LGPD - Os 7 anos que mudaram a Proteção de Dados no Brasil

Há exatos 7 anos, a Lei Geral de Proteção de Dados Pessoais (LGPD) era aprovada e sancionada. Sua trajetória foi marcada por intensos debates e diversas idas e vindas entre o Legislativo e o Executivo. Até mesmo a sua denominação gerou controvérsias, resolvidas apenas com a conversão da MP 869/2018 em lei, que formalizou seu nome atual.

Ainda há muito a avançar para que a LGPD atinja todo o seu potencial – basta observar quantos esclarecimentos ainda são necessárias para detalhar dispositivos com redação aberta. Mesmo assim, é inegável que a lei inaugurou uma nova cultura de proteção de dados no Brasil, transformando o cenário jurídico e corporativo em relação ao tratamento de dados pessoais.

Inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, a LGPD incorporou princípios fundamentais para garantir a privacidade e a autodeterminação informativa dos titulares. Ao mesmo tempo, impôs a organizações públicas e privadas a adoção de práticas transparentes, seguras e responsáveis no uso de dados pessoais.

A construção dessa lei foi longa. A primeira consulta pública sobre o anteprojeto ocorreu em 2010, sob coordenação do Ministério da Justiça, mas a aprovação do PL 4060/2012 pelo Congresso e sanção presidencial só se concretizaram em 2018.

O número 7 sempre despertou fascínio – presente em tradições religiosas, ciclos naturais e até em descobertas científicas. Não por acaso, 7 anos depois da sanção da LGPD, escolhemos este número para revisitar sua trajetória, trazendo 7 evoluções que a lei trouxe, 7 tendências para o futuro e 7 passos para alcançar a conformidade.

7 Evoluções
Nos últimos anos, o Brasil deu passos decisivos para transformar a proteção de dados de promessa legal em realidade prática. Marcos regulatórios, guias e decisões da ANPD moldaram um novo cenário jurídico e corporativo. Merecem destaque:

1. Primeiros passos da ANPD (novembro de 2020) – Nomeação do Conselho Diretor e início da estruturação da autoridade responsável por zelar pela aplicação da LGPD.
2. Publicação do Guia Orientativo sobre agentes de tratamento e encarregado (maio de 2021) – Documento que reforçou e esclareceu papéis e responsabilidades, consolidando interpretações iniciais sobre a lei.
3. Publicação da Resolução sobre comunicação de incidentes de segurança (outubro de 2021) – Estabeleceu procedimentos e prazos para notificação de incidentes à ANPD e aos titulares, padronizando a resposta a crises de segurança da informação.
4. Reconhecimento constitucional do direito à proteção de dados (fevereiro de 2022) – Inclusão no artigo 5º da Constituição Federal por meio da EC nº 115/2022, elevando o tema a direito fundamental.
5. Primeira multa por descumprimento da LGPD (julho de 2023) – Marco regulatório que reforçou a atuação fiscalizatória da ANPD e sinalizou os riscos do não cumprimento;
6. Regulamentação da função de encarregado/DPO (julho de 2024) – Publicação da Resolução CD/ANPD nº 18/2024, estabelecendo requisitos formais para a atuação desse profissional-chave.
7. Regulamento de Transferência Internacional de Dados (agosto de 2024) – Definiu hipóteses, salvaguardas e instrumentos para transferência de dados pessoais a outros países, alinhando o Brasil a padrões internacionais.

Essas evoluções mostram que o país caminha para um ecossistema de privacidade mais sólido e alinhado a padrões globais – uma jornada que ainda reserva desafios e oportunidades.

7 Tendências
O futuro da LGPD já começa a ser desenhado pela Agenda Regulatória da ANPD e por expectativas do mercado. Temas como dados de crianças, biometria, IA e transferência internacional estão no centro das próximas decisões. Merecem uma atenção especial:

1. Regulação do tratamento de dados pessoais de crianças e adolescentes – Avanço esperado nas regras específicas para coleta, uso e compartilhamento, especialmente no contexto de plataformas digitais e serviços de entretenimento online.
2. Normas para uso de dados biométricos – Definição de salvaguardas, limites e requisitos para o tratamento de dados sensíveis como reconhecimento facial, voz e impressão digital, alinhadas a padrões internacionais de segurança.
3. Integração da inteligência artificial ao regime da LGPD – Criação de parâmetros claros para o uso de IA, considerando riscos, transparência e responsabilidades no tratamento de dados.
4. Regras sobre anonimização e pseudonimização – Estabelecimento de critérios técnicos e jurídicos para diferenciar dados efetivamente anonimizados daqueles sujeitos à LGPD;
5. Fortalecimento das regras de boas práticas e governança – Expansão de programas de conformidade reconhecidos oficialmente, com certificações e selos que atestem a maturidade em privacidade;
6. Diretrizes para compartilhamento de dados pelo Poder Público – Maior detalhamento sobre hipóteses, salvaguardas e limites para a interoperabilidade entre bases governamentais e com entidades privadas;
7. Reconhecimento mútuo de adequação Brasil–União Europeia – Alinhamento regulatório visando facilitar fluxos internacionais de dados e impulsionar negócios entre os dois mercados.

Com exceção do reconhecimento mútuo Brasil–UE, todas as tendências listadas estão no radar oficial da ANPD e devem moldar o cenário regulatório e os modelos de negócios nos próximos anos.

 7 Passos para adequação
Adequar-se à LGPD exige método, disciplina e visão de longo prazo. Mais que cumprir a lei, é criar uma cultura sólida de proteção de dados. Para transformar esse objetivo em ação, reunimos sete passos práticos que podem guiar nessa jornada de conformidade.

1. Realizar diagnóstico completo – Mapear e classificar os dados pessoais tratados, identificando todos os processos de coleta, uso, armazenamento e descarte, incluindo dados sensíveis, em todos os setores da organização.
2. Revisar e adequar políticas, contratos e processos – Garantir que documentos internos e instrumentos contratuais estejam atualizados e aderentes à LGPD e às resoluções da ANPD, promovendo ajustes quando necessário.
3. Implementar políticas internas e medidas técnicas de segurança – Adotar recursos como criptografia, anonimização, sistemas de backup e controle de acesso com logs e rastreamento de atividades.
4. Promover treinamentos periódicos para equipes – Conduzir programas de capacitação sobre privacidade e segurança da informação, reduzindo riscos de incidentes por falha humana.
5. Elaborar e manter atualizado o Relatório de Impacto à Proteção de Dados (RIPD) – Avaliar riscos e documentar medidas de mitigação, evidenciando transparência e conformidade legal.
6. Estabelecer plano de resposta a incidentes – Criar procedimentos claros para detecção, contenção, notificação e remediação de incidentes de segurança, conforme exigências da ANPD.
7. Monitorar continuamente e buscar melhoria constante – Acompanhar atualizações regulatórias, incorporar novas tecnologias e otimizar processos para manter o nível de conformidade.

Seguir esses sete passos não apenas contribui para atender aos requisitos legais, mas também fortalece a confiança de clientes, parceiros e titulares de dados. A adequação à LGPD deve ser encarada como um compromisso permanente, em que o monitoramento constante e a melhoria contínua garantem que a organização esteja preparada para responder a novos desafios regulatórios e tecnológicos, preservando tanto a conformidade quanto a reputação.

O 7º aniversário da LGPD não é somente uma celebração dos avanços institucionais importante no que tange o tratamento de dados pessoais no Brasil, mas também um marco para refletir sobre o caminho que ainda temos pela frente. As evoluções alcançadas mostram que é possível construir um ecossistema mais maduro e alinhado a padrões globais, mas ainda há inúmeros desafios regulatórios e tecnológicos por vir.

Mais do que um ponto de chegada, este momento representa uma etapa relevante na consolidação do direito fundamental à proteção de dados no país. É tempo de manter o diálogo entre reguladores, setor privado, sociedade civil e comunidade técnica, garantindo que os próximos anos sejam marcados por avanços consistentes e sustentáveis nessa agenda.

Esse artigo foi produzido por Danilo Roque e Isabella Banzatto, especialistas em Proteção de Dados.