O Arcabouço Jurídico da Privacidade e Proteção de Dados no Brasil: Avanços, Tensões e Perspectivas na Era da Implementação Efectiva da LGPD

A proteção de dados pessoais no Brasil atravessa, em 2025 e 2026, um momento de inflexão que revela tanto os avanços institutionais acumulado desde a vigência da Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) quanto as tensões estruturantes que ainda impedem a plena efetividade desse direito fundamental. A elevação da proteção de dados ao status de direito constitucional expresso, por força da Emenda Constitucional 115/2022, consolidou um marco jurídico que vincula tanto particulares quanto a administração pública, conferindo à LGPD uma autoridade normativa sem precedentes no ordenamento brasileiro. Contudo, a distância entre a normatividade abstrata e a realidade prática do tratamento de dados permanece significativa, e os desenvolvimentos mais recentes — da transformação da ANPD em agência reguladora à decisão de adequação com a União Europeia — revelam um cenário em rápida mutação que exige acompanhamento atento.

O biênio 2025-2026 marca uma transição perceptível na postura regulatória brasileira: a fase predominantemente orientativa cede espaço a uma era de enforcement deliberado, na qual a Autoridade Nacional de Proteção de Dados (ANPD), agora Agência Nacional de Proteção de Dados pela Lei 15.352/2026, telegrafa suas prioridades de fiscalização com meses de antecedência e cobra conformidade das organizações. A publicação do Mapa de Temas Prioritários para o biênio 2026-2027, com pelo menos 75 ações de fiscalização planejadas, e a intensificação das sanções ao setor público e às grandes empresas evidenciam que a cultura de privacidade no Brasil ingressou em uma nova fase — menos tolerante com a inércia e mais exigente quanto à demonstração efectiva de conformidade. Este artigo propõe-se a analisar os desenvolvimentos centrais desse período, identificando os principais actores, as tensões persistentes e as perspectivas que se abrem para o futuro da proteção de dados no País.

A Consolidação Institucional da ANPD e a Transformação em Agência Reguladora

A trajetória da autoridade brasileira de proteção de dados é indissociável do amadurecimento da própria LGPD. Criada inicialmente como órgão vinculado à Presidency of the Republic, a ANPD alcançou sua consolidação institucional com a transformação em autarquia de natureza especial em outubro de 2022, o que lhe conferiu maior autonomia administrativa e financeira para exercer suas funções de fiscalização, regulação e orientação. Contudo, foi em fevereiro de 2026, com a sanção da Lei 15.352/2026 (oriunda da Medida Provisória 1.317/2025), que se consumou a equiparação da ANPD às demais agências reguladoras nacionais, como a ANATEL e a ANEEL, conferindo-lhe uma estrutura institucional capaz de sustentar uma atuação de longo prazo.

Essa transformação não é meramente simbólica. A nova configuração institucional implica maior capacidade de ação coordenada, com estrutura de carreira própria para especialistas em proteção de dados e orçamento que não mais depende exclusivamente de dotações orçamentárias genéricas. Para o sector empresarial, a mudança sinaliza que a ANPD deixou de ser um órgão experimental para se tornar um interlocutor regulatório permanente, com agenda própria e capacidade de influenciar comportamento de mercado de forma sistemática. A agência passa a ter instrumentos para desenvolver normativas técnicas detalhadas, como as que já existen para transferência internacional de dados (Resolução CD/ANPD 19/2024) e para a atuação do encarregado (Resolução CD/ANPD 15/2024), e para cobrar conformidade com essas normas por meio de fiscalização efetiva.

Paralelamente à estruturação institucional, a ANPD tem diversificado seu repertório de instrumentos de enforcement. Após um período inicial em que predominavam orientações e advertências, a autoridade avançou para sanções concretas, incluindo multas de diferentes categorias, medidas cautelares com imposição de multas diárias por descumprimento (conforme Deliberação CD-10/2025) e publicização de infrações — instrumento particularmente poderoso para sensibilização do sector público, que não está sujeito a multas financeiras mas sofre impacto reputacional significativo quando suas falhas são expostas publicamente. Essa progressão deliberada permitiu que o mercado se adaptasse gradualmente, evitando choques abruptos que poderiam gerar resistência política ao novo regime.

A Evolução do Enforcement: Da Primeira Sanção aos Processos de Fiscalização em Massa

A primeira sanção aplicada pela ANPD, em julho de 2023, foi simbólico menos pelo valor — R$ 14,4 mil à Telekall, uma microempresa de telemarketing — do que pelo precedente que estabeleceu. As infrações incluíam tratamento de dados sem base legal (oferta de listas de contatos de eleitores), ausência de encarregado nomeado e falta de colaboração com a fiscalização, configurando um padrão que a ANPD sinalizou pretender combater sistematicamente. A combinação de advertência e multas simples demonstrou que a autoridade estava disposta a usar todo o espectro sancionatório previsto no artigo 52 da LGPD, que vai da advertência até multas de 2% do faturamento limitadas a R$ 50 milhões por infração, além de medidas como bloqueio ou eliminação de dados e suspensão parcial ou total da atividade de tratamento.

No setor público, a ANPD utilizou-se preferencialmente de sanções não monetárias de alto impacto, reconhecendo que a lógica da administração pública exige instrumentos diferenciados. Em 2024, diversas instituições públicas foram sancionadas com advertência, medidas corretivas e publicização da infração, especialmente por falhas graves de segurança que expuseram dados de saúde de menores e pela não comunicação de incidentes aos titulares afectados. Essas sanções, embora não imponham custos financeiros diretos, geram consequências operacionais e políticas relevantes para órgãos que dependem de Credibilidade junto à ciudadanía e que operam sob scrutiny permanente da opinião pública e dos órgãos de controle.

O movimento mais significativo, contudo, ocorreu no final de 2024, quando a ANPD iniciou um processo de fiscalização em massa contra 20 empresas de grande porte dos setores de tecnologia, telecomunicações, educação, saúde e varejo. O foco não eram infrações complexas ou tecnológicas avançadas, mas sim duas obrigações básicas da LGPD: a ausência de encarregado (DPO) nomeado e a ausência de canal de comunicação adequado para atender aos titulares de dados — requisitos previstos nos artigos 41 e 18, respectivamente, cuja simplicidade conceitual contrasta com a frequência com que ainda são descumpridos. A fiscalização demonstrou que grandes empresas, com recursos tecnológicos e financeiros abundantes, ainda falha em obrigações elementares de transparência, revelando que a conformidade à LGPD não é automaticamente resultado do porte ou da sofisticação organizacional.

Os Instrumentos Regulatórios Publicados e Suas Implicações Práticas

Entre 2024 e início de 2026, a ANPD publicou uma série de regulamentos que transformaram obrigações abstratas da LGPD em parâmetros concretos de conformidade. O Regulamento de Comunicação de Incidente de Segurança (Resolução CD/ANPD 1/2024) detalhou os procedimentos e prazos para que controladores e operadores comuniquem incidentes que possam comprometer dados pessoais, reforçando a transparência e a responsabilidade na gestão de crises. O Regulamento sobre a Atuação do Encarregado (Resolução CD/ANPD 15/2024) definiu diretrizes para as responsabilidades, qualificações e forma de contato do DPO, garantindo que esse papel deixe de ser uma formalidade burocrática para se tornar uma função operacional efectiva. O Regulamento de Transferência Internacional de Dados (Resolução CD/ANPD 19/2024), com as correspondentes cláusulas-padrão contratuais, estabeleceu os requisitos para transferências de dados pessoais para o exterior, incluindo requisitos de conformidade, cláusulas contratuais-tipo e mecanismos de salvaguarda.

Esses regulamentos não são meras repetições do texto legal; conferem-lhes interpretação técnica e operacional que permite sua aplicação efectiva. O regulamento de incidentes, por exemplo, define prazos e conteúdos mínimos para comunicações, evitando a discricionariedade que poderia permitir a órgãos pouco preparados ignorarem completamente suas obrigações. O regulamento do encarregado estabelece critérios objetivos para a avaliação da adequação do desempenho dessa função, permitindo que a ANPD exija demonstrativos de atividade e não apenas a existência formal do cargo. A publicação desses instrumentos responde a uma demanda antiga do mercado por maior segurança jurídica, permitindo que organizações saibam, antecipadamente, o que é esperado delas e como podem demonstrar conformidade em caso de fiscalização.

A Agenda Regulatória para o Biênio 2025-2026 prevê o desenvolvimento de normativas sobre 16 temas prioritários, incluindo tratamento de dados de crianças e adolescentes, dados biométricos, inteligência artificial, tratamento de dados pessoais de alto risco, anonimização e pseudonimização, dados de saúde e hipóteses legais como consentimento e proteção ao crédito. Cada novo regulamento que entra em vigor amplia as obrigações formais das organizações e os critérios pelos quais serão fiscalizadas, tornando a conformidade um processo dinâmico que exige atualização permanente dos programas de governança. Para as organizações, isso implica investir não apenas na adequação inicial, mas na manutenção de uma estrutura de monitoramento contínuo capaz de acompanhar a evolução regulatória e adaptar processos internos de forma célere.

As Prioridades de Fiscalização: O Mapa de Temas Prioritários 2026-2027 e Seus Eixos

A Resolução CD/ANPD 30/2025, que aprovou o Mapa de Temas Prioritários para o biênio 2026-2027, representa o documento mais revelador da actual estratégia regulatória brasileira. Com pelo menos 75 ações de fiscalização planejadas, o Mapa organiza-se em quatro eixos estratégicos que reflectem a percepção da ANPD sobre os mayores riscos aos direitos dos titulares de dados no contexto brasileiro contemporâneo.

O primeiro eixo, dedicado aos Direitos dos Titulares, prevê 30 ações de fiscalização ao longo do biênio, empatado em volume com o eixo dedicado à proteção de crianças e adolescentes. O foco recai sobre três temas principais: o tratamento de dados biométricos, de saúde e financeiros, que concentram os mayores riscos aos direitos dos titulares por sua natureza sensível e pelo volume de tratamento a que são submetidos; o uso secundário de dados para publicidade comercial segmentada e profiling, que afecta directamente sectores como marketing digital, e-commerce, fintechs e plataformas digitais; e o espectro completo dos demais direitos previstos no artigo 18 da LGPD, incluindo acesso, correção, portabilidade, eliminação e revogação de consentimento. Para organizações que tratam dados sensíveis, a mensagem é clara: a base legal aplicada, as medidas de segurança implementadas e a necessidade de elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD) serão objecto de escrutínio detalhado.

O segundo eixo, focado na Proteção de Crianças e Adolescentes no Ambiente Digital, reflecte uma preocupação global que se intensificou com a promulgação do Estatuto da Criança e do Adolescente Digital e com as obrigações específicas do artigo 14 da LGPD. A fiscalização abrangerá plataformas digitais e aplicativos usados por menores, sistemas educacionais e EdTechs, e serviços que coletam dados de crianças sem o consentimento dos responsáveis. O artigo 14 exige que o tratamento de dados de crianças (até 12 anos) seja realizado somente com o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, uma obrigação que, na prática, tem sido descumprida por numerosas plataformas que coletam dados de menores sem verificação efectiva da idade ou do consentimento parental.

O terceiro eixo concentra-se no Tratamento de Dados pelo Poder Público, que a ANPD reconhece como um campo de vulnerabilidades persistentes. Órgãos governamentais tratam enormes volumes de dados pessoais, frequentemente de grupos vulneráveis, com controles inadequados que já resultaram em sanções por exposição indevida de dados de saúde de menores e por falha na comunicação de incidentes. A ausência de ROPA (Registro de Operações de Tratamento), falha na comunicação de incidentes e ausência de medidas técnicas de segurança figuram entre as principais vulnerabilidades identificadas nos casos já sancionados. Para o sector público, a ausência de multa financeira não significa ausência de consequências: publicização, bloqueio de dados e advertências geram custos políticos e operacionais relevantes, especialmente em um contexto em que a gestão de dados pessoais é cada vez mais escrutinada pelos órgãos de controle e pela sociedade.

O quarto eixo, dedicado à Inteligência Artificial e Tecnologias Emergentes, prevê 20 ações de fiscalização concentradas em 2017, o que significa que as organizações têm 2026 para se preparar. O foco inclui decisões automatizadas (artigo 20 da LGPD), que assegura ao titular o direito de solicitar revisão humana de decisões tomadas exclusivamente por algoritmos com impacto significativo; IA generativa no ambiente corporativo, com uso de LLMs e ferramentas de IA com dados pessoais de clientes ou funcionários; sistemas de reconhecimento facial e biometria; e profiling e scoring baseados em IA. A Nota Técnica nº 12/2025/CON1/CGN/ANPD sinalizou o caminho para a regulamentação do artigo 20, sugerindo critérios para o grau de explicabilidade exigível por tipo de decisão — uma questão delicada que opõe a proteção efectiva do titular à viabilidade operacional dos sistemas automatizados e ao segredo industrial das empresas.

Os Direitos dos Titulares na Prática: Exercer o Que a Lei Garante

A LGPD Conferiu aos cidadãos brasileiros uma carta ampla de direitos no ámbito da proteção de dados, que inclui a confirmação da existência de tratamento, o acesso aos dados, a correção de dados incompletos, inexatos ou desatualizados, a anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos, a portabilidade, a eliminação dos dados tratados com o consentimento, a informação sobre o compartilhamento de dados, a informação sobre a possibilidade de não fornecer consentimento, a revogação do consentimento e a revisão de decisões automatizadas. Conhecer esses direitos é o primeiro passo para exercê-los, mas a prática revela que a distância entre o texto legal e a realidade do exercício efectivo permanece significativa.

O processo de exercício de direitos começa pela organização que trata os dados, que é obrigada a manter um canal de comunicação claro e acessível para atender às solicitações dos titulares. A gestão desse canal é de responsabilidade do DPO, cujo contato deve ser facilmente encontrado nos sites e políticas de privacidade da empresa. A lei estabelece prazos para resposta: para solicitações de confirmação de existência de tratamento ou acesso a dados em formato simplificado, a resposta deve ser imediata; para uma declaração completa, detalhando a origem dos dados e a finalidade do tratamento, o prazo é de até 15 dias. Se a empresa não responder no prazo, negar seu direito sem justificativa legal válida ou fornecer resposta insatisfatória, o cidadão pode escalar a questão para a ANPD por meio de uma Petição de Titular, formulário online disponível no website da autoridade.

Os dados sobre a evolução do contencioso em proteção de dados são reveladores: o número de decisões judiciais que citam a LGPD mais que dobrou em um ano, passando de aproximadamente 7 mil para quase 16 mil entre 2023 e 2024, conforme o estudo do 4ª edição do Painel LGPD nos Tribunais, iniciativa do Privacy Lab do CEDIS/IDP em parceria com o Jusbrasil. Esse crescimento expressivo demonstra que o tema se tornou onipresente no cotidiano jurídico e social, evidenciando tanto a crescente conscientização dos cidadãos sobre seus direitos quanto a intensificação dos conflitos envolvendo dados pessoais. Contudo, o aumento do contencioso também revela limitações: muitas ações ainda se concentram em questões procedimentais (ausência de resposta, recusa de acesso) e não em questões substantivas (discriminação algorítmica, tratamento abusivo de dados sensíveis), sugerindo que a maturação do ambiente de proteção de dados ainda está em curso.

A Decisão de Adequação Brasil-União Europeia e Suas Implicações

Em 26 de janeiro de 2026, a ANPD publicou a Resolução nº 32/2026, formalizando o reconhecimento recíproco de adequação do nível de proteção de dados pessoais entre o Brasil e a União Europeia. Essa decisão, anunciada conjuntamente com a Comissão Europeia, representa um marco na inserção do Brasil no cenário global de proteção de dados e tem implicações práticas significativas para organizações que realizam transferências internacionais de dados. Com o reconhecimento, brasileiros e europeus passam a ter garantias equivalentes de proteção de dados, facilitando fluxos de informação entre os dois blocos e eliminando a necessidade de mecanismos de salvaguarda que seriam exigidos caso a adequação não fosse reconhecida.

A decisão de adequação funciona como uma mútua reconhecimiento de que os sistemas de proteção de dados do Brasil e da União Europeia atingiram nível equivalente de proteção, permitindo que dados pessoais fluam entre os dois jurisdictions sem necessidade de autorização prévia ou de instrumentos contratuais específicos beyond those already required by each regime. Para empresas brasileiras que operam com parceiros europeus ou que prestam serviços a clientes no viejo continente, a decisão simplifica significativamente os processos de transferência internacional, reduzindo custos de conformidade e eliminando incertezas jurídicas que antes afectavam a negociação de contratos internacionais. O período de graça para adequação dos contratos que contemplam transferência de dados para outros países encerrou em agosto de 2025, e a Resolução CD/ANPD 19/2024 estabeleceu os requisitos mínimos de conformidade que devem ser observados.

É importante notar que a decisão de adequação não é permanente. O §1º do artigo 4º da Resolução CD/ANPD 32/2026 prevê que a decisão será objeto de reavaliação periódica, garantindo que o nível de proteção se mantenha ao longo do tempo. Isso significa que eventuais retrocessos na legislação ou no enforcement brasileiro poderiam levar à revogação do reconhecimento, com consequências significativas para os fluxos de dados internacionais. Além disso, a decisão não elimina a necessidade de observar os requisitos básicos da LGPD para qualquer tratamento de dados, inclusive para transferências: a transferência internacional deve partir de uma atividade de tratamento com base legal regular, e é vedado qualquer tratamento que viole os princípios da lei ou os direitos dos titulares.

Marco Civil da Internet e LGPD: Tensões e Articulações

A relação entre o Marco Civil da Internet (Lei 12.965/2014) e a LGPD é uma das questões mais complexas do direito digital brasileiro contemporâneo, e a evolução jurisprudencial dos últimos anos tem revelado tensões que a legislação não conseguiu antecipadamente resolver. Embora as duas normas se complementem para garantir um ambiente digital mais seguro — o Marco Civil focando nos direitos dos usuários de serviços de internet e a LGPD tratando de forma abrangente a proteção de dados pessoais —, pontos de fricção emergem quando os regimes se sobrepõem ou quando seus princípios parecem apontar em direções divergentes.

O divisor de águas mais recente na tensão entre as duas normas foi a decisão do Supremo Tribunal Federal (STF) de 26 de junho de 2025, que reformulou a interpretação do artigo 19 do Marco Civil da Internet. Por oito votos a três, o Tribunal decidiu que plataformas digitais poderão ser responsabilizadas civilmente por danos causados por conteúdos gerados por usuários, inclusive sem ordem judicial prévia, em situações específicas que configurem circulação massiva de conteúdos ilícitos graves. A decisão, inspirada em legislações internacionais como o Digital Services Act (DSA) da União Europeia, introduzio os conceitos de "dever de cuidado" e "risco sistêmico", estabelecendo que, em caso de circulação massiva de conteúdos ilícitos graves, a plataforma será responsabilizada quando não promover a indisponibilização imediata de conteúdos que configurem crimes como ataques à democracia, terrorismo, incitação ao suicídio, discurso de ódio e crimes sexuais contra vulnerables.

A decisão do STF não resolve todas as tensões, mas representa uma resposta institucional firme em um cenário de omissão legislativa que se prolonga há anos. O artigo 19 do Marco Civil condicionava a responsabilização civil das plataformas à necessidade de ordem judicial prévia para remoção de conteúdos, uma regra que foi reinterpretada pelo Tribunal para admitir exceções em casos de gravidade extrema. A decisão reconhece que as plataformas têm um papel ativo na moderação de conteúdos e que sua omissão pode resultar em danos coletivos, especialmente quando se trata de redes coordenadas de desinformação. Contudo, abre espaço para riscos como o overblocking — bloqueios excessivos para evitar problemas futuros — e a autocensura por parte dos usuários por temor a serem sancionados.

As implicações da decisão para a LGPD são múltiplas. Primeiro, porque a responsabilidade das plataformas por moderação de conteúdos envolve necessariamente o tratamento de dados pessoais dos usuários, tanto dos que publicam conteúdo quanto dos que são afectados por ele. Segundo, porque as obrigações de transparência e segurança que a LGPD impõe aos controladores se intersectam com os novos deveres de cuidado estabelecidos pelo STF. Terceiro, porque a tensão entre liberdade de expressão e proteção de dados se torna mais complexa em um cenário em que as plataformas são chamadas a exercer julgamento sobre a legalidade de conteúdos, o que pode implicar tratamento de dados sensíveis (como orientação política ou religiosa, no caso de discurso de ódio). A ausência de legislação específica sobre plataformas digitais mantém o STF como principal definidor dos contornos dessa relação, o que gera incerteza jurídica e limita o debate público democratico sobre os limites e deveres das plataformas.

Responsabilidade Civil por Dados Pessoais: A Evolução Jurisprudencial do STJ

Em paralelo à decisões do STF sobre plataformas, o Superior Tribunal de Justiça (STJ) vem redefinindo os contornos da responsabilidade civil digital por violações de dados pessoais, consolidando critérios que aproximam direito, tecnologia e a realidade dos danos sofridos pelos titulares. A jurisprudência do tribunal tem reconhecido a responsabilidade objetiva dos controladores em determinados contextos, exigindo demonstração de culpa apenas para a fixação de valores indenizatórios, e tem ampliado o conceito de dano moral para cobrir situações de exposição indevida de dados que antes poderiam ser consideradas mero dissabor.

Essa evolução jurisprudencial preenche espaços que a LGPD não regulou expressamente, como os critérios para quantificação de danos morais decorrentes de violações de dados, a legitimidade ativa para ações coletivas em proteção de dados e a responsabilidade solidária entre controlador e operador em determinadas circunstâncias. Para os operadores jurídicos, a jurisprudência do STJ se tornou referência essencial na avaliação de riscos e na condução de casos envolvendo dados pessoais, especialmente em um contexto em que o número de ações cresce exponencialmente e as cortes têm sido llamadas a decidir questões para as quais não há legislação detalhada.

Inteligência Artificial e Proteção de Dados: O Desafio da Explicabilidade

A intersecção entre inteligência artificial e proteção de dados pessoais constitui um dos desafios mais complexos do direito digital contemporâneo, e a ANPD tem sinalizado atenção crescente a essa questão. A Agenda Regulatória 2025-2026 inclui o desenvolvimento de normativas sobre inteligência artificial e decisões automatizadas, e o Mapa de Temas Prioritários 2026-2027 prevê 20 ações de fiscalização relacionadas a IA com concentração em 2017. A Tomada de Subsídios sobre o projeto de normatização do tema Tratamento de Dados Pessoais Sensíveis — Dados Biométricos e a Nota Técnica nº 12/2025/CON1/CGN/ANPD sobre inteligência artificial e revisão de decisões automatizadas indicam que a regulamentação do artigo 20 da LGPD está em elaboração, devendo definir critérios para o grau de explicabilidade exigível por tipo de decisão.

O artigo 20 assegura ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado, e seu parágrafo segundo prevê que, em caso de recusa em fornecer informações sobre os critérios utilizados, a ANPD poderá realizar auditoria para verificação de aspectos discriminatórios — o único dispositivo de direito material da LGPD com essa previsão expressa. A questão central é como equilibrar a proteção efectiva do titular com a viabilidade operacional dos sistemas automatizados e com o segredo industrial das empresas que desenvolvem algoritmos de decisão. Sistemas de pontuação de crédito, triagem algorítmica de candidatos a emprego e recomendações médicas automatizadas operam com variáveis que podem parecer neutras, mas produzir efeitos sistematicamente desfavoráveis para determinados grupos, exigindo que o olhar regulatório se concentre no efeito discriminatório, independentemente da intenção do controlador.

A tensão entre explicabilidade algorítmica e proteção do segredo industrial permanece como ponto delicado a equacionar. De um lado, a transparência sobre os critérios utilizados é essencial para que os titulares possam exercer seu direito de revisão e identificar possíveis discriminações. De outro, a exposição completa dos algoritmos pode comprometer investimentos significativos em pesquisa e desenvolvimento e permitir que usuários manipulem os sistemas para obter vantagens indevidas. A regulamentação do artigo 20 deberá encontrar um ponto de equilíbrio que, provavelmente, variará conforme o impacto da decisão sobre o titular: decisões com maior potencial de dano (como negação de crédito, demissão ou diagnóstico médico) deverão exigir maior grau de explicabilidade do que decisões de menor impacto (como recomendações de conteúdo). Essa calibragem, se bem feita, pode equilibrar proteção efectiva do titular e viabilidade operacional dos sistemas automatizados, estabelecendo um padrão que seja exequivel para empresas de diferentes portes e em diferentes sectores.

Um estudo do Tribunal de Contas da União (TCU), publicado em agosto de 2025, aponta que, embora a LGPD represente um avanço importante, ela apresenta limitações para lidar com os impactos crescentes da IA, especialmente no que se refere à explicabilidade e à responsabilidade por decisões automatizadas. Essa constatação é relevante porque sinaliza que, no horizonte próximo, poderão ser necessárias alterações legislativas ou regulamentares para adaptar o marco legal brasileiro às realidades da IA generativa e dos sistemas de machine learning que já operam em larga escala no País. Enquanto isso não ocorre, a ANPD tem trabalhado com os instrumentos disponíveis, utilizando princípios como a não discriminação e a responsabilização para fundamentar exigências de conformidade em contextos de IA.

Dados Biométricos e o Interesse Público na Biometria

O tratamento de dados biométricos ocupa lugar de destaque nas prioridades da ANPD, que trabalha em futura norma específica para regulamentar critérios de bases legais, segurança da informação e governança no uso de biometria. A Nota Técnica nº 5/2025/FIS/CGF/ANPD, sobre dados biométricos de torcedores por clubes de futebol, representou um marco ao reafirmar que a coleta de dados biométricos sem base legal adequada configura violação ao princípio da segurança e ao artigo 11 da LGPD, que trata especificamente de dados sensíveis. A fiscalização de 2026 inclui o tratamento de dados biométricos no eixo de direitos dos titulares e no eixo de crianças e adolescentes, abrangendo desde sistemas de reconhecimento facial em estádios até aplicativos que coletam dados biométricos de crianças sem verificação adequada.

O uso de biometria pelo poder público — incluindo sistemas de reconhecimento facial em operações de segurança pública e cadastros biométricos para serviços públicos — levanta questões específicas sobre a relação entre proteção de dados e interesse público. A tensão entre a eficiência operacional dos sistemas de biometria e os riscos de vigilância massiva, erro algorítmico e concentração de dados sensíveis em bases públicas permanece sem resolução definitiva. A ANPD tem sinalizado que o uso de biometria pelo poder público está sujeito aos mesmos princípios e exigências da LGPD que se aplicam ao setor privado, o que inclui a necessidade de base legal específica, a elaboração de RIPD quando o tratamento gerar risco elevado, e a observância dos princípios de necessidade, proporcionalidade e finalidade. Contudo, a aplicação desses princípios a contextos de segurança pública envolve complexities que a regulamentação ainda não enfrentou de forma abrangente.

Contraponto: Limitações e Críticas ao Modelo Brasileiro de Proteção de Dados

Apesar dos avanços significativos, o modelo brasileiro de proteção de dados enfrenta críticas substantivas que merecem consideração. A primeira e mais recorrente refere-se à capacidade institucional da ANPD. Mesmo com a transformação em agência reguladora pela Lei 15.352/2026, a autoridade ainda opera com recursos muito inferiores aos de suas contrapartes europeias, o que levanta questões sobre sua capacidade de efetivamente fiscalizar as dezenas de milhares de organizações sujeitas à LGPD. Enquanto a autoridade alemã (BfDI) ou a francesa (CNIL) contam com centenas de servidores e orçamentos robustos, a ANPD permanece em dimensions que limitam sua capacidade de realizar fiscalizações de grande porte, especialmente quando se considera o universo de controladores que devem ser abrangidos.

Uma segunda crítica refere-se à assimetria de conformidade entre grandes empresas e pequenas e médias empresas (PMEs). Pesquisas indicam que, embora o percentual de empresas sem qualquer iniciativa de conformidade tenha caído para apenas 6%, apenas 36% das organizações brasileiras se consideram totalmente aderentes à LGPD, e uma grande parcela (43%) ainda está em fase de implementação. Mais alarmante: pesquisa do Sebraee em 2025 revela que, embora 80% dos pequenos empreendedores já tenham ouvido falar da LGPD, 77% ainda não tomaram nenhuma providência concreta para se adequar, e apenas 5% afirmam ter conhecimento aprofundado sobre o tema. Essa disparidade sugere que a conformidade está concentrada em grandes corporations que têm recursos para investir em governança de dados, enquanto o grosso do tecido empresarial brasileiro permanece em estágio inicial de adequação, expondo milhões de titulares a tratamentos de dados que não observam as garantias legais.

Uma terceira crítica, mais fundamental, questiona a própria lógica do modelo de enforcement baseado em sanções administrativas.Argumenta-se que a LGPD, ao prever multas de até 2% do faturamento limitadas a R$ 50 milhões por infração, cria incentivos desalinhados para empresas que processam volumes massivos de dados: se o valor esperado das sanções é menor que o retorno econômico do tratamento abusivo, a conformidade racionalmente não se justifica. Esse raciocínio, embora controverso, tem recebido atenção de economistas do comportamento e de especialistas em regulação, que sugerem que sanções mais elevadas ou mecanismos de compensação aos titulares poderiam criar incentivos mais efetivos para conformidade. A ANPD, contudo, tem Sinalizado que não pretende utilizar apenas sanções financeiras, investindo em mecanismos de persuasão e orientação que permitam a adequação progressiva de organizações que genuinamente buscam conformidade.

Outra vertente de crítica aponta para a limitada eficácia dos mecanismos de tutela individual frente a tratamentos de dados que afetam milhões de pessoas simultaneamente. A ação individual, embora seja o instrumento previsto na LGPD para defesa de direitos dos titulares, mostra-se inadequada para enfrentar padrões ilegais de tratamento que são reproduzidos em larga escala por controladores dominant in their markets. A tutela coletiva, por meio de ações civis públicas e procedimentos administrativos perante a ANPD, oferece caminhos mais promissores, mas sua efetividade depende de recursos e capacitação das entidades que podem proponê-las — um desafio que o ordenamento jurídico ainda não resolveu de forma satisfatória.

Perspectivas Futuras e Questões em Aberto

O futuro da proteção de dados no Brasil será definido pela forma como os desafios actualmente identificados serão enfrentados nos próximos anos. A regulamentação do artigo 20 da LGPD sobre decisões automatizadas, prevista para os próximos anos, establecerá parâmetros de explicabilidade que afetarão directamente o desenvolvimento e a operação de sistemas de IA no País. A norma sobre dados biométricos definirá os contornos do uso dessa tecnologia pelo poder público e pelo sector privado, estabelecendo um equilíbrio entre eficiência e proteção de direitos. A evolução do Marco Civil da Internet e a eventual aprovação de legislação específica sobre plataformas digitais afectarão a forma como a responsabilidade civil por conteúdos de terceiros se articula com a proteção de dados pessoais.

No plano institucional, a consolidação da ANPD como agência reguladora e o eventual preenchimento de vagas em seu Conselho Diretor determinerão a capacidade da autoridade de efetivamente implementar sua agenda de enforcement. A criação de carreira specialized para servidores da ANPD, prevista na Lei 15.352/2026, é um passo importante na direção de uma atuação técnica de longo prazo, mas sua concretização depende de gestos do poder executivo e do congresso nacional. A relação da ANPD com demais autoridades (como o Ministério da Justiça, o Tribunal Superior Eleitoral e o Banco Central, que também têm competências que intersectam com proteção de dados) continuará a ser objeto de coordenação e, eventualmente, de tensão, especialmente em áreas como fintechs, interoperabilidade de dados públicos e uso de biometria em elections.

O cenário internacional também continuará a influenciar o desenvolvimento do marco brasileiro. A decisão de adequação com a União Europeia facilita fluxos de dados com o viejo continente, mas não resolve questões com demais jurisdictions que não têm acordos de adequação com o Brasil. A evolução da regulação de IA na União Europeia (com o AI Act) poderá criar pressão para que o Brasil desenvolva normativa própria sobre o tema, sob risco de perder competitividade em mercados que exigem padrões elevados de proteção. A coordenação internacional entre autoridades de proteção de dados, que tem se intensificado nos últimos anos, também será relevante para o enfrentamento de violaçõess transfronteiriças que envolvam dados de brasileiros tratados por empresas located abroad.

Por fim, permanece em aberto a questão da educación digital da sociedade como um todo. Promover literacia digital significa equipar cidadãos com as ferramentas necessárias para compreender, criticar e se proteger dos fluxos massivos de informação a que estão submetidos diariamente. Esse esforço, que envolve políticas públicas de educação, apoio à pesquisa independente e regulação transparente, é condição necessária para que a proteção de dados deixe de ser uma questão exclusivamente jurídica para se tornar uma preocupação cultural difusa. O STF deu um passo importante ao reconfigurar a responsabilidade das plataformas, mas cabe ao Congreso, ao Executivo e à sociedade civil dar sequência a esse movimento com políticas públicas eficazes e vigilância permanente. A proteção de dados pessoais é, em última instância, uma questão de empoderamento do cidadão frente a organizaciones que detêm poder informacional crescente — e esse empoderamento só se materializa quando há consciência coletiva sobre o valor dos dados e sobre os direitos que a lei assegura para sua proteção.