Em setembro de 2020, entrou em vigor a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD), um marco regulatório essencial para garantir a privacidade no Brasil. A legislação estabeleceu regras claras para coleta, uso e compartilhamento de dados pessoais nos setores público e privado, inaugurando uma cultura de conformidade até então inexistente no país.
Inspirada no GDPR (Regulamento Geral de Proteção de Dados Europeu), a LGPD foi elevada a direito fundamental pela Emenda Constitucional nº 115/2022, consolidando a proteção de dados como pilar da cidadania digital no Brasil.
Cinco anos depois, o que mudou?
Ao longo desses 5 anos, assistimos à formação e ao fortalecimento da Autoridade Nacional de Proteção de Dados (ANPD), essenciais para a efetividade da lei.
Originalmente vinculada à Presidência da República, a ANPD ganhou status de Autarquia de natureza especial, vinculada ao Ministério da Justiça, em 2022, e, em setembro de 2025, quando se completaram 5 anos de sua instituição, foi convertida em Agência, o que conferiu à entidade autonomia funcional, técnica, decisória, administrativa e financeira, consolidando-a como reguladora da proteção de dados no país.
Nesse período, a ANPD editou regulamentos importantes, como o processo de fiscalização e de dosimetria de penalidades; orientações sobre bases legais e regras específicas para agentes de pequeno porte; e a regulamentação da nomeação e o exercício das atividades do Encarregado de Dados (DPO).
Cumpre destacar, também, o crescimento da cultura de proteção e privacidade de dados no país, a partir da entrada em vigor da LGPD, em 2020. Ainda que a adaptação inicial tenha sido marcada por incertezas, observa-se crescente internalização dos princípios da LGPD (finalidade, adequação, necessidade, segurança, responsabilização e prestação de contas) como parâmetros de conduta nas organizações, e pesquisas indicam que a maioria dos brasileiros está mais preocupada com o uso de seus dados.
Empresas privadas e entes públicos passaram a incorporar práticas como mapeamento de dados, elaboração de relatórios de impacto e implementação de políticas de privacidade mais transparentes, aumentando investimentos em compliance. E a figura do Encarregado de Dados (DPO) ganhou relevância institucional, assumindo papel estratégico na governança corporativa.
Paralelamente, verificou-se um crescimento na fiscalização da conformidade legal e consequente judicialização de questões relativas ao tratamento de dados pessoais.
Nos últimos anos, a ANPD intensificou a aplicação de sanções administrativas por violações ou infrações à Lei, reforçando sua efetividade. No mesmo passo, o Poder Judiciário tem construído jurisprudência relevante sobre danos morais, dever de transparência, e responsabilidades por tratamento indevido de dados, incidentes de segurança e vazamentos.
Em 2023, a ANPD deixou claro que a fase educativa da sua atuação estava caminhando para o fim. A Resolução CD/ANPD nº 4/2023 definiu critérios para aplicação de sanções administrativas previstas na LGPD, incluindo: Multas de até 2% do faturamento bruto anual da organização, limitadas a R$50 milhões por infração; Publicização da infração; e Bloqueio ou eliminação de dados pessoais.
Em 2024, foram publicadas as Resoluções CD/ANPD nº 15/2024 e CD/ANPD nº 18/2024, regulamentando a comunicação de incidentes de segurança e a atuação do Encarregado de Dados (DPO), respectivamente, reforçando a importância da transparência e da governança de dados, abrindo caminho para o avanço da fiscalização.
Os anos de 2024 e 2025 foram marcados por notificações a empresas por falhas nas operações de tratamento de dados, tais como: (i) ausência de Encarregado de Dados (DPO); e (ii) falta de canais de comunicação com os titulares de dados.
Entre as empresas notificadas estavam grandes nomes como: TikTok, Uber, Vivo, Dell e Serasa (Fonte: ANPD).
Apesar dos avanços, o aprimoramento da cultura de proteção e privacidade de dados pessoais ainda enfrenta alguns desafios como: (i) inconsistências interpretativas sobre as bases legais para o tratamento de dados; (ii) dificuldade de adequação por pequenos negócios, mesmo com regime diferenciado; (iii) necessidade de compatibilização e alinhamento com leis setoriais, como o Marco Civil da Internet e normas relativas à saúde; (iv) lacunas legislativas sobre temas como inteligência artificial; (v) baixa popularidade da Lei: estima-se que menos da metade da população conhece a LGPD, apesar da alta preocupação com privacidade.
O que vem pela frente?
Nos próximos anos, a tendência é o fortalecimento institucional da ANPD, agora consolidada como Agência, o que deve impulsionar a fiscalização do cumprimento da LGPD e a padronização interpretativa por meio de guias e regulamentos. Além disso, espera-se uma integração cada vez maior da LGPD com tendências globais, como Inteligência Artificial (IA), cibersegurança e transferência internacional de dados, exigindo das organizações um nível superior de adaptação e governança.
A expansão da educação digital e da governança corporativa baseada na segurança e proteção de dados pessoais também é uma tendência e um desafio comum às corporações e aos entes públicos, uma vez que, segundo pesquisas mais recentes, apenas cerca de um terço das organizações privadas que operam no Brasil estão adequadas ao regramento legal estabelecido pela LGPD (Fonte: ABEPD – Associação Brasileira de Empresas para Proteção de Dados, em estudo publicado em 2023.)
A ANPD vem intensificando sua atuação nos últimos anos, consolidando a aplicação da Lei Geral de Proteção de Dados (LGPD) no Brasil. Se, em 2023, vieram os primeiros processos administrativos fiscalizatórios, e, em 2024 e 2025 as primeiras notificações e decisões relevantes relacionadas às falhas no tratamento de dados pessoais, o ano de 2026 promete um cenário ainda mais rigoroso para entidades que não aderirem às exigências legais.
A expectativa é que a ANPD direcione seu foco de atuação para os dados de crianças e adolescentes; inteligência artificial e reconhecimento facial. É esperado, ainda, que pequenas e médias empresas também sejam alvo de sanções que, como visto, podem impactar severamente suas finanças e sua reputação.
Neste cenário, o marco de 5 anos revela uma transição: de orientação para responsabilização, com impactos jurídicos e econômicos duradouros.
Sua empresa está preparada para essa nova fase ou corre o risco de ficar para trás e assistir à concorrência avançar?
Por Marina Cabral Lima Alves, advogada e consultora, especialista na Lei Geral de Proteção de Dados Pessoais (LGPD), na Silva Vitor, Faria & Ribeiro Advogados.