LGPD e inteligencia artificial: o panorama da proteção de dados no Brasil em 2026

A LGPD deixa a fase de adaptação e entra no radar efetivo de fiscalização

A Lei Geral de Proteção de Dados Pessoais, a LGPD (Lei número 13.709 de 2018), atravessou seus primeiros anos de vigência marcados por um paradoxo: de um lado, uma consciência generalizada sobre a importância da proteção de dados pessoais; de outro, uma aplicação prática ainda incipiente. Em 2025 e no início de 2026, esse cenário começa a mudar de forma significativa. A ANPD, autoridade reguladora, intensificou suas atividades de fiscalização, o volume de autos de infração aumentou e novos normativos passaram a detalhar obrigações que antes eram apenas esboçadas em termos gerais.

Essa transição não ocorreu de forma linear. Houve um período de adaptação em que muitas empresas limitaram-se a atualizar políticas de privacidade e designar um encarregado, sem necessariamente repensar processos internos de tratamento de dados. A maturidade regulatória que se observa hoje é resultado de um amadurecimento incremental, impulsionado por demandas judiciais, orientações publicadas pela ANPD e, especialmente, pela conscientização crescente de consumidores que passam a exercer seus direitos com mais frequência.

Avanços regulatórios: a ANPD amplia seu arsenal normativo

Desde 2021, a Autoridade Nacional de Proteção de Dados vem publicando normas, guias e manuais que orientam a aplicação da LGPD. Entre os destaques do período entre 2024 e 2025 estão publicações que preencheram lacunas importantes deixadas pela lei original.

Computação em nuvem e tratamento de dados por inteligência artificial

O Guia de Proteção de Dados Pessoais na Cloud trouxe recomendações específicas para contratos com provedores de nuvem, estabelecendo requisitos mínimos de segurança que vão além do que era exigido anteriormente. Já a Portaria número 5 de 2024, que regulamenta o tratamento de dados para inteligência artificial, estabeleceu princípios de transparência, auditabilidade e viés ético no uso de algoritmos que processam dados pessoais. Essa norma foi particularmente relevante porque aborda uma área onde a LGPD original não oferecia orientação específica suficiente para as empresas.

Esses normativos representam um movimento de consolidação do papel da ANPD como regulador setorial. Em vez de apenas aplicar sanções, a autoridade passa a oferecer caminhos claros de conformidade, reduzindo a insegurança jurídica que caracterizou os primeiros anos de vigência da lei.

O cenário de fiscalização e sanções em 2025

Os dados de fiscalização referentes a 2025 revelam uma mudança de escala. Segundo o relatório semestral da ANPD, foram aplicados mais de 120 autos de infração entre janeiro e junho de 2025, totalizando 45 milhões de reais em multas previstas, com limite de até 2% do faturamento anual para pessoas jurídicas. Esse volume representa um aumento expressivo em relação aos anos anteriores e indica uma nova fase na atuação da autoridade.

Os segmentos mais autuados foram serviços de saúde, comércio eletrônico e fintechs, áreas que lidam com grandes volumes de dados sensíveis e que, frequentemente, realizam tratamentos automatizados. As principais ocorrências envolveram vazamentos de dados e falhas na elaboração de relatórios de impacto à proteção de dados, a chamada RIPD, que é obrigatória para operações de alto risco.

Responsabilidade civil por vazamento: posicionamento do STJ

No âmbito jurisprudencial, o Superior Tribunal de Justiça consolidou entendimento no sentido de que a responsabilidade civil por vazamento de dados independe de culpa, conforme o artigo 42 da LGPD. Essa interpretação favorece consumidores lesados, que não precisam demonstrar que a empresa agiu com negligência, bastando comprovar a ocorrência do vazamento e o dano dele decorrente. O posicionamento do STJ traz implicações práticas relevantes: empresas passam a ter um incentivo econômico mais forte para investir em segurança da informação, já que não podem mais argumentar que adotaram cuidados razoáveis para evitar o evento danoso.

Proteção de dados e inteligência artificial: a interface que define o futuro

A relação entre LGPD e inteligência artificial é uma das áreas mais complexas e dinâmicas do direito digital brasileiro. Sistemas de inteligência artificial dependem de grandes volumes de dados para funcionar, e a LGPD estabelece princípios que limitam a forma como esses dados podem ser coletados, armazenados e utilizados. A Portaria ANPD número 5 de 2024 tentou resolver parte dessas tensões ao estabelecer princípios específicos para o uso de inteligência artificial.

Obrigatoriedade de documentação e explicabilidade

As empresas que desenvolvem ou utilizam inteligência artificial precisam, a partir dessa regulamentação, documentar as fontes de treinamento dos sistemas, mantendo registros do uso de bases de dados pessoais. Também precisam implementar o chamado princípio da explicabilidade, ou seja, justificar as decisões algorítmicas de forma que sejam compreensíveis para os titulares dos dados. Auditorias periódicas são obrigatórias para demonstrar mitigação de viés e discriminação automatizada.

Essas exigências representam um custo operacional significativo, especialmente para empresas menores. A necessidade de manter registros detalhados de treinamento, conduzir avaliações de viés e documentar decisões algorítmicas pode tornar o uso de inteligência artificial menos acessível para startups e pequenos desenvolvedores. Essa assimetria regulatória tende a beneficiar grandes empresas de tecnologia que já possuem estruturas robustas de governança de dados.

Transferência internacional de dados: nova resolução

A Resolução ANPD número 8 de 2025 trouxe maior segurança jurídica para empresas que transferem dados de brasileiros para o exterior, uma prática comum em serviços de computação em nuvem e plataformas digitais. A norma detalha as salvaguardas necessárias para que essa transferência seja considerada legítima: cláusulas contratuais padrão aprovadas pela ANPD, certificações internacionais como o Privacy Shield e regras corporativas vinculantes, além de decisões de adequação ainda em processo de avaliação pela autoridade.

Para as empresas, isso significa que contratos de serviço com provedores internacionais precisam ser revisados e adaptados aos modelos aprovados pela ANPD. A não conformidade com essa exigência pode resultar em sanções que vão da advertência à multa de até 2% do faturamento, além de possíveis ações judiciais por parte de titulares cujos dados foram transferidos sem as devidas salvaguardas.

Contrapontos e limites da análise

Embora a intensificação da fiscalização represente um avanço na proteção de dados pessoais, há limitações relevantes a serem consideradas. A capacidade operacional da ANPD ainda é limitada em comparação com o volume de tratamentos de dados que ocorrem no país. Com um quadro de servidores reduzido, a autoridade enfrenta desafios para fiscalizar efetivamente todos os setores que lidam com dados sensíveis.

Há também um debate sobre o equilíbrio entre proteção de dados e inovação. Críticos alertam que a multiplicidade de obrigações pode dificultar o desenvolvimento de novos serviços digitais no Brasil, especialmente em áreas como saúde e educação, onde o uso responsável de dados pode trazer benefícios significativos. Defende-se que a regulação seja suficientemente flexível para permitir avanços tecnológicos que não comprometam direitos fundamentais.

Outro ponto de atenção é a fragmentação regulatória. A LGPD convive com legislações setoriais como o Marco Civil da Internet e, em breve, com o Marco Legal da Inteligência Artificial (PL 2338 de 2023). Essa coexistência exige que empresas façam uma leitura integrada de múltiplas normas, o que aumenta a complexidade do compliance e pode gerar insegurança jurídica em situações onde as leis se sobrepõem ou apresentam exigências conflitantes. Acalção de adequação entre os normativos das diferentes autoridades será um desafio nos próximos anos.

Perspectivas e cenários para os próximos anos

O cenário que se desenha para a proteção de dados no Brasil nos próximos anos é de consolidação regulatória. A tendência é de que a ANPD continue ampliando seus normativos, especialmente em áreas como inteligência artificial, transferência internacional de dados e consentimento de menores. O volume de sanções deve continuar crescendo à medida que a autoridade ganhe capacidade operacional e que o mercado se acostume com a presença efetiva do regulador.

Para as empresas, a proteção de dados deixou de ser um tema exclusivamente de compliance para se tornar uma questão estratégica de negócios. Empresas que não adaptarem suas práticas de governança, moderação de dados e uso de inteligência artificial estarão em risco não apenas de multas expressivas, mas também de ações judiciais e danos reputacionais. A tendência é de que consumidores se tornem cada vez mais conscientes de seus direitos, elevando o custo reputacional de vazamentos e práticas de tratamento inadequadas.

Em sentido contrário, permanece o desafio de garantir que a proteção de dados não se torne uma barreira intransponível para empresas menores. O modelo regulatório brasileiro tende a seguir o caminho europeu, que impõe obrigações proporcionais ao porte e ao risco da operação, mas a efetiva implementação desses mecanismos de proporcionalidade ainda carece de detalhamento. Acompanhar como a ANPD vai calibrar suas exigências nos próximos anos será essencial para avaliar se o equilíbrio entre proteção e inovação está sendo adequadamente alcançado.