LGPD apos sete anos: o que mudou, o que ainda falta e o que esta em disputa

O marco legal e o longo caminho ate a estrutura regulatoria atual

A Lei Geral de Protecao de Dados Pessoais, a LGPD, foi sancionada em agosto de 2018 com a promessa de transformar a relacao entre cidadaos e organizacoes no trato de informacoes pessoais. A norma seguiu modelo inspirado no Regulamento Geral de Protecao de Dados da Uniao Europeia, o GDPR, e estabeleceu principios como finalidade, adequacao e seguranca no tratamento de dados. Contudo, a vigencia efetiva das sancoes administrativas so ocorreu em agosto de 2021, tres anos apos a publicacao, o que deu ao mercado um periodo prolongado de adaptacao sem coercao.

Desde entao, a ANPD, que saiu de uma estrutura inicial com orcamento e equipe limitados para uma autarquia com estatus de agencia reguladora, ampliou sua capacidade institucional. Em 2025, a agencia completou cinco anos de existencia e alcançou resultados visiveis em termos de estrutura. A ampliacao do quadro de pessoal por meio de processo seletivo simplificado, a regulamentacao da carreira de especialista em regulacao de dados pessoais e tecnologia da informacao pela lei 14.904/24, e a publicacao de um balanco detalhado de suas atividades marcaram esse periodo.

O escenario regulatorio ganhou ainda mais importancia em janeiro de 2026, quando a ANPD e a Comissao Europea concluram que a LGPD e o GDPR oferecem niveis equivalentes de protecao de dados. A decisao de adequacao, prevista no artigo 33 da LGPD, reconhece que o Brasil assegura um grau de protecao essencialmente equivalente ao oferecido pela Uniao Europeia para seus cidadaos. Esse reconhecimento e mutuo e abrange os 27 Estados-membros da Uniao Europeia, alem dos paises do Espaco Economico Europeu. Para empresas brasileiras, a implicacao direta e a simplificacao das transferencias internacionais de dados, que deixam de exigir mecanismos adicionais de validacao quando o destino e um pais ou organizacao com decisao de adequacao.

O volume de demandas e o paradoxo da fiscalizacao

Os numeros da ANPD revelam uma tendencia que pode ser lida de formas contraditorias. Em 2025, a agencia registrou aproximadamente 8.700 requerimentos entre peticoes e denuncias apresentadas por titulares de dados contra agentes de tratamento. O crescimento das demandas indica que os cidadaos estao aprendendo a exercer seus direitos previstos na LGPD, como acesso, correcao e eliminacao de dados. A existencia de um canal formal para essas reclamacoes representa avanco em relacao ao periodo anterior a ANPD.

Contudo, o volume de processos administrativos sancionadores abertos pela agencia permanece significativamente inferior ao de requerimentos. A discrepancia levanta questoes sobre a capacidade fiscalizatoria da autarquia e sobre os criterios utilizados para conversao de uma denuncia em processo formal. A propria ANPD reconhece, em seu balanco de cinco anos, que a instauracao de processos sancionadores ocorre quando se verificam insuficiencia de resposta as medidas de regulacao responsiva ou descumprimento de determinacoes corretivas.

Do ponto de vista dos controladores de dados, a distancia entre o numero de reclamacoes e o de sancoes pode gerar percepcao de baixo risco regulatorio. Se nao ha punicao exemplar frequente, empresas em fase de adequacao podem adiar investimentos em conformidade, especialmente quando os custos de adaptacao sao elevados. Essa dinamica e especialmente relevante para pequenas e medias empresas, que representam a maioria do tecido produtivo brasileiro e que frequentemente nao dispoem de equipes especializadas para implementar todas as exigencias da LGPD.

Avancos regulatorios e as lacunas que persistem

Além das resolucoes de cunho administrativo, a ANPD publicou em 2025 tres edicoes da Revista Radar Tecnologico, com analises sobre inteligencia artificial generativa, neurotecnologias e mecanismos de afericao de idade. Essas publicacoes buscam orientar o mercado sobre a aplicacao da LGPD em areas emergentes, mas nao tem caracter normativo vinculante. A agencia tambem conduziu consultas publicas sobre o compartilhamento de dados pessoais no setor publico e tomou subsidios sobre questoes como o ecossistema de artistas e criadores de conteudo digitais, dados biometricos e a propria agenda regulatoria.

Entre as lacunas que permanecem abertas, destaca-se a ausencia de regulamentacao especifica para varios aspectos previstos na LGPD, como as condicoes para o tratamento de dados de criancas e adolescentes, as regras detalhadas para transferencia internacional por paises sem decisao de adequacao e os criterios para definicao de medidas de seguranca apropriadas. Enquanto essas questoes nao sao resolvidas por via regulamentar, a interpretacao fica sob responsabilidade dos controladores, o que gera inseguranca juridica e risco de diferentes padroes de conformidade entre setores.

Quem esta mais exposto e quais sao os custos de adequacao

As sancoes administrativas previstas na LGPD podem chegar a 2% do faturamento anual da empresa, com limite de R$ 50 milhoes por infracao. Esse arcabouco punitivo e semelhante ao do GDPR, que pode aplicar multas de ate 20 milhoes de euros ou 4% do faturamento global. Embora essas cifras sejam expressivas em termos absolutos, a aplicacao pratica no Brasil ainda e incipiente. A maioria dos processos sancionadores foram concluidos com advertencias ou termos de compromisso, e as multas efetivamente aplicadas representam valores significativamente menores do que os limites legais.

Para grandes empresas, especialmente instituicoes financeiras e empresas de tecnologia, a adequacao a LGPD ja faz parte da agenda de governanca corporativa. Para empresas de medio e pequeno porte, o cenario e mais desafiador. A falta de recursos para contratar encarregados dedicados, realizar auditorias periodicas e implementar controles tecnicos sofisticados cria um fosso de conformidade. A propia ANPD reconheceu, por meio de guias orientativos, que a adequacao deve ser proporcional ao porte e a complexidade das operacoes do agente de tratamento, mas a ausencia de um programa estruturado de incentivos fiscais ou subsidios para pequenas empresas limita o alcance dessa diretriz.

Contrapontos e os limites da analise

Uma leitura critica do escenario de protecao de dados no Brasil nao pode ignorar as tensoes entre privacidade e outros direitos. O proprio texto da LGPD prev hipoteses de tratamento que podem conflitar com principios constitucionais, especialmente quando e invocada base legal de protecao da vida ou seguranca publica. A aplicacao da lei em contextos de investigacao criminal, por exemplo, levanta questoes sobre o equilibrio entre a protecao de dados e o interesse estatal em acessar informacoes para fins licitos.

Ha tambem o debate sobre o papel da ANPD em relacao a outros orgaos reguladores. A LGPD estabelece competencias especificas para a agencia, mas orgaos como o Ministerio Publico, a Receita Federal e autoridades setoriais mantem poderes de requisicao e analise de dados em suas esferas de atuacao. A interface entre esses poderes nem sempre e clara, e casos concretos ja demonstraram situacoes de sobreposicao ou mesmo de conflito de competencias. Uma regulamentacao mais precisa sobre a coordenacao entre autoridades seria um avanco, mas ainda nao foi editada.

Outra dimensao frequentemente subestimada e a literacia digital da populacao brasileira. A LGPD garante direitos, mas seu exercicio efetivo depende de que os titulares compreendam quais dados sao coletados, como sao utilizados e quais instrumentos tem a disposicao para exigir responsabilizacao. Pesquisas de mercado indicam que a maioria dos consumidores brasileiros desconhece a existencia da LGPD ou nao sabe como acionar os mecanismos de protecao previstos na lei. Esse hiato entre direitos formais e capacidade real de exercicio reduz o impacto da norma na vida quotidiana.

Cenarios e implicacoes para os proximos anos

O reconhecimento de equivalencia com o GDPR posiciona o Brasil como jurisdicao com protecao adequada no cenario internacional. Na pratica, isso deve facilitar a prestacao de servicos por empresas brasileiras para clientes europeus, a operacao de plataformas globais que tratam dados de brasileiros e europeus simultaneamente, e a celebracao de contratos que envolvam transferencia de dados entre as duas jurisdicoes. O fluxo regulatorio pode se intensificar a medida que mais paises avaliem decisoes de adequacao com base na analise brasileira.

Paralelamente, a regulamentacao progressiva de areas como inteligencia artificial, neurotecnologias e dados biometricos vai testar a capacidade da ANPD de acompanhar inovacoes tecnologicas com implicacoes profundas para a privacidade. A agencia ja sinalizou que essas areas sao prioridade em sua agenda regulatoria, mas a execucao efetiva depende de recursos humanos e tecnicos que ainda estao em formacao. A pressao do mercado e da sociedade civil pode ser determinante para que a adequacao nao se torne letra morta.

O cenario mais provavel e de aumento gradual das sancoes e da fiscalizacao a medida que a ANPD consolide sua estrutura e ganhe experiencia operacional. Para empresas que ainda postergaram a adequacao, o momento e de risco crescente. Para o ecossistema de protecao de dados como um todo, o desafio e garantir que a lei nao se torne barreira burocratica sem efetivamente proteger cidadaos que desconhecem seus direitos ou nao tem condicoes de exercê-los perante grandes corporacoes.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.