Símbolo do Jus.com.br Jus.com.br
Capa da publicação LGPD na prática: desafios e tendências atuais
Capa: Autor
Artigo

LGPD na prática: desafios e tendências atuais da proteção de dados no Brasil

Exibindo página 3 de 5
Wilton Magário Junior
Wilton Magário Junior
21/07/2025 às 21:33
Leia nesta página:

PARTE III – DESAFIOS ATUAIS E PERSPECTIVAS FUTURAS DA PROTEÇÃO DE DADOS NO BRASIL

Desde sua promulgação, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem sido o alicerce normativo da proteção de dados no Brasil. No entanto, o contexto de rápida transformação digital, o avanço das tecnologias emergentes e a crescente complexidade dos fluxos internacionais de dados têm imposto desafios significativos à sua efetividade e à sua interpretação prática.

Esta Parte III é dedicada à análise crítica e prospectiva dos principais dilemas e tendências relacionados à proteção de dados no Brasil. Serão abordadas temáticas emergentes como o impacto da inteligência artificial no tratamento de dados, os desafios da transferência internacional de dados em um cenário global de geopolítica digital, os novos paradigmas de cibersegurança e a necessidade de atualização normativa diante de setores disruptivos.

Além disso, será examinada a evolução da atuação da Autoridade Nacional de Proteção de Dados (ANPD), com destaque para suas interpretações regulatórias, capacidade fiscalizatória e articulação institucional com outros órgãos de controle e proteção ao consumidor.

Outro aspecto relevante desta Parte é o enfoque na consolidação de uma cultura de privacidade nas organizações brasileiras. A conformidade com a LGPD vem deixando de ser apenas uma obrigação formal para se tornar um diferencial competitivo e um pilar de confiança nas relações comerciais e institucionais.

Também serão discutidos os caminhos possíveis para o aperfeiçoamento legislativo, incluindo propostas de atualização da LGPD, sua harmonização com outras normas setoriais (como o Marco Civil da Internet e o Código de Defesa do Consumidor), bem como a integração com padrões internacionais de proteção de dados.

Portanto, esta Parte III pretende não apenas refletir sobre os desafios presentes, mas também antecipar os rumos da proteção de dados no país, contribuindo para uma abordagem mais estratégica, crítica e alinhada aos valores democráticos e ao desenvolvimento tecnológico sustentável.

12. Inteligência Artificial, Big Data e LGPD

Tecnologias baseadas em Inteligência Artificial (IA) e Big Data têm enorme potencial disruptivo, mas também trazem riscos à privacidade, à transparência e à não discriminação. Este capítulo analisa como a LGPD dialoga com essas tecnologias, especialmente no contexto de decisões automatizadas, criação de perfis algorítmicos, uso de dados inferidos e reidentificação. Serão discutidos os desafios do consentimento informado, a necessidade de revisão humana, os limites éticos ao uso de dados massivos e o papel da ANPD na regulação desses sistemas.

12.1. Tratamento Automatizado e Tomada de Decisão

A ascensão dos sistemas de inteligência artificial, aprendizado de máquina e algoritmos preditivos transformou profundamente a forma como dados pessoais são utilizados em ambientes digitais. Plataformas financeiras, de saúde, educação e consumo operam cada vez mais com decisões automatizadas, que impactam diretamente a vida dos titulares — seja ao determinar limites de crédito, aprovar cadastros, recomendar conteúdos ou analisar perfis comportamentais.

Nesse contexto, a LGPD estabelece diretrizes específicas para o tratamento automatizado e impõe salvaguardas relevantes para proteger os direitos dos indivíduos frente à lógica algorítmica.

a) O que é tratamento automatizado?

O tratamento automatizado ocorre quando sistemas computacionais realizam, sem intervenção humana direta:

  • Classificações, triagens ou pontuações baseadas em atributos pessoais;

  • Perfilamento de comportamento, preferências, padrões e tendências;

  • Tomada de decisão que gere efeitos legais ou relevantes — como recusa de serviço, modulação de preço, bloqueio de conta, entre outros.

Essas decisões, ao influenciarem o acesso a bens, direitos ou oportunidades, exigem transparência, responsabilidade e possibilidade de contestação.

b) Ponto central da LGPD: o artigo 20

O artigo 20 da LGPD estabelece que o titular tem direito a:

  • Receber informações claras sobre os critérios e procedimentos utilizados em decisões automatizadas;

  • Solicitar revisão por pessoa natural quando a decisão for exclusivamente automatizada e afetar seus interesses de forma significativa;

  • Exigir explicações razoáveis sobre a lógica envolvida no tratamento de dados.

Esse dispositivo fortalece o princípio da autodeterminação informativa, assegurando que indivíduos não sejam reféns de “caixas-pretas algorítmicas”.

c) Exemplos práticos de aplicação

Setor

Decisão Automatizada

Impacto ao Titular

Exigência Legal

Fintechs

Recusa de crédito com base em perfil algorítmico

Impossibilidade de contratação

Direito à revisão humana

E-commerce

Variação de preço dinâmica por perfil

Preço desigual

Direito à explicação da lógica

Healthtechs

Diagnóstico preliminar por IA

Risco à saúde

Necessidade de validação médica

RH Digital

Triagem de currículos por machine learning

Exclusão automática

Transparência sobre critérios usados
d) Riscos do uso indiscriminado

  • Discriminação algorítmica: quando critérios reproduzem vieses sociais ou excludentes;

  • Falta de explicabilidade: sistemas que não permitem compreensão dos motivos da decisão;

  • Uso excessivo de dados: coleta ampliada sem base legal ou relevância real;

  • Impossibilidade de contestação: ausência de canais para que o titular manifeste discordância.

Esses riscos podem gerar sanções pela ANPD, danos reputacionais e ações judiciais por violação à LGPD.

e) Boas práticas recomendadas

  • Realizar análise de impacto (RIPD) antes de implantar sistemas automatizados;

  • Documentar o funcionamento, os critérios e as variáveis utilizadas nos algoritmos;

  • Garantir revisão humana obrigatória em decisões sensíveis (ex.: saúde, crédito, inclusão social);

  • Informar o titular, de forma acessível e proativa, sobre o funcionamento da automatização;

  • Adotar ferramentas de explicabilidade algorítmica, que permitam auditoria e justificativa técnica.

O tratamento automatizado não deve ser encarado apenas como inovação tecnológica, mas como processo de poder que afeta diretamente a liberdade, a dignidade e os direitos dos titulares. A LGPD exige que esse poder seja exercido com responsabilidade, abertura e respeito à autonomia individual.

12.2. Perfilamento e Discriminação Algorítmica

O uso de sistemas automatizados para perfilamento de pessoas é uma das práticas mais difundidas na era da inteligência artificial e do Big Data. Plataformas digitais, fintechs, e-commerces, provedores de serviços e redes sociais aplicam modelos algorítmicos para organizar usuários em categorias, prever comportamentos e personalizar decisões. Embora essas práticas ofereçam eficiência e ganhos operacionais, elas também trazem riscos significativos de discriminação, opacidade e violação de direitos fundamentais — exigindo especial atenção à conformidade com a LGPD.

a) O que é perfilamento?

Perfilamento é o tratamento automatizado de dados pessoais destinado a avaliar aspectos como:

  • Comportamento de navegação, consumo ou mobilidade;

  • Preferências, interesses e interações digitais;

  • Capacidade econômica, risco financeiro ou probabilidade de conversão;

  • Tendências de compra, fidelização ou abandono.

Esses perfis são usados para definir limites de crédito, sugerir conteúdo, precificar produtos, avaliar candidatos em processos seletivos, entre outras funções.

Exemplo prático: Um usuário que visita sites de luxo pode receber anúncios de produtos premium com preços diferenciados, enquanto outro, com comportamento diferente, recebe ofertas mais básicas — mesmo buscando o mesmo item.

b) Riscos da discriminação algorítmica

Quando o perfilamento não é cuidadosamente projetado, ele pode reproduzir ou acentuar desigualdades, gerando:

  • Tratamento injusto ou excludente com base em dados indiretos (como CEP, gênero, raça ou histórico de navegação);

  • Bloqueio silencioso de oportunidades (exclusão de currículos ou negação de serviços sem explicação);

  • Falta de transparência sobre os critérios utilizados;

  • Desvantagens sistêmicas que afetam grupos vulneráveis.

Tais efeitos configuram discriminação algorítmica — prática vedada pela LGPD e contrária aos princípios da dignidade, igualdade e não discriminação (art. 6º, IX).

c) LGPD e o controle sobre perfilamento

A LGPD impõe limites claros ao uso de perfilamento:

  • Os titulares têm direito a ser informados sobre a existência de decisões automatizadas que os afetem;

  • Devem receber explicações adequadas sobre os critérios e lógica envolvida no processo de decisão;

  • Podem solicitar a revisão por pessoa natural quando a decisão for exclusivamente automatizada e impactar seus interesses.

Além disso, o uso de dados sensíveis para perfilamento requer base legal robusta — preferencialmente consentimento explícito, tutela da saúde ou obrigação legal específica.

d) Boas práticas contra vieses algorítmicos

Para evitar discriminação e assegurar responsabilidade, recomenda-se:

  • Realizar avaliações de impacto (RIPD) em qualquer sistema que utilize perfilamento relevante;

  • Monitorar continuamente os resultados gerados para detectar padrões injustificados ou vieses não intencionais;

  • Documentar os critérios utilizados e mantê-los auditáveis;

  • Evitar o uso de proxies sociais (como localização ou renda presumida) sem justificativa legal ou técnica clara;

  • Incluir revisão humana em decisões críticas que envolvam risco social, financeiro ou reputacional.

Perfilar não é proibir — é ponderar. A LGPD reconhece a potência dos algoritmos, mas exige que eles sejam usados com inteligência ética, responsabilidade social e transparência técnica. A tecnologia deve servir à inclusão, e não à exclusão silenciosa.

12.3. Transparência e Explicabilidade de Modelos de IA

A transparência e a explicabilidade dos modelos de Inteligência Artificial (IA) são princípios fundamentais para assegurar a confiança, a responsabilidade e a conformidade legal no uso dessas tecnologias. Na era dos algoritmos automatizados, torna-se cada vez mais necessário garantir que as decisões tomadas por sistemas baseados em IA possam ser compreendidas, auditadas e justificadas, especialmente quando tais decisões afetam direitos fundamentais dos indivíduos, como no caso do tratamento de dados pessoais.

a) Conceito de Transparência

Transparência, no contexto da IA, refere-se à capacidade de fornecer informações claras, acessíveis e suficientes sobre o funcionamento dos sistemas automatizados, incluindo seus objetivos, fontes de dados, lógica empregada e os critérios de decisão. É um requisito que permite aos titulares de dados compreenderem de que forma seus dados estão sendo utilizados e com que finalidade.

Na LGPD, o princípio da transparência (art. 6º, VI) impõe ao controlador o dever de disponibilizar aos titulares de dados informações completas e precisas sobre o tratamento de seus dados pessoais, incluindo a existência de decisões automatizadas, conforme previsto no art. 20. da lei. Isso exige uma postura ativa e preventiva por parte dos agentes de tratamento no sentido de estruturar mecanismos de comunicação acessíveis, especialmente quando envolvem decisões com efeitos jurídicos relevantes.

b) Conceito de Explicabilidade

A explicabilidade é uma extensão da transparência e está relacionada à capacidade de fornecer justificativas compreensíveis para os resultados produzidos por sistemas de IA. Vai além da mera divulgação de informações, buscando traduzir, de forma inteligível, a lógica interna e as relações entre variáveis utilizadas pelos modelos algorítmicos, inclusive os de aprendizado de máquina.

Trata-se de um desafio técnico significativo, especialmente no caso de modelos opacos ("black box"), como redes neurais profundas, em que mesmo os desenvolvedores podem não conseguir explicar integralmente como determinada decisão foi tomada. Por isso, a explicabilidade demanda abordagens complementares, como o uso de modelos interpretáveis, auditorias algorítmicas, documentação técnica e ferramentas como LIME e SHAP, que permitem simular e interpretar o comportamento do modelo com base em inputs específicos.

c) Implicações Jurídicas

Do ponto de vista jurídico, a ausência de explicabilidade pode comprometer a validade de decisões automatizadas, em especial nos setores regulados (como crédito, seguros e saúde) e nas situações em que a lei assegura ao titular o direito de solicitar revisão humana de decisões automatizadas (LGPD, art. 20, §1º). A explicabilidade é também essencial para viabilizar o exercício dos direitos de acesso, correção e oposição ao tratamento, previstos nos arts. 18. e 20 da LGPD.

Além disso, a falta de transparência e explicabilidade pode caracterizar violação ao princípio da boa-fé e ao dever de informação, especialmente quando os dados são utilizados para fins não previstos ou de maneira discriminatória. A responsabilidade civil, administrativa e até penal pode ser acionada em casos de decisões algorítmicas que resultem em danos, reforçando a importância de estruturas de governança algorítmica.

d) Boas Práticas e Normas Internacionais

Diversos organismos internacionais têm promovido diretrizes sobre IA ética, como a OCDE, a UNESCO e a União Europeia. O Regulamento Europeu de IA (AI Act) avança ao prever requisitos específicos de transparência para sistemas de alto risco, impondo obrigações de documentação, rastreabilidade, registro de eventos e testes de robustez, bem como exigência de supervisão humana.

Entre as boas práticas de explicabilidade, destacam-se:

  • Design by explainability: desenvolvimento de modelos com foco em interpretabilidade desde a concepção;

  • Documentação técnica e não técnica: voltada para diferentes públicos, incluindo auditores e titulares de dados;

  • Mecanismos de contestação: canais acessíveis para revisão de decisões automatizadas;

  • Auditorias independentes: para avaliar riscos e viés algorítmico.

e) Desafios e Perspectivas

Apesar dos avanços, os desafios para concretizar a transparência e a explicabilidade são amplos, envolvendo desde limitações técnicas até a ausência de padrões normativos universais. Há, ainda, o risco de “transparência performática”, em que são divulgadas informações incompreensíveis ou irrelevantes para o titular dos dados. Por isso, é fundamental que a explicação seja proporcional ao impacto da decisão e adaptada ao público-alvo.

A transparência algorítmica deve ser pensada de forma dinâmica e contextual, integrando aspectos éticos, técnicos e regulatórios, com foco na proteção dos direitos fundamentais e na promoção de um ambiente digital confiável e justo.

13. Cibersegurança e Incidentes de Vazamento de Dados

A segurança da informação é componente essencial da proteção de dados. Neste capítulo, apresentamos os fundamentos da cibersegurança sob a LGPD, os requisitos de gestão de riscos, proteção contra ataques e medidas para resiliência organizacional. Discutiremos planos de resposta a incidentes, comunicação com titulares e autoridades, e a responsabilização por vazamentos. Serão abordados também os protocolos de backup, criptografia, autenticação, governança técnica e os impactos jurídicos decorrentes da quebra de confidencialidade.

13.1. Medidas Técnicas e Administrativas

A segurança da informação é uma dimensão fundamental da proteção de dados pessoais. Para além do cumprimento formal da LGPD, organizações públicas e privadas devem implementar medidas técnicas e administrativas eficazes que preservem a confidencialidade, integridade e disponibilidade dos dados. Essas medidas atuam como barreiras preventivas contra acessos não autorizados, vazamentos, alterações indevidas ou perda de informações — compondo um verdadeiro sistema de defesa organizacional.

a) Fundamento legal

O artigo 46 da LGPD dispõe que os agentes de tratamento devem adotar medidas para:

  • Garantir a segurança dos dados pessoais contra acessos não autorizados ou situações acidentais ou ilícitas;

  • Evitar destruição, perda, alteração, comunicação ou difusão indevida;

  • Mitigar riscos específicos conforme a natureza dos dados tratados, o contexto e a finalidade.

Essas obrigações são aplicáveis tanto ao controlador quanto ao operador, e exigem postura ativa, documentada e compatível com o porte da organização.

b) Medidas técnicas (infraestrutura e tecnologia)

As medidas técnicas dizem respeito às soluções digitais, sistemas e protocolos adotados para proteger os dados. Incluem:

  • Criptografia de dados em trânsito e em repouso;

  • Firewall, antivírus e ferramentas de detecção de intrusão;

  • Controle de acesso com autenticação forte (senhas complexas, autenticação multifator);

  • Monitoramento contínuo e logs de acesso e alteração;

  • Segregação de ambientes e bases de dados sensíveis;

  • Backups automáticos, com plano de recuperação em caso de desastre;

  • Testes periódicos de vulnerabilidade e auditorias de segurança.

A escolha das soluções deve considerar o tipo de dado tratado, o volume, o grau de sensibilidade e a maturidade tecnológica da organização.

c) Medidas administrativas (governança e processos)

As medidas administrativas são voltadas à gestão institucional da segurança, e incluem:

  • Políticas internas de proteção de dados e segurança da informação;

  • Mapeamento dos dados tratados e seus fluxos internos e externos;

  • Capacitação contínua dos colaboradores sobre privacidade, sigilo e uso responsável de dados;

  • Cláusulas contratuais com operadores e terceiros sobre padrões mínimos de segurança;

  • Procedimentos padronizados para gestão de incidentes (ex.: plano de resposta a vazamentos);

  • Criação de comitês ou responsáveis internos pela segurança e conformidade;

  • Gestão de canais de denúncia e comunicação com os titulares em caso de falhas.

Essas práticas ajudam a alinhar comportamento humano, processos internos e cultura organizacional à exigência de proteção constante.

d) Abordagem baseada em risco

A LGPD incentiva a adoção de medidas proporcionais ao grau de risco envolvido. Isso significa que:

  • Dados sensíveis exigem proteção reforçada;

  • Organizações que tratam grandes volumes devem ter estrutura técnica robusta;

  • Agentes de pequeno porte podem adotar soluções simplificadas, desde que eficazes.

Essa abordagem flexível permite que a conformidade seja escalável e adaptada, respeitando a diversidade organizacional sem abrir mão da proteção adequada.

Em resumo, medidas técnicas e administrativas não são apenas exigências legais — são pilares da confiança, da reputação e da resiliência organizacional. Quando bem aplicadas, essas ações previnem danos, fortalecem a governança e demonstram comprometimento real com os direitos dos titulares.

13.2. Resposta a Incidentes e Notificação à ANPD

Mesmo com medidas preventivas eficazes, nenhum ambiente informacional está imune a falhas, invasões ou vazamentos de dados. Nessas situações, a forma como a organização reage — tecnicamente, juridicamente e comunicacionalmente — define não apenas o desfecho do incidente, mas também sua reputação futura, o impacto sobre os titulares e a avaliação regulatória.

A LGPD, em seu artigo 48, estabelece que o controlador deve comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. Trata-se de uma obrigação legal vinculada aos princípios da boa-fé, transparência e responsabilização.

a) O que caracteriza um incidente relevante?

Nem todo evento técnico configura obrigação de notificação. A ANPD recomenda avaliar fatores como:

  • Natureza dos dados afetados — são sensíveis, financeiros ou relacionados à saúde?

  • Volume de registros comprometidos — afeta um ou milhares de titulares?

  • Potencial de impacto negativo aos direitos fundamentais — há risco de discriminação, fraude, constrangimento ou prejuízo econômico?

  • Vulnerabilidade explorada — falha sistêmica ou negligência operacional?

Se o risco for considerado relevante, o controlador deve seguir com a notificação formal.

b) Etapas da resposta ao incidente

A gestão adequada exige atuação estruturada e ágil:

  1. Detecção e registro

    • Identificação do incidente e suas causas (falha técnica, ataque externo, erro humano).

    • Registro em sistema interno de segurança da informação.

  2. Avaliação e contenção

    • Isolamento do sistema afetado e mitigação imediata dos danos.

    • Avaliação do escopo e impacto sobre dados e titulares.

  3. Comunicação à ANPD e aos titulares

A notificação deve conter, conforme Resolução ANPD nº 4/2023:

  • Descrição do incidente e sua natureza;

  • Dados pessoais afetados;

  • Medidas técnicas e administrativas adotadas;

  • Riscos aos titulares;

  • Contato do encarregado de dados;

  • Prazo estimado para resposta completa.

  1. Adoção de medidas corretivas e preventivas

  • Revisão de políticas, reforço de controles, treinamento da equipe.

  • Atualização do Relatório de Impacto à Proteção de Dados (RIPD), se houver.

c) Prazo e formato de notificação

A LGPD não estabelece prazo fixo, mas a ANPD orienta que a comunicação seja feita em tempo razoável, preferencialmente em até 2 dias úteis após a identificação do incidente relevante. A notificação deve ocorrer via:

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!
Os boletins são gratuitos. Não enviamos spam. Privacidade Publique seus artigos

  • Formulário eletrônico oficial da ANPD;

  • Comunicação objetiva e clara aos titulares, por meios eficazes (e-mail, site, telefone).

A empresa deve manter registros e evidências das ações adotadas, tanto para prestação de contas quanto para eventual auditoria ou investigação.

d) Boas práticas complementares

  • Estabelecer um Plano de Resposta a Incidentes, com protocolos e responsáveis definidos;

  • Criar um comitê interno de crise com atuação multidisciplinar (TI, jurídico, comunicação);

  • Treinar equipes para atuação rápida e assertiva em situações emergenciais;

  • Redigir modelos de comunicação aos titulares com linguagem clara, empática e orientativa;

  • Realizar simulações periódicas de incidentes para testar a eficácia dos processos.

Responder bem a um incidente é tão importante quanto evitá-lo. A LGPD exige das organizações maturidade, agilidade e clareza na condução de falhas que possam prejudicar os direitos dos titulares. A transparência, nesse contexto, deixa de ser fragilidade — e passa a ser sinal de responsabilidade institucional.

13.3. Tendências e Regulamentos Setoriais

A cibersegurança, como dimensão central da proteção de dados pessoais, vem recebendo crescente atenção dos reguladores setoriais — especialmente em áreas como saúde, finanças, telecomunicações, educação e serviços públicos. Cada setor possui riscos, exigências e infraestruturas distintas, o que demanda normas específicas, protocolos técnicos ajustados e políticas próprias de gestão da segurança da informação.

A LGPD estabelece diretrizes gerais, mas autoridades e agências reguladoras têm competência para editar normas complementares que concretizem as medidas técnicas e administrativas exigidas por lei, alinhando o arcabouço regulatório à realidade prática de cada setor.

a) Tendências regulatórias em setores estratégicos

Setor

Regulador

Iniciativas recentes em cibersegurança

Saúde

ANS / Ministério da Saúde

Regras para segurança em prontuários eletrônicos, telemedicina e interoperabilidade

Finanças

Banco Central / CVM

Requisitos para gestão de riscos cibernéticos, plano de continuidade de negócios e resposta a incidentes

Telecomunicações

Anatel

Normas sobre proteção de redes, vazamento de dados de usuários e segurança na prestação de serviços digitais

Governo Digital

Presidência / SGD / TCU

Diretrizes sobre segurança em serviços públicos digitais e infraestrutura crítica

Educação

MEC / CAPES / FNDE

Protocolos mínimos para plataformas educacionais, preservação de dados de estudantes e acesso remoto

Esses órgãos têm publicado guias técnicos, portarias, resoluções e parâmetros que complementam a LGPD e ajudam a estruturar sistemas de proteção personalizados por setor.

b) Padrões internacionais adotados como referência

A crescente internacionalização das operações digitais faz com que vários setores adotem ou se inspirem em padrões reconhecidos mundialmente, como:

  • ISO/IEC 27001 e 27701: frameworks para gestão da segurança da informação e privacidade;

  • NIST Cybersecurity Framework: modelo de referência para estruturação de políticas e resposta a incidentes;

  • PCI-DSS: norma voltada à proteção de dados de cartões em ambientes financeiros;

  • HIPAA (em saúde): padrões norte-americanos de proteção de informações médicas sensíveis.

Esses frameworks ajudam empresas a se antecipar a exigências regulatórias, estruturando políticas coerentes, rastreáveis e auditáveis.

c) Práticas emergentes e maturidade regulatória

Os reguladores vêm incorporando práticas que favorecem:

  • Testes de conformidade obrigatórios para soluções tecnológicas antes de sua liberação comercial;

  • Classificação dos dados por nível de risco (ex.: confidencial, restrito, público);

  • Capacitação compulsória em proteção de dados e segurança digital para profissionais regulados;

  • Obrigações de reporte e publicização de incidentes de vazamento com prazos definidos;

  • Exigência de relatórios técnicos periódicos sobre monitoramento, vulnerabilidades e medidas corretivas.

Essas práticas tornam o sistema regulatório brasileiro mais robusto e proativo, estimulando governança setorial eficiente e cultura preventiva.

d) Desafios na harmonização regulatória

Apesar dos avanços, há ainda desafios:

  • Fragmentação normativa entre diferentes setores e entes reguladores;

  • Ausência de centralização ou interoperabilidade de sistemas de resposta;

  • Dificuldade de harmonizar exigências entre LGPD, regulamentos setoriais e normas internacionais.

Esses entraves tornam ainda mais importante o papel da ANPD como articuladora institucional, capaz de promover diálogo entre agências, uniformização de critérios e convergência regulatória.

A cibersegurança está deixando de ser um tema técnico reservado à TI para se tornar uma prioridade regulatória transversal. As tendências setoriais indicam uma busca por integração, maturidade e responsabilização, colocando a segurança da informação no centro das decisões estratégicas — tanto no setor público quanto privado.

14. Transferência Internacional de Dados

A globalização digital exige normas claras para a transferência de dados entre países. Neste capítulo, exploramos os requisitos da LGPD para transferências internacionais, incluindo decisões de adequação, cláusulas contratuais específicas, consentimento, e medidas suplementares exigidas pela ANPD. Abordaremos os riscos de transferência sem garantia legal, os desafios das multinacionais e a compatibilidade da LGPD com outras legislações, como o GDPR europeu, a CCPA americana e leis asiáticas.

14.1. Hipóteses Legais e Mecanismos de Garantia

A transferência internacional de dados pessoais é uma realidade incontornável na economia digital. Plataformas globais, serviços em nuvem, redes corporativas e soluções descentralizadas frequentemente envolvem fluxos transfronteiriços de informações — o que exige atenção redobrada à conformidade regulatória. A LGPD reconhece essa complexidade e, ao mesmo tempo que protege os direitos dos titulares, estabelece hipóteses legais específicas e mecanismos de garantia para permitir tais transferências de forma segura, transparente e legalmente válida.

a) Requisitos para transferência internacional

De acordo com o artigo 33 da LGPD, a transferência internacional de dados só pode ocorrer quando estiver fundamentada em pelo menos uma das hipóteses legais, como:

  • País destinatário com nível de proteção adequado reconhecido pela ANPD;

  • Consentimento específico e destacado do titular, com informação clara sobre o risco envolvido;

  • Contratos com cláusulas-padrão aprovadas pela ANPD;

  • Transferência necessária à execução de contrato com o titular, inclusive em relações comerciais e internacionais;

  • Tutela da saúde, proteção da vida ou da incolumidade física do titular ou de terceiros;

  • Utilização por órgãos de pesquisa, garantida a anonimização sempre que possível;

  • Execução de políticas públicas e cooperação internacional institucional, nos termos da lei;

  • Cumprimento de obrigação legal ou regulatória, especialmente em tratados e convenções internacionais;

  • Autorização específica da ANPD, mediante processo formal de análise e garantia.

b) Mecanismos de garantia reconhecidos

A LGPD prevê que, na ausência de país reconhecido como adequado, o controlador poderá utilizar mecanismos como:

  • Cláusulas contratuais específicas: contratos que assegurem padrões de segurança, controle e conformidade equivalentes aos exigidos no Brasil;

  • Regras corporativas globais (Binding Corporate Rules): políticas internas adotadas por grupos multinacionais, que protegem os dados em todas as jurisdições onde atuam;

  • Certificações e selos reconhecidos pela ANPD: mecanismos técnicos que comprovem adesão a padrões internacionais de proteção de dados;

  • Documentação de avaliação de impacto e riscos (RIPD), comprovando mitigação adequada nos fluxos transfronteiriços.

Esses mecanismos funcionam como instrumentos complementares que reforçam a responsabilidade do controlador e o direito à autodeterminação informativa do titular.

c) Papel da ANPD na homologação e fiscalização

A Autoridade Nacional de Proteção de Dados é responsável por:

  • Avaliar o nível de adequação de outros países, com base em critérios técnicos e jurídicos;

  • Homologar cláusulas-padrão, selos e normas internas corporativas;

  • Emitir recomendações e diretrizes sobre segurança e conformidade em transferências internacionais;

  • Fiscalizar o cumprimento das exigências legais, podendo aplicar sanções em caso de irregularidade.

A ANPD atua como articuladora entre o Brasil e o cenário regulatório global, promovendo convergência internacional, proteção dos titulares e segurança jurídica para os agentes de tratamento.

Em resumo, a transferência internacional de dados exige planejamento estratégico, fundamento legal sólido e garantias robustas, evitando vulnerabilidades jurídicas e riscos à privacidade. Empresas conectadas globalmente devem ver a LGPD não como obstáculo, mas como ferramenta para uma atuação internacional ética, segura e sustentável.

14.2. Adequação e Acordos Internacionais

Em um mundo digital marcado por fluxos transfronteiriços de dados, a adequação regulatória tornou-se peça estratégica nas relações comerciais, diplomáticas e tecnológicas. A LGPD prevê mecanismos que permitem a transferência internacional de dados para países que ofereçam grau de proteção compatível com o previsto na legislação brasileira — conceito conhecido como “decisão de adequação”.

Essas decisões, quando reconhecidas pela Autoridade Nacional de Proteção de Dados (ANPD), viabilizam a circulação de informações com segurança jurídica ampliada, sem necessidade de consentimentos específicos ou cláusulas contratuais adicionais. Trata-se de instrumento que fortalece cooperação internacional, harmonização regulatória e inserção estratégica do Brasil no ecossistema global de proteção de dados.

a) O que é uma decisão de adequação?

É o reconhecimento, pela ANPD, de que determinado país ou organismo internacional possui um nível de proteção de dados pessoais equivalente ou compatível com a LGPD, permitindo:

  • Fluxo de dados entre organizações brasileiras e estrangeiras;

  • Redução da burocracia contratual e documentações acessórias;

  • Reforço à interoperabilidade normativa entre países;

  • Estímulo à confiança e à conformidade entre agentes de tratamento globais.

A decisão pode ser unilateral, bilateral ou multilateral, dependendo da estrutura do acordo e da reciprocidade de garantias jurídicas.

b) Critérios para reconhecimento da adequação

A ANPD deve avaliar uma série de critérios para conceder o status de país adequado, incluindo:

  • Existência de legislação específica sobre proteção de dados pessoais;

  • Funcionamento efetivo de uma autoridade reguladora independente;

  • Mecanismos de fiscalização e sanção aplicáveis aos agentes de tratamento;

  • Respeito aos princípios da transparência, segurança, responsabilização e autodeterminação informativa;

  • Garantias legais para titulares de dados, como direito de acesso, correção, exclusão e revisão de decisões automatizadas;

  • Participação em tratados, convenções ou coalizões internacionais de privacidade.

Esses critérios buscam assegurar que os dados transferidos continuem protegidos, mesmo fora do território nacional.

c) Acordos internacionais e diplomacia digital

O Brasil poderá firmar acordos internacionais bilaterais ou multilaterais com outras nações ou blocos econômicos — como União Europeia, Estados Unidos, Mercosul ou OCDE — para:

  • Formalizar compromissos recíprocos de proteção de dados;

  • Estimular cooperação técnica entre autoridades nacionais;

  • Facilitar negócios digitais e integração de cadeias globais de valor;

  • Compartilhar boas práticas, decisões normativas e mecanismos de fiscalização.

Esses acordos reforçam a geopolítica da privacidade, onde os dados pessoais passam a ser ativos regulados por tratados e compromissos intergovernamentais.

d) Papel da ANPD na articulação internacional

A ANPD, além de seu papel regulador interno, também atua como:

  • Ponto de contato diplomático com outras autoridades de proteção de dados (como o European Data Protection Board, CCPA nos EUA, ou a APPI do Japão);

  • Articuladora de decisões de adequação, com base em análises técnicas e jurídicas;

  • Negociadora de cláusulas contratuais padrão e acordos de reciprocidade legal;

  • Representante institucional em fóruns multilaterais de governança digital, como a Global Privacy Assembly.

Essa atuação projeta o Brasil no cenário regulatório internacional, consolidando nossa LGPD como instrumento de reputação e competitividade global.

A construção de decisões de adequação e acordos internacionais é mais do que uma questão jurídica — é um movimento estratégico de alinhamento entre soberania digital, diplomacia econômica e proteção de direitos fundamentais. Na era dos dados, proteger também é integrar.

14.3. Riscos Geopolíticos e Soberania Digital

A transformação digital acelerada, aliada à crescente centralidade dos dados na economia, nas políticas públicas e nas relações internacionais, trouxe à tona a necessidade de discutir os riscos geopolíticos associados ao domínio tecnológico global e à soberania digital dos Estados. Em um cenário multipolar e competitivo, a governança dos dados e das infraestruturas digitais tornou-se um componente essencial da segurança nacional, da autonomia estratégica e da proteção dos direitos fundamentais.

a) Soberania Digital: Conceito e Alcance

A soberania digital pode ser compreendida como a capacidade do Estado de exercer controle efetivo sobre os fluxos de dados, infraestrutura tecnológica, algoritmos e plataformas digitais que operam em seu território, com vistas à proteção do interesse público, da segurança nacional e dos direitos dos cidadãos.

Esse conceito transcende a mera regulação de dados pessoais, envolvendo temas como:

  • Armazenamento e processamento de dados em servidores locais;

  • Independência tecnológica (hardware, software, semicondutores);

  • Neutralidade de rede e infraestrutura crítica (backbones, cabos submarinos);

  • Regulação de plataformas digitais transnacionais;

  • Desenvolvimento de capacidades nacionais em IA, computação em nuvem e cibersegurança.

A soberania digital, portanto, representa um eixo de articulação entre política de dados, segurança cibernética e geopolítica da inovação.

b) Riscos Geopolíticos Associados à Dependência Tecnológica

A crescente dependência de tecnologias estrangeiras – em especial aquelas desenvolvidas por grandes corporações de países hegemônicos como Estados Unidos e China – gera vulnerabilidades estruturais. Entre os principais riscos geopolíticos, destacam-se:

  • Monitoramento e vigilância extraterritorial: empresas globais podem estar sujeitas a legislações estrangeiras (como o FISA norte-americano ou a Lei de Inteligência da China), permitindo acesso indevido a dados de cidadãos e empresas locais;

  • Interferência política e econômica: o uso de dados para manipulação de opinião pública (como evidenciado nos casos do Facebook/Cambridge Analytica) ou para obter vantagens econômicas em mercados estratégicos;

  • Conflitos cibernéticos: ataques coordenados a infraestruturas críticas ou a sistemas públicos por atores estatais ou grupos patrocinados por Estados, como forma de guerra híbrida;

  • Adoção forçada de padrões tecnológicos: imposição de padrões técnicos, algoritmos e sistemas de IA que escapam ao controle local e podem refletir interesses estrangeiros, criando assimetrias regulatórias e dependência tecnológica.

c) LGPD e o Papel da Autoridade Nacional

A Lei Geral de Proteção de Dados Pessoais (LGPD), ao estabelecer princípios como a autodeterminação informativa, a finalidade do uso de dados e a soberania nacional (art. 3º, I e II), contribui para a consolidação de uma política de dados soberana. A atuação da Autoridade Nacional de Proteção de Dados (ANPD) é peça-chave na defesa dos interesses nacionais no ambiente digital, especialmente ao:

  • Regulamentar transferências internacionais de dados com critérios rigorosos (art. 33. da LGPD);

  • Participar de fóruns internacionais de governança digital;

  • Promover cooperação regulatória e harmonização com padrões internacionais sem comprometer a autonomia normativa nacional.

d) Iniciativas Globais e Competição pela Soberania Digital

Diversos países e blocos têm adotado estratégias explícitas de soberania digital, como:

  • União Europeia: com o Digital Services Act, Digital Markets Act e a proposta de Data Governance Act, a UE busca fortalecer a autonomia digital, promover padrões europeus e limitar a influência de gigantes tecnológicos estrangeiros;

  • China: com sua política de “Grande Muralha Digital” e a promoção de tecnologias locais (como Huawei, Baidu e Alibaba), exerce rígido controle sobre o ciberespaço e promove sua influência digital em países em desenvolvimento;

  • Estados Unidos: embora com tradição de autorregulação, exercem forte influência normativa e tecnológica por meio de suas big techs, além de imporem restrições geopolíticas a países concorrentes (como no banimento da Huawei).

O Brasil precisa definir sua própria estratégia de soberania digital, equilibrando abertura econômica, inovação tecnológica e proteção de seus ativos estratégicos.

e) Caminhos para a Construção da Soberania Digital Brasileira

Para enfrentar os riscos geopolíticos e afirmar sua soberania digital, o Brasil deve adotar uma abordagem multidimensional e propositiva, que inclua:

  • Desenvolvimento de infraestrutura crítica nacional: estímulo à criação de data centers locais, redes 5G seguras e soluções próprias em nuvem e IA;

  • Fomento à indústria nacional de tecnologia: apoio a startups, pesquisa científica e inovação aberta, com incentivos fiscais e marcos regulatórios favoráveis;

  • Alinhamento estratégico com blocos compatíveis com os interesses nacionais, sem subordinação tecnológica;

  • Educação digital e capacitação técnica: fortalecimento da formação em ciência de dados, cibersegurança e governança da informação;

  • Participação ativa em fóruns globais de governança da internet, com defesa do multilateralismo e da inclusão digital.

15. Cultura Organizacional e Governança em Privacidade

Mais do que processos jurídicos, a proteção de dados exige mudança de cultura. Este capítulo trata da estruturação de programas internos de governança em privacidade, abrangendo códigos de conduta, treinamentos, auditorias, comitês de compliance e engajamento da alta liderança. A construção de uma cultura ética e preventiva é elemento-chave para evitar incidentes, fortalecer a reputação institucional e internalizar os princípios da LGPD nas rotinas organizacionais.

15.1. Programas de Governança em Privacidade

A implementação da LGPD nas organizações exige muito mais do que adaptações pontuais em contratos ou políticas de privacidade. Trata-se de incorporar a proteção de dados como valor institucional, por meio de programas de governança em privacidade que assegurem controle, responsabilidade e melhoria contínua. Esses programas não apenas viabilizam a conformidade regulatória — mas também posicionam a organização como agente confiável, ético e resiliente em ambientes digitais.

a) O que é governança em privacidade?

Governança em privacidade é o conjunto de estruturas, processos, políticas e controles organizacionais destinados a garantir que o tratamento de dados pessoais ocorra:

  • Em conformidade com a LGPD e demais normas aplicáveis;

  • De forma segura, transparente e proporcional;

  • Com gestão de riscos, prestação de contas e melhoria contínua.

Trata-se de um sistema organizacional articulado, que inclui desde a alta liderança até áreas operacionais, promovendo integração entre jurídico, TI, segurança da informação, recursos humanos e marketing.

b) Elementos estruturantes de um programa eficaz

Um programa de governança em privacidade deve conter:

Elemento

Descrição

Comprometimento da alta direção

Apoio executivo ao tema, definição de prioridades e recursos

Nomeação do Encarregado (DPO)

Ponto focal para comunicação com titulares e ANPD

Políticas e procedimentos internos

Documentos normativos sobre coleta, retenção, compartilhamento e descarte

Inventário e mapeamento de dados

Identificação dos dados tratados, seus fluxos e finalidades

Base legal para cada tratamento

Vinculação jurídica adequada e registro de conformidade

Medidas de segurança da informação

Controles técnicos e administrativos para proteger os dados

Capacitação contínua

Treinamento dos colaboradores, alinhamento ético e comportamental

Relatórios de impacto (RIPD)

Avaliação formal dos riscos em tratamentos de alto impacto

Gestão de incidentes

Procedimentos para resposta, comunicação e mitigação

Monitoramento e auditoria

Verificação periódica da conformidade e ajustes necessários

Cada elemento deve ser documentado, revisado e adaptado à realidade e ao porte da organização.

c) Benefícios institucionais

Ao estruturar um programa de governança em privacidade, a organização:

  • Reduz riscos legais, regulatórios e reputacionais;

  • Fortalece a confiança de clientes, parceiros e mercado;

  • Estimula cultura organizacional ética e preventiva;

  • Ganha eficiência operacional ao integrar processos de conformidade;

  • Demonstra responsabilidade e maturidade institucional perante a sociedade.

Governança é mais que defesa — é estratégia.

d) Boas práticas recomendadas

  • Elaborar um plano de implementação com cronograma realista e metas claras;

  • Engajar diferentes áreas na construção do programa, valorizando interdisciplinaridade;

  • Utilizar ferramentas de gestão de privacidade (privacy management platforms);

  • Realizar campanhas internas de conscientização sobre proteção de dados;

  • Publicar documentos acessíveis e compatíveis com o público-alvo da organização;

  • Manter registro de todas as atividades como parte da obrigação de prestação de contas.

A governança em privacidade é o fio condutor entre a legislação e a cultura organizacional. Quando bem estruturada, ela transforma o cumprimento da LGPD em um diferencial competitivo, uma expressão de respeito ao titular e uma base sólida para inovação responsável.

15.2. Educação Corporativa e Treinamento

A efetividade da proteção de dados pessoais nas organizações não depende apenas de normas e políticas internas, mas fundamentalmente de uma cultura organizacional voltada à privacidade e à segurança da informação. Nesse contexto, a educação corporativa e o treinamento contínuo de colaboradores, líderes e prestadores de serviço representam pilares essenciais para garantir a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) e com as melhores práticas de governança de dados.

a) Importância Estratégica do Treinamento

A implementação de programas de capacitação tem como objetivo principal sensibilizar e qualificar os profissionais para o correto tratamento de dados pessoais, promovendo o entendimento dos princípios da LGPD, das normas internas da empresa e das responsabilidades individuais no cumprimento da legislação.

Trata-se de uma medida de compliance preventivo, que reduz significativamente os riscos de vazamentos, acessos indevidos, violações acidentais e incidentes de segurança da informação, além de demonstrar boa-fé e diligência da organização perante eventuais fiscalizações da ANPD ou processos judiciais.

b) Conteúdo Programático e Níveis de Capacitação

A educação corporativa deve ser estruturada em níveis progressivos e segmentados, de acordo com o perfil, a função e o grau de acesso aos dados pessoais dos colaboradores. Entre os principais tópicos que devem compor os programas de treinamento, destacam-se:

  • Fundamentos e princípios da LGPD;

  • Bases legais para o tratamento de dados;

  • Direitos dos titulares e formas de atendimento;

  • Políticas internas de privacidade e segurança da informação;

  • Boas práticas de coleta, uso, compartilhamento e descarte de dados;

  • Prevenção de incidentes de segurança e resposta a vazamentos;

  • Canal de comunicação com o Encarregado de Dados (DPO);

  • Consequências jurídicas e reputacionais de violações à LGPD.

Setores com acesso mais sensível (jurídico, TI, RH, marketing, atendimento ao cliente) devem receber treinamentos mais aprofundados, inclusive com simulações de incidentes, análise de casos reais e dinâmicas práticas.

c) Ferramentas e Formatos de Capacitação

A educação corporativa pode adotar uma combinação de formatos e metodologias, para garantir maior engajamento e retenção do conhecimento:

  • Treinamentos presenciais e online (EAD) com recursos audiovisuais;

  • Workshops interativos e gamificados sobre privacidade e ética digital;

  • Materiais de apoio contínuos: manuais, cartilhas, FAQs e vídeos explicativos;

  • Avaliações periódicas e certificações internas;

  • Campanhas internas de conscientização, com foco em temas específicos como phishing, engenharia social, uso de senhas, entre outros.

A frequência e atualização dos treinamentos são igualmente importantes, especialmente diante de mudanças normativas, atualizações internas de política ou incidentes ocorridos.

d) Responsabilidade da Alta Gestão e do DPO

A alta administração da empresa tem papel fundamental no fomento da cultura de proteção de dados, devendo liderar pelo exemplo e garantir que o tema esteja inserido na estratégia institucional. O Encarregado pelo Tratamento de Dados Pessoais (DPO) deve coordenar os esforços de capacitação, monitorar os resultados, identificar lacunas de conhecimento e promover melhorias contínuas.

Além disso, a documentação de todos os treinamentos realizados – com registros de presença, avaliações e materiais utilizados – constitui evidência concreta de conformidade e diligência organizacional, podendo ser apresentada em auditorias, investigações ou processos judiciais.

e) Cultura Organizacional e Sustentabilidade da Conformidade

Mais do que uma obrigação legal, a educação corporativa deve ser entendida como um instrumento de transformação cultural, capaz de internalizar a ética do cuidado com os dados e fortalecer a confiança entre a organização, seus colaboradores, clientes, parceiros e sociedade.

A proteção de dados não deve ser encarada como um projeto pontual, mas como um compromisso institucional contínuo, e os treinamentos representam o elo entre a teoria jurídica e a prática cotidiana da conformidade.

15.3. Indicadores, Auditorias e Certificações

A efetividade de um programa de governança em privacidade não se mede apenas pela existência de políticas ou nomeação de encarregado. É necessário que a organização monitore seu desempenho, audite sua conformidade e — quando possível — certifique sua maturidade por meio de mecanismos reconhecidos. Esses instrumentos permitem que a proteção de dados saia do plano normativo e seja incorporada à gestão baseada em evidências, reforçando responsabilidade e transparência.

a) Indicadores de desempenho em privacidade

Indicadores são métricas que ajudam a avaliar o progresso da organização no cumprimento da LGPD. Eles devem ser:

  • Relevantes em relação aos riscos e objetivos do programa;

  • Mensuráveis com dados confiáveis e periodicidade definida;

  • Interpretáveis para diferentes públicos (diretoria, equipes operacionais, terceiros).

Exemplos de indicadores comuns:

Indicador

Descrição

Tempo médio de resposta às solicitações de titulares

Avalia eficiência do atendimento aos direitos

% de tratamentos com base legal validada

Mede o grau de conformidade documental

Número de RIPDs concluídos

Reflete o tratamento de riscos em atividades críticas

Incidentes de segurança registrados

Aponta vulnerabilidades e necessidade de melhorias

Colaboradores treinados em proteção de dados

Indica alcance da cultura organizacional de privacidade

Essas métricas ajudam a sustentar decisões, priorizar ações e prestar contas à liderança e à sociedade.

b) Auditoria interna e externa

A auditoria é o instrumento de verificação da efetividade e aderência das políticas de proteção de dados. Pode ocorrer de forma:

  • Interna — realizada por equipe própria, com foco em melhoria contínua;

  • Externa independente — conduzida por consultorias ou entidades especializadas;

  • Regulatória — realizada por órgãos públicos, como a ANPD, em processos de fiscalização.

Etapas recomendadas:

  1. Definição do escopo (áreas, processos, sistemas);

  2. Levantamento documental e entrevistas;

  3. Testes e validação de controles;

  4. Relatório com achados, recomendações e plano de ação.

A auditoria reforça o compromisso institucional e reduz riscos por antecipar correções antes de sanções.

c) Certificações e selos de conformidade

A LGPD admite, nos termos do art. 50, instrumentos como:

  • Certificações de boas práticas em privacidade;

  • Selos públicos ou privados reconhecidos pela ANPD;

  • Referenciais técnicos voluntários ou setoriais, como ISO 27701.

Esses mecanismos podem ser utilizados para:

  • Demonstrar o esforço de conformidade;

  • Reforçar a confiança do mercado e dos titulares;

  • Facilitar parcerias, contratos e acesso a ecossistemas regulados (ex.: financeiro ou saúde);

  • Reduzir penalidades, conforme critério de dosimetria da ANPD.

A obtenção de certificados exige cumprimento de requisitos objetivos, auditoria técnica e manutenção contínua dos padrões exigidos.

Indicadores, auditorias e certificações não são apenas ferramentas técnicas — são formas de tornar a privacidade visível, mensurável e confiável. Ao adotá-los, a organização fortalece sua governança, sua reputação e sua capacidade de evoluir no cenário da proteção de dados.

16. Evolução Legislativa e Perspectivas Regulatórias

Desde sua sanção, a LGPD vem sendo atualizada e reinterpretada por normas complementares e decisões da ANPD. Este capítulo apresenta o percurso legislativo da proteção de dados no Brasil, as iniciativas regulatórias em andamento, os temas emergentes como regulação de IA, proteção de dados infantis e monetização de dados. Discutiremos também a convergência com outras legislações — como Código Civil, Marco Civil da Internet, CDC e Lei do Governo Digital — e os impactos esperados de novas reformas legais.

16.1. Propostas de Atualização da LGPD

Desde sua promulgação, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem sido alvo de discussões sobre seu aprimoramento técnico, institucional e regulatório. A consolidação da Autoridade Nacional de Proteção de Dados (ANPD), as transformações digitais e os desafios operacionais enfrentados por empresas, órgãos públicos e titulares revelam a necessidade de ajustes pontuais e estratégicos no texto legal, com o objetivo de acompanhar a evolução tecnológica, garantir segurança jurídica e fortalecer os direitos fundamentais.

a) Reconhecimento formal da ANPD como autarquia

Embora a ANPD tenha sido transformada em autarquia de natureza especial, há propostas que visam:

  • Consolidar sua autonomia administrativa e orçamentária via emenda à LGPD;

  • Incluir previsão expressa de sua natureza jurídica no corpo da lei, reforçando sua independência técnica;

  • Facilitar sua participação em acordos internacionais e sua atuação como autoridade de Estado em fóruns globais.

Essa mudança visa alinhar o Brasil às práticas de governança adotadas por autoridades reconhecidas internacionalmente.

b) Aumento da proteção a dados sensíveis e decisões automatizadas

Propostas de emenda à LGPD incluem:

  • Reforço das salvaguardas no uso de dados sensíveis, com critérios mais claros para sua utilização em ambientes digitais;

  • Maior detalhamento sobre decisões automatizadas, incluindo exigência de explicabilidade e rastreabilidade algorítmica;

  • Inclusão de princípios éticos na inteligência artificial aplicada ao tratamento de dados, promovendo alinhamento com boas práticas internacionais.

Essas atualizações respondem aos avanços da tecnologia e aos riscos crescentes de discriminação algorítmica.

c) Fortalecimento dos direitos dos titulares

Entre as propostas em debate, destacam-se:

  • Redução de prazos para resposta aos requerimentos dos titulares, especialmente no setor público;

  • Inclusão de novos direitos complementares, como portabilidade entre plataformas digitais e oposição ao uso de inferências comportamentais;

  • Obrigatoriedade de design universal nos canais de exercício dos direitos, facilitando o acesso por pessoas com deficiência ou baixa instrução digital.

Essas medidas ampliam a efetividade do controle dos cidadãos sobre seus dados.

d) Maior responsabilização de operadores e terceiros

Atualmente, a LGPD atribui responsabilidades específicas ao controlador. Algumas propostas sugerem:

  • Expansão da responsabilização direta dos operadores, especialmente em casos de negligência técnica ou violação de contrato;

  • Obrigatoriedade de cláusulas mínimas em contratos de operação de dados, com definição clara de obrigações de segurança e conformidade;

  • Aumento da fiscalização sobre subcontratados e ecossistemas digitais, com regras específicas para plataformas integradas.

O objetivo é evitar pulverização de responsabilidades e criar cadeia regulatória robusta.

e) Integração com normas internacionais e tratados multilaterais

Há movimento legislativo no sentido de:

  • Harmonizar dispositivos da LGPD com os principais padrões internacionais, como GDPR e CCPA;

  • Facilitar decisões de adequação com países estratégicos, por meio da inclusão de cláusulas que expressem compatibilidade técnica e principiológica;

  • Estabelecer bases legais específicas para cooperação internacional em investigações e proteção transfronteiriça de dados.

A proposta reforça a inserção do Brasil no circuito global de proteção de dados e promove segurança nas transferências internacionais.

As propostas de atualização da LGPD buscam equilibrar inovação e proteção, eficiência e controle, autonomia institucional e convergência global. Trata-se de um processo natural de amadurecimento legislativo, que deve ser conduzido com participação social, escuta ativa de especialistas e diálogo interinstitucional.

16.2. Integração com Normas Setoriais e Internacionais

A efetiva conformidade à Lei Geral de Proteção de Dados Pessoais (LGPD) não deve ser compreendida de forma isolada. A complexidade do ambiente regulatório exige que as organizações integrem as disposições da LGPD com normas setoriais brasileiras específicas e com padrões internacionais de proteção de dados e segurança da informação, formando um arcabouço normativo harmônico e operacional.

Essa integração é fundamental para assegurar segurança jurídica, padronização de práticas internas, interoperabilidade internacional e aderência a exigências regulatórias múltiplas, sobretudo em setores altamente regulados ou com atuação global.

a) Conexão com Normas Setoriais Nacionais

Diversos setores da economia brasileira possuem regulamentações específicas relacionadas à privacidade, segurança e governança de dados, que coexistem com a LGPD. A integração entre essas normas é necessária para evitar lacunas, conflitos ou duplicidade de exigências. Dentre os principais marcos regulatórios setoriais, destacam-se:

  • Setor Financeiro (BACEN e CMN): Resoluções como a nº 4.658/2018 (revogada pela Resolução nº 85/2021), que trata da política de segurança cibernética para instituições financeiras, e as diretrizes do Open Finance, exigem robustez técnica e governança de dados compatível com a LGPD.

  • Setor de Saúde (ANS e SUS): A LGPD se articula com a Lei nº 13.787/2018 (sobre prontuários eletrônicos) e com as normas da ANS, exigindo especial cuidado com dados sensíveis, especialmente nos casos de compartilhamento entre operadoras, prestadores e pacientes.

  • Setor de Telecomunicações (ANATEL): O Regulamento Geral de Direitos do Consumidor de Serviços de Telecomunicações (RGC) já previa exigências sobre privacidade e uso de dados, que devem ser reinterpretadas à luz da LGPD.

  • Setor Educacional (MEC e Conselhos Regionais): As instituições de ensino tratam dados de crianças e adolescentes, demandando adequação à LGPD (art. 14) e compatibilidade com legislações educacionais, como a LDB e normas de conselhos de classe.

  • Setor Público (Decreto nº 10.046/2019 e Lei de Acesso à Informação): A administração pública deve conciliar a transparência com a proteção de dados, assegurando a finalidade e a minimização nas bases de dados governamentais.

A harmonização normativa setorial deve ser conduzida com apoio do Encarregado de Dados (DPO) e das áreas jurídicas, avaliando cada ponto de sobreposição ou tensão.

b) Conformidade com Normas Internacionais

Em um cenário de crescente globalização digital, a integração com normas internacionais de proteção de dados e segurança da informação é essencial, tanto para garantir a conformidade em operações transfronteiriças, quanto para ganhar competitividade e credibilidade internacional. Entre os principais referenciais, destacam-se:

  • Regulamento Geral de Proteção de Dados da União Europeia (GDPR): Considerado um dos padrões mais avançados do mundo, o GDPR serviu de inspiração à LGPD e exige, para transferências internacionais, garantias adequadas de proteção. Empresas brasileiras que tratam dados de residentes europeus devem compatibilizar ambos os regimes.

  • Normas ISO/IEC:

    • ISO/IEC 27001 (Gestão da Segurança da Informação): fornece o padrão para o Sistema de Gestão da Segurança da Informação (SGSI);

    • ISO/IEC 27701 (Privacidade da Informação): extensão da 27001 que estrutura controles específicos para proteção de dados pessoais, com aderência direta à LGPD e GDPR;

    • ISO/IEC 29134: diretrizes para avaliações de impacto à privacidade (PIA).

  • Framework NIST (EUA): O NIST Privacy Framework é amplamente adotado em organizações multinacionais, oferecendo uma abordagem flexível, baseada em riscos, para avaliação e melhoria contínua das práticas de privacidade.

  • APEC Privacy Framework e CBPR: Voltado à região Ásia-Pacífico, o sistema Cross-Border Privacy Rules é relevante para empresas com atuação global, e visa facilitar transferências internacionais com proteção consistente.

c) Benefícios da Integração Normativa

A integração com normas setoriais e internacionais proporciona diversos benefícios estratégicos para as organizações:

  • Redução de riscos regulatórios e reputacionais;

  • Melhoria da maturidade organizacional em privacidade e segurança;

  • Facilitação da transferência internacional de dados com parceiros e clientes globais;

  • Demonstração de diligência e accountability perante autoridades reguladoras;

  • Ganhos de eficiência e padronização de controles internos.

Além disso, tal integração favorece processos de certificação voluntária (art. 50. da LGPD), auditorias externas e contratos comerciais que envolvam cláusulas específicas de compliance em proteção de dados.

d) Desafios e Caminhos para a Integração

A principal dificuldade está na complexidade e diversidade das normas aplicáveis, que exigem constante atualização jurídica, mapeamento normativo e capacitação técnica. A superação desse desafio requer:

  • Diagnóstico normativo detalhado, por setor e jurisdição;

  • Revisão de políticas e procedimentos internos à luz das normas aplicáveis;

  • Interlocução constante com órgãos reguladores e associações de classe;

  • Capacitação de equipes jurídicas, técnicas e de compliance;

  • Adoção de frameworks de governança integrados, que combinem controles da LGPD, normas ISO e exigências setoriais.

A integração normativa é, portanto, uma etapa essencial para organizações que buscam não apenas estar em conformidade com a LGPD, mas também alinhar-se aos mais elevados padrões de proteção de dados do cenário global, reforçando sua resiliência jurídica, operacional e reputacional.

16.3. O Futuro da ANPD e a Proteção de Dados como Direito Fundamental

A consolidação da proteção de dados pessoais como direito fundamental no Brasil representa um marco jurídico, político e institucional de enorme relevância, sinalizando o reconhecimento da privacidade informacional como pilar da cidadania na era digital. Ao mesmo tempo, o fortalecimento da Autoridade Nacional de Proteção de Dados (ANPD) é condição indispensável para a efetividade desse direito, o equilíbrio regulatório e a construção de uma cultura sólida de governança de dados no país.

a) Proteção de Dados como Direito Fundamental

A Emenda Constitucional nº 115/2022 introduziu, no inciso LXXIX do art. 5º da Constituição Federal, o direito à proteção de dados pessoais, inclusive nos meios digitais, elevando-o ao status de cláusula pétrea. Esse reconhecimento expressa a importância crescente dos dados pessoais como extensão da personalidade, da autodeterminação individual e da dignidade humana.

Como direito fundamental, a proteção de dados:

  • Adquire aplicabilidade imediata, inclusive entre particulares (eficácia horizontal);

  • Demanda interpretação conforme os princípios constitucionais, como proporcionalidade, legalidade e finalidade;

  • Impõe limites mais estritos ao poder público e à iniciativa privada no tratamento de dados;

  • Fortalece a atuação do Poder Judiciário na tutela de titulares e na invalidação de atos normativos ou práticas abusivas;

  • Impulsiona a harmonização normativa, exigindo compatibilidade de legislações setoriais e administrativas com os preceitos da proteção de dados.

O reconhecimento constitucional também impõe ao Estado a obrigação de promover políticas públicas que garantam a efetividade do direito, inclusive em áreas como educação digital, inclusão tecnológica, proteção de crianças e adolescentes e combate à discriminação algorítmica.

b) O Papel Estruturante da ANPD

Criada inicialmente como órgão integrante da Presidência da República, a ANPD evoluiu, com a conversão da Medida Provisória nº 869/2018 na Lei nº 13.853/2019, e foi posteriormente transformada em autarquia de natureza especial, por meio do Decreto nº 11.034/2022. Essa evolução institucional reforça sua independência técnica e decisória, elemento essencial para garantir imparcialidade na regulação de um setor complexo e sensível.

A ANPD exerce papel estruturante na governança da proteção de dados no Brasil, com competências que incluem:

  • Regulamentar e interpretar a LGPD;

  • Fiscalizar e aplicar sanções administrativas;

  • Promover a educação e a conscientização pública;

  • Estimular boas práticas e políticas de governança;

  • Coordenar-se com outras autoridades e participar de fóruns internacionais;

  • Decidir sobre cláusulas-padrão, transferências internacionais e certificações.

Para cumprir sua missão, a ANPD deve continuar a se desenvolver em termos de:

  • Capacidade técnica e orçamentária;

  • Autonomia decisória e regulatória;

  • Transparência e previsibilidade regulatória;

  • Diálogo com a sociedade civil, setor privado e academia;

  • Adoção de abordagens baseadas em risco e proporcionalidade.

c) Desafios Regulatórios e Perspectivas Futuras

A atuação da ANPD será cada vez mais estratégica diante dos novos desafios colocados pelo avanço tecnológico, pela complexidade da economia digital e pelo uso massivo de dados em setores como saúde, finanças, educação e inteligência artificial. Entre os principais desafios que se colocam para o futuro da ANPD, destacam-se:

  • Regulação da inteligência artificial e de decisões automatizadas, garantindo transparência, não discriminação e direito à revisão humana (art. 20. da LGPD);

  • Aperfeiçoamento dos critérios para transferência internacional de dados, com segurança jurídica e alinhamento aos padrões globais, especialmente o GDPR;

  • Articulação com outras autoridades reguladoras (como BACEN, ANVISA, ANATEL, etc.), assegurando uniformidade normativa e cooperação técnica;

  • Promoção de certificações e selos de conformidade, incentivando práticas de accountability e diferenciação reputacional;

  • Desenvolvimento de critérios objetivos para cálculo de sanções, com aplicação proporcional e pedagógica;

  • Garantia de proteção de dados no setor público, incluindo políticas de interoperabilidade segura, minimização de dados e proteção contra vigilância indevida;

  • Combate à desigualdade informacional e à exclusão digital, promovendo uma cultura de privacidade acessível e inclusiva.

A ANPD também deverá ter um papel protagonista no debate sobre governança global de dados, atuando em fóruns multilaterais e contribuindo para a construção de consensos regulatórios que protejam os interesses nacionais sem isolar o país do fluxo legítimo de dados e inovação.

d) O Caminho para uma Proteção de Dados Sustentável e Democrática

O futuro da proteção de dados no Brasil dependerá de uma governança pública sólida, técnica e inclusiva, com foco em:

  • Educação e conscientização da população sobre seus direitos e riscos digitais;

  • Fomento à inovação responsável, com incentivos a startups, tecnologias éticas e soluções de privacidade por design;

  • Inclusão digital com justiça informacional, protegendo grupos vulneráveis e garantindo acesso seguro à cidadania digital;

  • Transparência algorítmica e combate ao abuso de poder informacional, evitando o uso discriminatório, opaco ou manipulativo de dados pessoais.

A convergência entre proteção de dados como direito fundamental e o fortalecimento institucional da ANPD como autoridade independente abre caminho para uma política de dados que combine segurança jurídica, desenvolvimento tecnológico e respeito aos direitos humanos, tornando o Brasil um protagonista no cenário da regulação digital global.

Conclusão da Parte III

A Parte III abordou os desafios contemporâneos e as tendências futuras no campo da proteção de dados pessoais. A aplicação da LGPD em cenários complexos, como o uso de inteligência artificial, a cibersegurança, e a transferência internacional de dados, evidencia a necessidade de atualização contínua e de uma regulação dinâmica. A construção de uma cultura de privacidade organizacional e o fortalecimento da governança em proteção de dados foram apontados como caminhos fundamentais para a conformidade sustentável. Por fim, as propostas de evolução legislativa e o reconhecimento da proteção de dados como pilar democrático indicam que o Brasil caminha rumo à consolidação de um regime sólido e equilibrado de direitos digitais.

Assuntos relacionados
LGPD - Lei Geral de Proteção de Dados (Lei 13.709)
Sobre o autor
Imagem do autor Wilton Magário Junior
Wilton Magário Junior

Wilton Magário Junior é um advogado de destaque em São Paulo, com ampla atuação nas áreas de Direito Tributário, Ambiental, Empresarial e Civil. Reconhecido por sua capacidade em enfrentar questões complexas do ordenamento jurídico brasileiro, Wilton construiu uma carreira marcada pela defesa de clientes em processos de alta relevância, figurando em centenas de demandas nos tribunais estaduais e federais. Sua expertise reside na interpretação e aplicação das normas tributárias e na proposição de soluções inovadoras em planejamento sucessório, inventários, reestruturações societárias e litígios empresariais. Além de sua prática advocatícia, Wilton destaca-se como um prolífico autor e comentarista jurídico, contribuindo de forma consistente para o debate acadêmico e profissional por meio de artigos e publicações em portais especializados – como o Jus.com.br – e participando ativamente de eventos e palestras promovidas por instituições jurídicas renomadas, como a AASP. Sua dedicação à prestação de um serviço jurídico altamente qualificado e seu compromisso com a modernização do Direito, por meio da utilização de tecnologias digitais e da assinatura eletrônica, refletem a visão de um profissional antenado às evoluções do contexto legal e econômico. Com carreira consolidada e participação expressiva em mais de 900 processos, Wilton Magário Junior é reconhecido não apenas por sua habilidade técnica e estratégica, mas também por sua postura ética e comprometida com a boa-fé processual. Sua trajetória é um exemplo de excelência e inovação, contribuindo para a evolução das práticas jurídicas e o acesso à Justiça no Brasil.

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Leia seus artigos favoritos sem distrações, em qualquer lugar e como quiser

Assine o JusPlus e tenha recursos exclusivos

  • Baixe arquivos PDF: imprima ou leia depois
  • Navegue sem anúncios: concentre-se mais
  • Esteja na frente: descubra novas ferramentas
Economize 17%
Logo JusPlus
JusPlus
de R$
29,50
por

R$ 2,95

No primeiro mês

Cobrança mensal, cancele quando quiser
Assinar
Já é assinante? Faça login
Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Colabore
Publique seus artigos
Fique sempre informado! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos