Em 18 de setembro de 2025, a LGPD, lei 13.709/18, completa cinco anos de vigência, um marco que convida à reflexão sobre sua trajetória e impacto no Brasil. A adoção da LGPD representa o ápice no Brasil de um movimento global e nacional em defesa da privacidade, alinhando o País às mais avançadas tendências internacionais, notadamente o GDPR - Regulamento Geral de Proteção de Dados da União Europeia. Fruto de uma intensa articulação multissetorial e do empenho da sociedade civil, a lei nasceu da necessidade de responder a uma sociedade cada vez mais digitalizada e orientada por dados.
A LGPD vem buscando se tornar um catalisador de uma nova cultura de proteção de dados no Brasil, redefinindo as relações entre cidadãos, empresas e o Estado, empoderando os indivíduos com o controle sobre suas informações, impondo novas responsabilidades às organizações e fortalecendo o arcabouço regulatório nacional.
A LGPD "pegou"? O balanço de meia década de cultura de privacidade
Após um período de maturação, o consenso entre especialistas é afirmativo: a LGPD "pegou" no Brasil. A legislação vem produzindo impactos profundos e mobilizando organizações em todo o País, sendo um dos avanços mais significativos a elevação da proteção de dados pessoais ao status de direito fundamental constitucional, por meio da EC 115 de 2022.
É inegável também que a LGPD contribuiu para uma maior conscientização dos cidadãos sobre a importância e o valor de seus dados pessoais. Um claro indício dessa mudança cultural é o aumento expressivo no número de ações judiciais que discutem a aplicação da lei, o número de decisões que citam a LGPD mais que dobrou em um ano, passando de aproximadamente 7 mil para quase 16 mil, entre 2023 e 2024, conforme o estudo do 4ª edição do Painel LGPD nos Tribunais, iniciativa do Privacy Lab do CEDIS/IDP em parceria com o Jusbrasil, que demonstra que o tema se tornou onipresente no cotidiano jurídico e social.
Nos últimos 7 anos, surgiu um mercado de trabalho aquecido para profissionais especializados, como os DPOs - Encarregados de Proteção de Dados, consultores e advogados focados em privacidade, profissões que antes eram de nicho e hoje são essenciais para a estratégia corporativa.
Progressivamente, a adequação à LGPD passou a ser vista como um diferencial competitivo e um pilar para a construção de confiança com consumidores, parceiros e colaboradores. Em uma economia digital, a transparência e o respeito à privacidade são ativos valiosos, capazes de fortalecer a reputação e a sustentabilidade dos negócios a longo prazo.
Apesar dos avanços, a absorção cultural da importância da privacidade ainda não se traduziu completamente em aplicação técnica e jurídica aprofundada, a internalização das suas regras nos processos do dia a dia e na argumentação jurídica ainda é um campo em desenvolvimento. Para que o ambiente de proteção de dados se torne verdadeiramente sustentável, é necessário um investimento contínuo em educação digital para toda a sociedade e na consolidação de uma cultura de privacidade efetiva nos setores público e privado.
Entendendo seus direitos: você é o dono da informação
A principal revolução promovida pela LGPD foi colocar o cidadão no centro do tratamento de dados, conferindo-lhe a titularidade e o controle sobre suas próprias informações. A lei empoderou os indivíduos, assegurando-lhes um conjunto de direitos fundamentais que funcionam como uma verdadeira carta de direitos na era digital. Conhecer esses direitos é o primeiro passo para se proteger e exigir que empresas e órgãos públicos atuem com transparência e responsabilidade.
Essa carta de direitos demonstra um caráter amplo da lei, tais como direito à confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos; portabilidade dos dados; eliminação dos dados tratados com o consentimento; informação sobre o compartilhamento de dados; informação sobre a possibilidade de não fornecer consentimento; revogação do consentimento e revisão de decisões automatizadas.
Portanto, as organizações precisam ter um canal aberto de comunicação dos cidadãos para pleitear esses direitos e especialmente falar facilmente com o DPO - Encarregado de Proteção de Dados.
Como exercer seus direitos?
Saber dos direitos não basta; é preciso saber como exercê-los. O processo é estruturado para ser acessível, mas requer alguns passos importantes. O ponto de partida é sempre a organização que trata seus dados. A LGPD obriga as empresas a manterem um canal de comunicação claro e acessível para atender às solicitações dos titulares. A gestão desse canal é de responsabilidade do DPO - Encarregado de Proteção de Dados, cujo contato deve ser facilmente encontrado nos sites e políticas de privacidade da empresa. Faça sua solicitação por escrito (e-mail, formulário no site) para ter um registro, contendo sua identificação, o direito que você está pleiteando e o máximo de detalhes para ajudar a empresa a localizar seus dados.
A lei estabelece prazos para as empresas responderem. Para solicitações de confirmação de existência de tratamento ou acesso a dados em formato simplificado, a resposta deve ser imediata. Para uma declaração completa, que detalha a origem dos dados e a finalidade do tratamento, o prazo é de até 15 dias a partir da data do requerimento.
Se a empresa não responder no prazo, negar seu direito sem uma justificativa legal válida ou fornecer uma resposta insatisfatória, você pode escalar a questão para a ANPD - Autoridade Nacional de Proteção de Dados. Isso é feito por meio de uma "Petição de Titular", um formulário online disponível no website da ANPD, onde você relata o ocorrido e anexa as provas de sua tentativa de contato com o controlador dos seus dados.
Independentemente da via administrativa junto à ANPD, o cidadão sempre pode recorrer ao Poder Judiciário para fazer valer seus direitos, especialmente caso o cidadão entenda que a suposta violação de dados causou algum tipo de dano, seja ele moral ou material.
O panorama da adequação empresarial
A jornada de adequação do setor privado à LGPD revela um cenário de avanços significativos, mas também de profundas desigualdades. Dados do estudo IT Trends Snapshot 2023 mostravam que, embora o percentual de empresas sem qualquer iniciativa de conformidade tivesse caído drasticamente para apenas 6%, só 36% das organizações brasileiras se consideravam totalmente aderentes à lei. Uma grande parcela (43%) ainda estava em fase de implementação.
Esse panorama heterogêneo é ainda mais acentuado quando se analisa o porte das empresas. Grandes corporações, especialmente as Big Techs e empresas do setor de serviços, que lidam com um volume massivo de dados, foram as que mais investiram e avançaram em seus programas de governança. Em contrapartida, as PMEs - pequenas e médias empresas enfrentam um desafio muito maior. Uma pesquisa realizada pelo Sebrae em 2025 é alarmante: embora 80% dos pequenos empreendedores já tenham ouvido falar da LGPD, 77% ainda não tomaram nenhuma providência concreta para se adequar, e só 5% afirmam ter um conhecimento aprofundado sobre o tema.
Ao ser forçada a mapear seus fluxos de dados, identificar vulnerabilidades e treinar suas equipes, uma empresa está, na prática, otimizando sua operação, fortalecendo sua segurança cibernética e desenvolvendo uma cultura de responsabilidade. Portanto, a jornada de conformidade com a LGPD é, intrinsecamente, uma jornada de aprimoramento da governança e da resiliência do negócio, um benefício que vai muito além de evitar multas.
A evolução da ANPD
A trajetória da ANPD é um reflexo do amadurecimento da própria LGPD no Brasil. Sua criação passou por um período de incertezas até a nomeação de seu primeiro Conselho Diretor em novembro de 2020. Alcançou sua consolidação com a transformação em autarquia de natureza especial em outubro de 2022, o que lhe conferiu maior autonomia administrativa e financeira para exercer suas funções.
Desde então, a ANPD tem se mostrado uma autoridade ativa e estratégica, além de atuar na fiscalização, tem trabalhado muito o pilar educativo com a publicação de uma série de guias orientativos, checklists e notas técnicas sobre temas complexos, como o uso de legítimo interesse, o tratamento de dados de crianças e adolescentes e a atuação do DPO.
As punições estão funcionando?
A LGPD prevê um vasto leque de sanções administrativas, que vão desde uma simples advertência até multas que podem chegar a 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração, além de medidas mais drásticas como o bloqueio ou a eliminação dos dados e a proibição parcial ou total da atividade de tratamento. A análise das ações da ANPD até agora revela uma estratégia de fiscalização deliberada e progressiva, que busca além da punição, o fortalecimento da cultura de privacidade para educar o mercado.
A ANPD começou por um caso simbólico, de menor porte, para testar seus procedimentos e sinalizar sua atuação, o caso Telekall, em julho de 2023, aplicando sua primeira sanção a uma microempresa de telemarketing. As infrações incluíam o tratamento de dados sem base legal (oferta de listas de contatos de eleitores), a ausência de um DPO e a falta de colaboração com a fiscalização. A penalidade combinou uma advertência e duas multas simples, totalizando R$14,4 mil à época.
Em seguida, avançou sobre o setor público, utilizando sanções não monetárias de alto impacto reputacional. Em 2024, a ANPD sancionou mais instituições públicas, que por não estarem sujeitas a multas, tiveram aplicadas penalidades de advertência, medidas corretivas e publicização da infração. As violações envolviam falhas graves de segurança que expuseram dados de saúde de menores e a não comunicação de incidentes aos titulares, dentre outras.
Finalmente, consolidou sua estratégia com ações de monitoramento em massa, focadas nos maiores players do mercado. No final de 2024, a ANPD iniciou um processo de fiscalização em massa contra 20 empresas de grande porte, incluindo gigantes da tecnologia e de serviços como TikTok, Uber, Serasa e Vivo. O foco da ação foi a ausência de um DPO nomeado ou de um canal de comunicação eficaz com os cidadãos - um requisito básico da lei.
Autoproteção digital para o cidadão
A LGPD fornece o arcabouço legal e os direitos, mas a primeira linha de defesa da privacidade começa com as atitudes e práticas cotidianas do próprio cidadão. Adotar uma postura de "higiene digital" é fundamental para minimizar riscos em um ambiente online cada vez mais complexo.
As práticas essenciais de autoproteção incluem a proteção de contas com senhas robustas, evitando sequências óbvias, datas de aniversário ou informações pessoais. Utilize senhas longas, com uma mistura de letras maiúsculas e minúsculas, números e símbolos, assim como use uma senha diferente para cada serviço online.
Em todos os serviços que oferecem a autenticação multifator, como e-mail, redes sociais e aplicativos bancários, ative a funcionalidade, que é uma das medidas mais eficazes para proteger suas contas, pois adiciona uma camada extra de segurança, exigindo um segundo código (geralmente enviado para o seu celular) além da senha.
Cuidado com a engenharia social, não clique em links recebidos, desconfie sempre de e-mails, SMS ou mensagens de WhatsApp com links suspeitos, ofertas mirabolantes ou que peçam seus dados pessoais e senhas. Os criminosos se utilizam do phishing, uma técnica em que se passam por empresas ou pessoas confiáveis para enganar e roubar suas informações.
Redes Wi-Fi abertas (em aeroportos, cafés, shoppings) são convenientes, mas inseguras. Por isso, evite realizar transações financeiras ou acessar informações sensíveis quando estiver conectado a elas.
Não se esqueça das atualizações de sistemas operacionais, navegadores e aplicativos, que frequentemente contêm correções para falhas de segurança. Manter tudo atualizado é uma forma simples de se proteger contra vulnerabilidades já conhecidas por criminosos.
Tomando decisões conscientes: resista
Além das barreiras técnicas, a proteção de dados envolve uma postura ativa e consciente sobre as informações que compartilhamos, ou seja, precisamos criar a cultura de resistência aos nossos compartilhamentos desenfreados de dados pessoais.
Ao instalar um novo aplicativo, não aceite as permissões de forma automática. Procure entender antes se as permissões são estritamente necessárias para o funcionamento do app. Vale a pena ser seletivo nas políticas de privacidade para entender para qual finalidade seus dados serão usados e se serão compartilhados com terceiros. Da mesma forma, ao navegar em sites, você tem o direito de gerenciar e recusar cookies1 que não sejam essenciais, diminuindo o rastreamento do seu comportamento online.
Por fim, resista a tentação de sair compartilhando dados pessoais em qualquer lugar. Pense duas vezes antes de postar, pois informações compartilhadas publicamente podem permanecer online para sempre e ser usadas de formas que você não previu. Revise as configurações de privacidade de seus perfis para limitar quem pode ver suas publicações e evite expor dados estratégicos, como endereço, documentos pessoais, rotinas ou informações sobre seus filhos.
Rumo aos próximos 5 anos
A LGPD cria o ambiente legal para a cidadania digital, mas ela só se concretiza quando o indivíduo combina a higiene digital pessoal com o exercício de seus direitos junto às organizações.
Um cidadão que entende os riscos do phishing e prática a segurança individual alimenta um ciclo virtuoso que fortalece toda a cultura de proteção de dados no país, pois a eficácia da LGPD depende do seu uso. Conhecer seus direitos, entender como seus dados são tratados e acionar os canais adequados, seja junto às próprias organizações ou à ANPD é o que fortalece verdadeiramente o sistema.
As empresas precisam avançar, ainda mais, na adequação à LGPD, pois não é um projeto com início, meio e fim, mas um processo contínuo de governança, aprimoramento e adaptação. A privacidade e a proteção de dados devem ser encaradas como um investimento estratégico em confiança, reputação e sustentabilidade.
Os próximos cinco anos serão dominados por desafios ainda mais complexos. A regulação da inteligência artificial exigirá um equilíbrio sofisticado entre inovação e a proteção contra vieses e opacidade algorítmica. A universalização da conformidade, especialmente para as pequenas e médias empresas, demandará políticas de fomento e soluções acessíveis. E a contínua educação digital de toda a população seguirá sendo a base para que os direitos não existam apenas no papel, mas sejam vividos na prática.
________
1 Arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas, segundo o Guia orientativo Cookies e proteção de dados pessoais, publicado pela ANPD em outubro de 2022.