top of page
Buscar

Lei Geral de Proteção de Dados Pessoais, Cinco Anos Depois (18/09/2025)

  • Foto do escritor: Oscar Valente Cardoso
    Oscar Valente Cardoso
  • 18 de set.
  • 5 min de leitura

Em 18 de setembro de 2025, a LGPD completa cinco anos de vigência (da maior parte de seus dispositivos).


A data importa por dois motivos:


Primeiro, porque encerra um ciclo de implantação que começou em 18/09/2020 e consolidou a proteção de dados como um direito fundamental no país, inclusive com a sua inclusão expressa no rol do art. 5º da Constituição.


Segundo, porque se atingiu a um novo patamar regulatório, com regras expressas e claras, sanções em funcionamento e parâmetros processuais que já orientam pedidos, provas e decisões (administrativas e judiciais).


'

Cinco Pontos que Mudaram o Jogo


  1. ANPD com autonomia e força regulatória: A transformação da Autoridade Nacional de Proteção de Dados (ANPD) em autarquia de natureza especial (MP nº 1.124//2022, convertida na Lei nº 14.460/2022) deu estabilidade institucional à agenda de proteção de dados e acelerou a edição de normas.

  2. Fiscalização e sanções - de promessa a prática: o Regulamento de Fiscalização e do Processo Administrativo Sancionador (Resolução CD/ANPD nº 1/2021) estruturou o "como" fiscalizar; o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD nº 4/2023) definiu os critérios para as multas e demais sanções administrativas. Em julho de 2023, a ANPD aplicou a primeira multa com base na LGPD, em um processo que combinou advertência e penalidades pecuniárias.

  3. Incidentes de segurança - regras e prazos objetivos: desde abril de 2024, o Regulamento de Comunicação de Incidente de Segurança (Resolução CD/ANPD nº 15/2024) exige que o controlador comunique a ANPD em até três dias úteis após tomar conhecimento de incidente que possa acarretar risco ou dano relevante, com a complementação de informações em até vinte dias úteis (e a contagem dos prazos em dobro para os agentes de tratamento de pequeno porte). Isso definiu parâmetros objetivos, redesenhou o fluxo de resposta a incidentes e o ônus probatório do controlador.

  4. Transferências internacionais - cláusulas-padrão e fim do período de graça: o Regulamento de Transferência Internacional (Resolução CD/ANPD nº 19/2024) trouxe as cláusulas-padrão contratuais (SCC) brasileiras. O período de adaptação terminou em 23/08/2025, logo, a transferência internacional depende da adoção das SCC ou de outro mecanismo aprovado.

  5. Poder Judiciário: no Judiciário, o Conselho Nacional de Justiça disciplinou a adequação dos tribunais à LGPD (Resolução nº 363/2021), o que padronizou as rotinas administrativas. No mérito, o STJ sinalizou dois entendimentos relevantes: (a) em 2023, afastou a existência de dano moral presumido em vazamento de dados pessoais não sensíveis, isto é, exigiu a prova do prejuízo (AREsp 2130619/SP, 2ª Turma, rel. Min. Francisco Falcão, j. 07/03/2023, DJEN 10/03/2023); (b) em maio de 2025, reconheceu a ocorrência de dano moral presumido quando os dados pessoais forem indevidamente disponibilizadas a terceiros (REsp 2187854/SP, 3ª Turma, rel. Min. Nancy Andrighi, j. 06/05/2025, DJEN 13/05/2025).



O Legado dos Primeiros Cinco Anos


Os primeiros cinco anos da LGPD foram marcados por um intenso processo de adaptação, aprendizado e, por vezes, de confrontos.


A ANPD, criada para fiscalizar e regulamentar a lei, deve desempenhar um papel essencial nesse percurso. A sua atuação, que se iniciou com um foco mais orientativo, tem gradualmente se tornado mais incisiva, com a publicação de resoluções, guias e, mais recentemente, com a aplicação de sanções administrativas.


Entre as principais conquistas e aprendizados desse período, destacam-se as seguintes:


• Aumento da Conscientização: A LGPD tirou a proteção de dados da obscuridade técnica e a trouxe para o debate público. Hoje, há uma maior conscientização por parte dos titulares sobre seus direitos e, por parte das empresas, sobre seus deveres e responsabilidades. Isso se reflete em um número crescente de solicitações de acesso, retificação e eliminação de dados, bem como em uma maior atenção aos avisos de privacidade e aos termos e condições de uso.


• Investimento em Governança e Segurança: As organizações foram impulsionadas a investir significativamente em programas de governança de dados e a implementar políticas internas, treinamentos para colaboradores e, fundamentalmente, a aprimorar as suas medidas de segurança da informação. A LGPD deixou claro que a segurança é um dever legal e um pilar da confiança digital.


• Desenvolvimento da Jurisprudência: Embora ainda em formação, a jurisprudência brasileira tem começado a solidificar entendimentos sobre temas importantes, como a responsabilidade civil por vazamento de dados, o que pode levar futuramente à elaboração de precedentes vinculantes. Casos notórios, mesmo anteriores à vigência plena da lei, já sinalizavam a preocupação do Judiciário com a proteção de dados pessoais (ainda que com a aplicação do Código de Defesa do Consumidor, do Marco Civil da Internet e de outras leis), e a LGPD veio para formalizar e intensificar essa tendência. A discussão sobre o dano moral "in re ipsa" em casos de vazamento de dados pessoais, por exemplo, é um reflexo direto dessa evolução.


• Regulamentação e Orientação da ANPD: A ANPD tem sido proativa na regulamentação de temas complexos, como a transferência internacional de dados, com a publicação de resoluções e outros atos normativos. Essa atuação é necessária para fornecer segurança jurídica e clareza às organizações que operam em um ambiente globalizado.



Megavazamentos e Gestão de Incidentes


Apesar dos avanços, os desafios persistem e se intensificam. Os megavazamentos de dados pessoais, por exemplo, continuam a ser uma ameaça constante e de grande impacto. A magnitude desses incidentes expõe não apenas milhões de titulares a riscos de fraude e violação de privacidade, mas também coloca em xeque a reputação e a solidez financeira das organizações. A prevenção, a resposta rápida e a responsabilização efetiva servem para mitigar esses riscos.


A gestão de incidentes de segurança, com o dever de comunicação à ANPD e aos titulares, é um dos pontos de atenção da LGPD. A forma como uma organização lida com um incidente – a agilidade na detecção, a transparência na comunicação e a eficácia nas medidas de mitigação – pode ser determinante para o desfecho legal e reputacional. A não conformidade com esses deveres pode resultar em sanções severas, além de agravar a responsabilidade civil da empresa.



O Futuro da Proteção de Dados Pessoais: Tendências Regulatórias e Tecnológicas


Olhando para os próximos cinco anos e além, o futuro da proteção de dados pessoais no Brasil será moldado por uma confluência de fatores. As tendências regulatórias apontam para uma ANPD cada vez mais atuante, com a intensificação da fiscalização, a regulamentação de temas pendentes e uma crescente convergência com normas internacionais.


A proteção de dados deixará de ser vista como um mero custo para as organizações e se consolidará como um diferencial competitivo, um ativo intangível que agrega valor e confiança.


No campo tecnológico, o desenvolvimento da inteligência artificial (IA), da Internet das Coisas (IoT) e das tecnologias de registro distribuído (blockchain) leva tanto a soluções inovadoras quanto a novos desafios para a privacidade e a proteção de dados.


A capacidade de processar grandes volumes de dados, de fazer inferências e de automatizar decisões exige uma reflexão profunda sobre a licitude, a transparência e a responsabilidade no uso dessas ferramentas. A LGPD deve ser o guia para garantir que a inovação tecnológica ocorra de forma responsável e respeitosa aos direitos fundamentais.



ree

Comentários

Formulário de Inscrição

Obrigado pelo envio!

©2020 por Oscar Valente Cardoso. Orgulhosamente criado com Wix.com

bottom of page