LGPD em 2026: a maturidade que exige das empresas o que cinco anos de tolerância não conseguiram

O fim da fase pedagógica e o início da conta

A Lei Geral de Proteção de Dados (LGPD) completou cinco anos de vigência em 2025, e o que se observa em 2026 é uma mudança perceptível no tom da relação entre o Estado e as empresas. Durante os primeiros anos, a Autoridade Nacional de Proteção de Dados (ANPD) adotou postura predominantemente orientadora, emitindo regulamentos, guias práticos e resoluções que detalhavam como as organizações deveriam se adequar. A fiscalização existia, mas as sanções financeiras aplicadas a empresas privadas de grande porte foram praticamente inexistentes. Esse cenário criou uma espécie de zona de conforto regulatória: a norma estava no papel, todos sabiam dela, mas poucos sentiam urgência real para investir em conformidade.

Os dados oficiais revelam o tamanho dessa defasagem. Segundo a ANPD, até agosto de 2024 foram aplicadas 18 sanções administrativas ao todo, sendo que apenas duas resultaram em multas - ambas contra a microempresa Telekall Infoservice, que juntas somaram R$ 14,4 mil. Órgãos públicos, que por força de lei não estão sujeitos a penalidades financeiras, concentravam parte significativa das autuações. Para efeito de comparação, apenas no período entre janeiro de 2023 e janeiro de 2024, as multas aplicadas sob o GDPR na União Europeia alcançaram 1,78 bilhão de euros. A disparidade numérica era gritante e alimentava a percepção de que a LGPD não mordia.

Essa percepção começou a mudar a partir de 2024, quando a ANPD editou três resoluções que concretizaram o arcabouço normativo: a Resolução 15, que regulou a comunicação de incidentes de segurança; a Resolução 18, que tratou do papel do encarregado de dados; e a Resolução 19, que disciplinou as transferências internacionais de dados. Com parâmetros técnicos definidos, a agência deixou de depender exclusivamente de interpretações caso a caso para fundamentar autuações. A partir daí, a transição para uma fase efetivamente sancionadora ganhou tração.

Como a fiscalização funciona na prática: padrões, setores e tipos de autuação

A fiscalização da ANPD em 2025 e 2026 não operou por escolha aleatória. A agência utilizou uma combinação de fontes: denúncias de titulares cujos direitos de dados foram violados, varreduras proativas em setores considerados de alto risco e análises setoriais que miraram saúde, fintechs e empresas com operações intensas de marketing digital. O resultado foi um conjunto de autuações que, embora ainda numericamente baixo quando comparado a outros países, representou uma guinada qualitativa importante.

Entre os padrões de infração mais recorrentes estavam a ausência de base legal clara para o tratamento de dados, especialmente em operações de prospecção comercial via WhatsApp, onde o consentimento era tratado de forma genérica ou inexistente. Outra falha frequente era a falta de transparência: empresas que não informavam de forma acessível e completa como os dados seriam utilizados, por quanto tempo seriam mantidos e com quem seriam compartilhados. A ausência de um canal efetivo para que titulares exercessem direitos de acesso, correção ou exclusão também figurou entre as violações mais comuns.

Os megavazamentos de 2021, quando dados de 223 milhões de CPFs e 140 milhões de brasileiros foram expostos, haviam mostrado que o risco de incidentes não era teórico. O que mudou com a Resolução 15 de 2024 foi a responsabilização: empresas passaram a ter um prazo de três dias úteis para comunicar incidentes relevantes à ANPD e, quando cabível, aos titulares afetados. A exigência acelerou a adoção de planos de resposta a incidentes estruturados, mas também revelou quantas organizações ainda operavam sem capacidade técnica para detectar, avaliar e reportar vazamentos dentro desse prazo.

A pressão sobre o uso comercial de dados em massa

Setores que dependem da coleta e do uso comercial de grandes volumes de dados pessoais sentiram a mudança de forma mais aguda. No varejo digital, a adaptação envolveu rever práticas de cadastro, políticas de cookies, estratégias de marketing direcionado e fluxos de atendimento que antes eram construídos sem considerar a base legal do tratamento. Em bancos e instituições financeiras, a LGPD se somou às exigências específicas do Banco Central, que desde 2021, por meio da Resolução 4.893/2021, já impunha políticas de segurança, gestão de terceiros e controles em nuvem.

Um ponto que merece atenção é que muitas autuações não se limitaram a multas. Houve exigência de implementação de medidas corretivas: criação ou redesignação de um encarregado de dados, revisão integral de políticas de privacidade, realização de treinamentos internos e estabelecimento de canais de atendimento aos direitos dos titulares. Isso significou que as empresas autuadas não apenas pagaram um preço financeiro, mas tiveram de reestruturar operações sob pressão e com prazos curtos.

O que os números ainda não mostram: a assimetria entre risco e punição

Apesar da intensificação da fiscalização, é importante reconhecer que a atividade sancionadora da ANPD ainda é limitada quando vista em perspectiva internacional. As multas aplicadas a empresas privadas de grande porte continuam sendo a exceção, e os valores envolvendo pessoas jurídicas de maior porte sequer foram oficialmente detalhados em volume pela própria agência. Isso gera uma situação peculiar: o risco regulatório subiu exponencialmente, mas o custo efetivo da não conformidade permanece, para muitas empresas, mais abstrato do que concreto.

Essa assimetria tem consequências práticas. Empresas que investiram em programas robustos de governança de dados passaram a tratar esse investimento como diferencial competitivo, especialmente em setores onde a confiança do consumidor é decisiva, como fintechs, saúde digital e comércio eletrônico. Em paralelo, concorrentes que postergaram a adequação operam com um passivo que, embora ainda não materializado em multa, cresce a cada novo incidente de segurança e a cada nova resolução que a ANPD publica ampliando o escopo das obrigações.

Há também uma incerteza relevante sobre o ritmo futuro. Embora a ANPD tenha sinais claros de que pretende intensificar o enforcement, a Deliberação CD-10/2025 introduziu a possibilidade de multas diárias pelo descumprimento de medidas cautelares. Ainda não há transparência total sobre o volume de processos em tramitação ou sobre o cronograma de novas autuações. Esse vazio informativo alimenta estratégias opostas: desde empresas que se adequam proativamente até aquelas que apostam na continuidade da morosidade regulatória.

Impactos além das multas: o custo reputacional e as decisões judiciais

A questão financeira das autuações é apenas uma dimensão do problema. Outra dimensão, talvez mais impactante no curto prazo para algumas empresas, é o risco reputacional. Consumidores estão cada vez mais conscientes de seus direitos de dados, e empresas que sofrem incidentes públicos sem demonstrar responsividade enfrentam danos à marca que podem superar qualquer multa. Essa dinâmica já está reformulando decisões empresariais em setores como telecomunicações e bancos, onde incidentes de dados atraem cobertura significativa da mídia.

Além disso, decisões judiciais estão começando a construir um caminho paralelo de responsabilização. Em setembro de 2025, o Superior Tribunal de Justiça decidiu que a disponibilização indevida de dados pessoais por agência de crédito, sem consentimento ou comunicação prévia ao titular, gera dano moral presumido. O tribunal estabeleceu que informações cadastrais como telefone ou dados de adimplemento, quando repassadas a terceiros sem autorização legal, implicam responsabilidade objetiva do gestor do banco de dados, ou seja, não é necessário demonstrar culpa para que haja direito à indenização. Essa decisão alinha a jurisprudência brasileira ao entendimento que já vigorava em jurisdições mais maduras e sugere que, mesmo sem multa da ANPD, empresas podem ser acionadas civilmente por falhas no tratamento de dados.

Contrapontos e os limites da análise

É preciso reconhecer os limites da narrativa de que a LGPD finalmente pegou. Primeiro, a fiscalização ainda atinge uma fração ínfima do universo de empresas que tratam dados pessoais no Brasil. A ANPD não tem estrutura para varrer a totalidade do mercado, e as autuações tendem a se concentrar em casos de denúncia ou em setores que atraem atenção regulatória específica. Para grande parte das pequenas e médias empresas, a lei segue sendo mais teoria do que prática punitiva.

Segundo, o volume de investimento necessário para uma adequação genuína pode ser proibitivo para organizações com recursos limitados. Um programa robusto de proteção de dados envolve tecnologia, processos, treinamento e contratação ou designação de um encarregado. Custos que, para uma pequena empresa, podem superar o risco percebido de uma autuação. Esse desequilíbrio pode levar à formalização de programas de compliance superficiais que atendem ao mínimo legal sem representar proteção efetiva aos titulares.

Terceiro, a própria ANPD ainda está construindo sua capacidade institucional. A agência foi criada em 2020 e operou por anos com estrutura reduzida. O ritmo de publicações normativas acelerou, mas a capacidade de fiscalização ativa ainda é limitada quando comparada a autoridades de países com maior tradição regulatória.

Cenários e síntese: o que esperar nos próximos anos

O cenário mais provável é de continuidade na intensificação progressiva do enforcement. Com as resoluções normativas publicadas, a ANPD tem agora instrumentos para fundamentar autuações mais robustas. A tendência é de que novos casos envolvendo empresas de médio e grande porte sejam publicados nos próximos anos, elevando tanto o volume quanto os valores das sanções. Setores como telecomunicações, saúde e fintechs permanecem sob escrutínio prioritário.

Também é esperado que o reconhecimento de equivalência entre a LGPD e o GDPR, acordado entre Brasil e União Europeia, eleve o nível de exigência sobre empresas que operam internacionalmente. Falhas de conformidade que antes se limitavam ao mercado doméstico agora podem ter repercussão em relações comerciais externas e em decisões de parceiros europeus sobre fluxo de dados.

Por outro lado, o ritmo dessa evolução depende de fatores que ainda não estão totalmente definidos: a capacidade orçamentária e técnica da ANPD, a velocidade com que tribunais consolidam entendimentos sobre responsabilidade civil em proteção de dados, e a disposição política para investir em estrutura regulatória. Há, portanto, uma incerteza genuína sobre o tempo necessário para que o Brasil se aproxime dos padrões de enforcement vistos na Europa ou nos Estados Unidos. O que já não é mais defensável é tratar a LGPD como letra morta ou risco distante.