proteção de segredos comerciais de empresas e o direito à explicabilidade das decisões automatizadas é um debate que ainda está longe de uma resolução consolidada.

No caso de crianças e adolescentes, a LGPD já estabelece regras específicas que exigem consentimento específico dos pais ou responsáveis para o tratamento de dados de menores de idade. Contudo, a aplicação prática dessas normas em ambientes digitais frequentemente utilizados por jovens, como redes sociais, jogos online e plataformas de aprendizado, permanece como um campo de intensa atividade regulatória. A ANPD sinalizou que a fiscalização do cumprimento dessas obrigações será uma das prioridades para 2026, especialmente em contextos onde o tratamento de dados infantis está associado a modelos de negócio baseados em monetização de atenção.

Os desafios persistentes: capacitação, custo de conformidade e setor público

A distância entre o número de organizações teoricamente sujeitas à LGPD e o número daquelas que efetivamente implementaram programas de conformidade permanece significativa. Pesquisas setoriais indicam que pequenas e médias empresas enfrentam barreiras relacionadas à falta de profissionais qualificados, ao custo de implementação de controles técnicos e à complexidade de processos de gestão de consentimento.

Para muitas organizações de menor porte, a adequação à LGPD representa um investimento difícil de justificar em termos de retorno imediato. Diferentemente de empresas de grande porte, para as quais o compliance pode representar vantagem competitiva ou redução de riscos reputacionais, pequenos negócios muitas vezes avaliam o custo de conformidade como incompatível com suas realidades operacionais. Isso gera um cenário de fragmentação, onde a proteção de dados pessoais acaba sendo mais sólida em organizações de maior capacidade financeira.

O tratamento de dados pessoais pelo setor público representa um capítulo à parte na implementação da LGPD. Órgãos governamentais lidam com volumes massivos de dados de cidadãos, frequentemente em sistemas legados que não foram projetados para atender requisitos de privacidade. A falta de recursos técnicos, a ausência de políticas internas padronizadas e a cultura organizacional que historicamente privilegiou o acesso à informação em detrimento da proteção de dados são obstáculos que exigem esforços prolongados e sustentados para serem superados.

Contrapontos, críticas e limites da análise

Uma crítica recorrente à LGPD é que sua estrutura, embora detalhada em princípios e obrigações, não foi acompanhada de uma capacidade de aplicação proporcional. A ANPD, apesar dos avanços na criação de instrumentos regulatórios, ainda opera com restrições orçamentárias e de pessoal que limitam sua capacidade de atuar preventivamente. O modelo atual é essencialmente reativo: a autoridade tende a agir após a ocorrência de incidentes ou mediante solicitações de titulares de dados, o que significa que muitos tratamentos inadequados permanecem não identificados por longos períodos.

Do ponto de vista do setor empresarial, há organizações que apontam para a complexidade burocrática associada à conformidade, especialmente no que se refere à documentação de bases legais, à manutenção de registros de operações de tratamento e à resposta a solicitações de titulares. Essas empresas argumentam que a carga regulatória pode gerar efeitos adversos sobre a inovação, especialmente em startups e pequenos negócios que operam com estruturas reduzidas.

Outra vertente de crítica aponta para a existência de conceitos na LGPD que permitem diferentes interpretações, como o conceito de legítimo interesse, cuja aplicação prática ainda gera insegurança jurídica para diversas organizações. A questão do prazo e dos procedimentos para notificação de incidentes de segurança também é mencionada como uma área onde a implementação prática tem apresentado dificuldades, especialmente para empresas que não possuem equipes técnicas dedicadas ao manejo de crises de segurança.

Cenários e síntese

A LGPD representa um avanço estrutural na proteção de dados pessoais no Brasil, comparável em ambição ao GDPR europeu. Sete anos após sua sanção, o marco regulatório já faz parte da realidade corporativa de empresas de maior porte, influenciou a criação de uma indústria de tecnologia de privacidade e colocou o país em posição de destaque na governança de dados em escala global. O reconhecimento de equivalência com o GDPR pela Comissão Europeia em janeiro de 2026 é um indicador do amadurecimento institucional do país nesse campo.

Porém, os desafios de implementação efetiva permanecem. A capacitação de profissionais, a redução de custos de conformidade para pequenos negócios, a adequação do setor público e a regulação de tecnologias emergentes como inteligência artificial são frentes que exigem atenção contínua nos próximos anos. A ANPD continuará a ampliar sua capacidade operacional, mas a efetividade da proteção de dados no Brasil dependerá também de um esforço coletivo que envolva setor privado, academia e sociedade civil.

O horizonte de 2026 aponta para uma intensificação da fiscalização sobre práticas que ainda operam em zonas cinzentas da legislação, especialmente aquelas envolvendo menores de idade, dados biométricos e decisões automatizadas. Organizações que não investirem em governança de dados de forma estruturada deberán enfrentar riscos crescentes, tanto em termos de sanções regulatórias quanto de danos reputacionais. Para os titulares de dados, o cenário oferece proteção formal mais sólida do que há sete anos, ainda que a distância entre a norma e a prática continue sendo o principal ponto de atenção.