Avanços e desafios sete anos após a promulgação da LGPD

Introdução

Promulgada em 14/8/18, a lei Federal 13.709, conhecida como LGPD, representa um marco regulatório fundamental para o Brasil, inserindo o país no rol de nações com legislação específica para a proteção da privacidade e dos dados dos seus cidadãos.

Inspirada no Regulamento Geral sobre a Proteção de Dados europeu, a LGPD estabeleceu um novo paradigma para o tratamento de informações pessoais por agentes de tratamento públicos e privados. Transcorridos sete anos de sua publicação, o presente artigo tem por objetivo analisar a trajetória de implementação da lei, destacando os avanços consolidados e os desafios persistentes em seu ecossistema de aplicação. A análise discutirá, ainda: a efetividade da garantia dos direitos dos titulares; a atuação da ANPD - Autoridade Nacional de Proteção de Dados; a consolidação da aplicação da LGPD pelos tribunais; as especificidades da proteção de dados de crianças e adolescentes; os esforços de adequação dos entes públicos; e, por fim, os desafios impostos pelas novas tecnologias, como a inteligência artificial.

1. A garantia dos direitos dos titulares

Um dos avanços mais significativos da LGPD foi o empoderamento do cidadão, que passou de mero objeto a sujeito de direitos no que tange às suas informações pessoais. A lei assegura um rol de prerrogativas, como o acesso facilitado aos dados, a retificação de informações incorretas, o direito de requisição para solicitar esclarecimentos, o bloqueio ou a eliminação de dados desnecessários, entre outros constantes nos arts. 9º, 18 e 20 da LGPD. Além disso, diversas entidades de defesa dos direitos do titular de dados vêm ganhando destaque em âmbito nacional, participando de espaços públicos de consulta à sociedade, tal como o Conselho Nacional de Proteção de Dados Pessoais, e militando pelo cumprimento dos direitos do titular por empresas, órgãos públicos e todos os tipos de controladores de dados pessoais. É de se destacar que já se observam atores públicos e privados, especialmente aqueles de grande porte, que investiram na criação de canais de atendimento ao titular, na nomeação do DPO - Encarregado de Proteção de Dados e na revisão de seus avisos/políticas de privacidade para conferir maior transparência às suas operações.

Contudo, a materialização desses direitos ainda enfrenta obstáculos. Agentes de tratamento de menor porte encontram dificuldades financeiras e técnicas para implementar estruturas de governança robustas. No setor público, embora se note um esforço na adequação, a burocracia, a complexidade dos sistemas legados e uma cultura organizacional avessa à inovação retardam a plena conformidade, resultando, por vezes, em respostas morosas ou inadequadas às solicitações dos titulares.

Apesar disso, a LGPD inaugurou uma cultura de privacidade, elevando a conscientização da população sobre o valor de seus dados e a importância de protegê-los.

2. A atuação da ANPD - Autoridade Nacional de Proteção de Dados

A ANPD é a estrutura de sustentação do sistema de proteção de dados pessoais brasileiro. Sua transformação em autarquia de natureza especial, em 2022, conferiu-lhe a autonomia técnica e decisória indispensável para o exercício de suas funções. A atuação da Autoridade pode ser dividida em três eixos principais.

No eixo regulatório, a ANPD tem se destacado pela produção de um arcabouço normativo essencial, publicando regulamentos sobre diversos aspectos da LGPD, tais como: o tratamento de dados por agentes de tratamento de pequeno porte, a dosimetria das sanções, a atuação do encarregado de dados e o processo de comunicação de incidentes de segurança. Sua abordagem, pautada no diálogo com a sociedade por meio de consultas públicas, tem sido elogiada por buscar um equilíbrio entre a proteção de direitos e o fomento à inovação. É possível acessar todos os normativos já publicados pela Autoridade¹.

No eixo sancionatório, a atuação da ANPD, embora iniciada de forma gradual e pedagógica, tornou-se mais robusta. A aplicação das primeiras sanções administrativas serviu como um importante sinalizador para o mercado sobre a seriedade da lei e a necessidade de conformidade. Conforme informações disponibilizadas publicamente pela ANPD em seu portal², entre os 7 processos administrativos sancionatórios já concluídos, 6 referem-se a aplicação de sanções a órgãos e entidades públicos. Importante destacar que a conclusão do processo não significa que todos foram sancionados, é possível que o processo tenha sido arquivado sem aplicação de penalidades. Sabe-se que há outros processos sancionatórios em andamento, mas até o presente momento, apenas estes foram disponibilizados publicamente.

No eixo fiscalizatório, dezenas de processos de fiscalização estão em andamento, conforme informação disponibilizada publicamente no portal da ANPD³. Diversas empresas constam listas, inclusive grandes atores da área de tecnologia, telecomunicação, instituições financeiras e as chamadas "big techs". A fiscalização, contudo, permanece um grande desafio, dada a dimensão continental do Brasil e a capilaridade do tratamento de dados em todos os setores da economia e do governo.

Embora a Autoridade tenha realizado recente seleção pública para contratação por tempo determinado, de forma a fortalecer sua estrutura administrativa⁴, ainda há uma estrutura muito enxuta em termos de questões administrativas, financeiras, tecnológicas e de recursos humanos, limitando o alcance da sua atuação fiscalizatória. A capacidade de auditar e investigar em larga escala ainda é um ponto que demanda fortalecimento institucional e tecnológico.

3. A jurisprudência sobre a LGPD nos Tribunais Superiores

O Poder Judiciário tem desempenhado um papel crucial na interpretação e aplicação da LGPD. Embora a matéria ainda esteja em fase de maturação nos tribunais superiores, algumas diretrizes já se delineiam.

O STJ tem sido provocado a se manifestar em casos envolvendo, principalmente, vazamentos de dados e o compartilhamento não autorizado de informações, frequentemente dialogando com as disposições do CDC. As decisões têm reforçado que a ocorrência de um incidente de segurança, por si só, pode gerar o dever de indenizar, atraindo o entendimento de que se trata de dano presumido, semelhante ao que ocorre no Direito do Consumidor. No julgamento do REsp 2.121.904 / SP (2024/0031292-7), a 3ª turma do STJ reconheceu que o vazamento de informações sensíveis, o que incluiria dados pessoais, de saúde, financeiros e familiares, configura dano moral presumido. O caso, relatado pela ministra Nancy Adrighi, tratou de incidente de segurança envolvendo a Prudential, decorrente de um ataque cibernético que comprometeu parte da base de dados dos clientes que foi comunicado pela própria seguradora. A decisão do STJ trouxe um precedente de que, mesmo na ausência de culpa exclusiva da empresa, a mera ocorrência do vazamento, dada a natureza das informações coletadas para avaliação dos riscos, impõe a obrigação de indenizar pelos danos morais.

O STF, por sua vez, ao reconhecer o direito à proteção de dados como um direito fundamental autônomo, interpretando em diversos julgados a aplicação da EC 115/22, que inseriu no rol do art. 5º da Constituição o direito à proteção de dados pessoais, elevou o patamar de proteção e forneceu uma base constitucional sólida para a aplicação rigorosa da LGPD. A jurisprudência, portanto, caminha para consolidar a proteção de dados como um elemento indissociável da dignidade da pessoa humana na era digital.

Por fim, conforme divulgado em recente pesquisa apresentada pela professora Laura Schertel, "havia poucos casos (relacionados à LGPD) e eles não citavam a lei de uma forma isolada, mas junto com o CDC e com o CC. Hoje, analisando o quarto ano de vigência da Lei Geral de Proteção de Dados, já temos mais de 15 mil casos que citam a lei de forma substancial e relevante na decisão". Dessa forma, os Tribunais vêm avançando na aplicação da LGPD, descolando a interpretação desta legislação de outras já postas, com a possível consolidação do dano presumido nas jurisprudências.

4. Proteção de dados pessoais de crianças e adolescentes

A LGPD dedica uma seção específica à proteção de dados de crianças e adolescentes, estabelecendo que todo tratamento deve ocorrer em seu melhor interesse e mediante consentimento específico e em destaque dado por, pelo menos, um dos pais ou pelo responsável legal, nos termos do art. 14 da lei. Importante destacar que, de acordo com o enunciado CD/ANPD 1, de 22/5/23, o tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base em todas as hipóteses legais previstas no art. 7º ou no art. 11 da LGPD, desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto. Assim, outras bases legais são cabíveis, devendo o consentimento dos pais ou responsáveis ser coletado apenas quando o consentimento for a hipótese legal cabível.

Este é um dos maiores desafios práticos da lei. Em ambientes digitais, como plataformas de jogos, redes sociais e aplicativos educacionais, a verificação da idade e a obtenção de um consentimento parental válido são tarefas complexas. A exploração comercial de dados desse público, como a criação de perfis para publicidade direcionada, é expressamente vedada, mas sua fiscalização é intrincada. A ANPD tem sinalizado a prioridade do tema em sua agenda regulatória, buscando criar diretrizes que auxiliem os agentes de tratamento a navegar nessa área sensível, de forma a garantir um ambiente digital mais seguro para o público infanto-juvenil. Contudo, ainda há muitas dificuldades que precisam ser superadas.

Conclui-se este tópico com a recente aprovação do PL 2.628/25, que está sendo chamado informalmente de "ECA digital". Entre outros dispositivos, o projeto de lei determina a vedação aos chamados "loot boxes" nos videogames. Contudo, não vai ser fácil para a autoridade responsável pela proteção dos direitos das crianças e adolescentes no ambiente digital aplicar esse dispositivo. Isso porque as chamadas "caixas de recompensa" variam muito de jogo para jogo, e a depender do modelo de negócio, podem ou não ser caracterizadas como um tipo de jogo de azar. No artigo "Loot Boxes nos Jogos Eletrônicos no Brasil", publicado em 2022 na coletânea de artigos "Proteção de Dados e Tecnologia: Estudos da Pós-Graduação em Direito Digital" pelo Instituto de Tecnologia e Sociedade (ITS Rio), discuto alguns elementos dessa conhecida estratégia do mundo "gamer", à luz do ECA, do CDC e da legislação penal. É possível acessar o artigo⁵.

5. A preparação dos órgãos públicos

A adequação do setor público à LGPD é um processo lento e multifacetado. O Estado é o maior detentor e tratador de dados pessoais no país, manuseando desde informações fiscais e previdenciárias até prontuários de saúde e dados de matrícula de crianças em escolas. O desafio reside não apenas na adequação de processos e sistemas, mas também na complexa ponderação entre o direito à proteção de dados e outros princípios constitucionais, como a publicidade e a transparência, regidos pela LAI - Lei de Acesso à Informação.

É possível identificar alguns progressos, como a nomeação de encarregados na maioria dos órgãos e entidades federais e a criação de comitês de governança de dados. Todavia, em muitos governos estaduais e municipais ainda não se encontram claramente os dados de contato e a identidade do encarregado de dados, especialmente para os municípios com menor estrutura administrativa.

Ainda, outro desafio colocado é para que as jornadas do cidadão nos serviços e políticas públicas sejam concebidas desde sua origem com a privacidade em mente (privacy by design), e exige investimentos contínuos em tecnologia, capacitação de servidores e mudança cultural, que estão distantes de ocorrerem de forma adequada em todos os Poderes, para todos os níveis de governo. Por fim, lidar com a adequação dos sistemas legados à LGPD é um desafio ainda mais complexo para atores públicos, uma vez que existem limitações orçamentárias, administrativas e financeiras que dificultam a atualização de tais sistemas, especialmente nos governos municipais de estrutura mais enxuta.

Conclusão

Sete anos após sua publicação, o balanço da LGPD no Brasil é majoritariamente positivo, embora permeado por desafios significativos. Os avanços são inegáveis: a consolidação de uma cultura de proteção de dados, o fortalecimento do cidadão como titular de seus direitos, a estruturação e atuação diligente da ANPD e a progressiva formação de uma jurisprudência protetiva. A lei efetivamente alterou a maneira como organizações, públicas e privadas, enxergam e lidam com informações pessoais.

Contudo, os desafios futuros exigem atenção redobrada, especialmente no que tange à interseção da proteção de dados com tecnologias emergentes. A ascensão da IA - inteligência artificial generativa e de sistemas de decisão automatizada impõe novas e complexas questões: Como garantir a transparência de algoritmos que tratam dados pessoais em larga escala? Qual a base legal para o treinamento de modelos de IA com vastos conjuntos de dados? Como assegurar que as decisões automatizadas não sejam discriminatórias e como garantir o direito à revisão previsto na lei?

A regulação da IA, atualmente em debate no Congresso Nacional, deverá necessariamente dialogar com os princípios da LGPD. Proteger os dados pessoais dos usuários nesse novo cenário tecnológico demanda um esforço contínuo de aprimoramento regulatório, fiscalização eficaz e um compromisso ético de desenvolvedores e operadores, a fim de que a inovação tecnológica caminhe em harmonia com a salvaguarda dos direitos fundamentais. A jornada da proteção de dados no Brasil está longe de terminar; ela apenas se torna mais complexa e indispensável a cada avanço tecnológico.

____________

1 https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/atos-normativos/atos-normativos

2 https://www.gov.br/anpd/pt-br/assuntos/fiscalizacao-2/saiba-como_fisalizamos?_authenticator=b05dbbec15247ce4c8b7065d588ef945f6d4d340

3 https://www.gov.br/anpd/pt-br/assuntos/fiscalizacao-2/saiba-como_fisalizamos?_authenticator=b05dbbec15247ce4c8b7065d588ef945f6d4d340

4 https://www.gov.br/anpd/pt-br/assuntos/noticias/publicado-edital-do-concurso-para-contratacao-de-servidores-por-tempo-determinado

5 https://itsrio.org/wp-content/uploads/2022/06/Livro-Protecao-de-Dados-e-Tecnologia.pdf.