Sete anos de LGPD: os avanços e os novos desafios com a inteligência artificial

Sete anos de LGPD: os avanços e os novos desafios com a inteligência artificial
Sete anos após sua entrada em vigor, a LGPD se consolida no Judiciário e na regulação, mas enfrenta novos desafios com a inteligência artificial e a baixa maturidade de conformidade nas empresas/Freepik
Publicado em 15/08/2025 às 3:00

Da redação de LexLegal

Quando foi sancionada, em agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) marcou um divisor de águas no tratamento de informações pessoais no Brasil. Inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, mas adaptada à realidade brasileira, a norma nasceu para estabelecer direitos claros aos titulares e regras rigorosas para empresas e órgãos públicos que coletam, armazenam, processam e compartilham dados.

Leia também: DeepSeek segue as exigências da LGPD?

Desde a sua entrada em vigor, em 2020, a LGPD vem passando de promessa a realidade jurídica. A lei determinou que qualquer operação envolvendo dados pessoais — de um simples cadastro de cliente ao cruzamento de grandes bases para fins comerciais ou políticos — precisa estar amparada por uma base legal legítima, respeitar princípios como finalidade, necessidade e transparência, e adotar medidas de segurança para evitar incidentes.

O contexto de 2025, contudo, revela uma fotografia complexa: há conquistas concretas, mas também lacunas que exigem atenção. O avanço do uso da inteligência artificial (IA), a intensificação dos ataques cibernéticos e a baixa maturidade em governança de dados ainda colocam em risco a efetividade da lei. No ambiente corporativo, a conformidade plena com a LGPD ainda é exceção — não regra — e a atuação regulatória precisa acompanhar a velocidade das mudanças tecnológicas.

A força da LGPD no Judiciário

Se por um lado as empresas caminham a passos desiguais na adaptação, no Judiciário a LGPD já ganhou status de pilar interpretativo. De acordo com a quarta edição do Painel LGPD nos Tribunais, elaborado pelo Centro de Direito, Internet e Sociedade (CEDIS-IDP) em parceria com o Jusbrasil, o número de decisões judiciais que citam a LGPD mais que dobrou entre outubro de 2023 e outubro de 2024: de 7.503 para 15.921 casos.

Mais relevante do que a quantidade é a qualidade: em cerca de um terço dessas decisões, a LGPD foi a base principal do julgamento. Isso mostra que magistrados passaram a utilizá-la não apenas como referência, mas como fundamento jurídico central, seja para responsabilizar empresas por vazamentos, seja para garantir direitos como acesso, exclusão ou portabilidade de dados.

Regulação em amadurecimento

O papel da Autoridade Nacional de Proteção de Dados (ANPD) foi decisivo para consolidar a LGPD. Desde que passou a aplicar sanções em 2021, a autarquia já publicou guias técnicos, realizou consultas públicas, definiu procedimentos para comunicação de incidentes e aplicou multas.

Nos últimos dois anos, houve um salto regulatório. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) entregou à ANPD um relatório técnico de mais de 800 páginas, com contribuições de sete grupos de trabalho sobre governança, educação, dados abertos e compliance. Também manifestou apoio à criação do Dia Nacional da Proteção de Dados e se posicionou contra tentativas de isentar igrejas e partidos das obrigações da lei.

Esses movimentos indicam um amadurecimento institucional e regulatório que coloca o Brasil em posição de destaque internacional. Mas, como alertam especialistas, a eficácia plena depende da adesão real das empresas e de investimentos constantes em segurança da informação.

Conformidade ainda distante

Segundo levantamento da IT Trends Snapshot, apenas 36% das empresas brasileiras se consideram totalmente em conformidade com a LGPD. Para a advogada Karina Gutierrez, do escritório Bosquê & Grieco, a lei trouxe “um novo paradigma de responsabilização”, exigindo bases legais claras, medidas de segurança e governança robustas, avaliação de impacto e gestão de incidentes.

Ela lembra que a LGPD prevê sanções de até 2% do faturamento bruto, mas que o custo reputacional pode ser ainda maior. “O risco não é apenas financeiro; é também a perda de confiança do cliente e a exposição negativa no mercado”, afirma.

O desafio da inteligência artificial

O avanço acelerado da IA adiciona novas camadas de risco. Em 2024, o Centro de Tratamento e Respostas a Incidentes Cibernéticos do Governo (CTIR Gov) registrou mais de 3 mil vazamentos de dados. A ANPD contabilizou, até junho de 2025, 183 comunicações formais de incidentes.

Outras notícias: LGPD: o que isso afeta os condomínios?

Rogério Rutledge, DPO da Runtalent – empresa especializada em soluções digitais e alocação de profissionais de tecnologia da informação – alerta que modelos de linguagem podem reproduzir trechos sensíveis usados em prompts e que ataques de prompt injection já demonstraram a possibilidade de extrair dados de sistemas integrados. “Sem segregação de ambientes e backups criptografados, o uso de IA pode ampliar vazamentos em vez de preveni-los”, afirma.

Entre as práticas recomendadas, Rutledge cita governança de dados, controles de acesso, políticas de identidade, testes regulares de segurança e planos de resposta a incidentes.

Cultura de privacidade como meta

Para a advogada e professora de Direito Rayla Santos, especialista em LGPD, coordenadora do Curso de Direito do Centro Universitário Afya Itaperuna, “não se trata apenas de uma norma jurídica, mas da construção contínua de uma cultura de respeito à privacidade”. Ela defende que a proteção de dados seja tema transversal, envolvendo áreas como tecnologia, engenharia e ciências sociais, e não apenas departamentos jurídicos.

Segundo Rayla, princípios como consentimento informado, minimização de dados e transparência algorítmica precisam ser incorporados desde a concepção de produtos e serviços (privacy by design) e mantidos como padrão por default (privacy by default).

O que precisa ser aprimorado

Sete anos após sua sanção, a LGPD é um marco consolidado no ordenamento jurídico brasileiro, mas sua plena maturidade depende de avanços concretos em áreas complementares. Um dos pontos centrais é o fortalecimento da Autoridade Nacional de Proteção de Dados (ANPD). Isso implica ampliar recursos humanos e financeiros, assegurar maior autonomia decisória e reforçar a capacidade de fiscalização e aplicação de sanções.

Com uma demanda crescente de incidentes, consultas e regulamentações, a ANPD precisa de estrutura proporcional ao tamanho do desafio, para agir com agilidade e profundidade tanto em casos individuais quanto em temas de interesse coletivo.

Outro pilar é a capacitação técnica. O avanço de tecnologias como inteligência artificial, big data e blockchain cria novos riscos e demandas especializadas. A formação contínua de profissionais — advogados, engenheiros, especialistas em segurança da informação e gestores — é essencial para garantir que organizações públicas e privadas consigam interpretar e aplicar a LGPD de forma eficaz. Programas de treinamento, certificações e incentivo à pesquisa acadêmica devem fazer parte de uma estratégia nacional para qualificar a força de trabalho nesse campo.

integração regulatória também é decisiva. A LGPD precisa dialogar com outros marcos normativos, como a futura lei de inteligência artificial, a legislação setorial de saúde, educação e finanças, e normas internacionais de proteção de dados. A harmonização evita sobreposições ou lacunas regulatórias e dá segurança jurídica para empresas e cidadãos, permitindo que a inovação tecnológica avance sem sacrificar direitos fundamentais.

No âmbito interno das organizações, é indispensável consolidar uma cultura organizacional que incorpore a privacidade como valor estratégico. Isso significa ir além da mera conformidade formal, promovendo políticas internas, treinamentos regulares e a participação ativa da alta gestão. Empresas que colocam a proteção de dados no centro de suas operações tendem a ganhar vantagem competitiva, pois reforçam a confiança de clientes, parceiros e investidores.

Por fim, a tecnologia segura é a base prática para que todos os outros esforços tenham efeito. A adoção de medidas preventivas — como backups criptografados, controles de acesso, testes de segurança recorrentes, segregação de ambientes e monitoramento contínuo — reduz drasticamente o risco de vazamentos e ataques cibernéticos. A segurança da informação deve ser tratada como investimento estratégico, e não como custo eventual, já que o impacto financeiro e reputacional de um incidente supera, na maioria das vezes, o valor aplicado em prevenção.

O Brasil avançou de forma significativa em jurisprudência, regulação e conscientização desde a criação da LGPD, mas a evolução tecnológica impõe desafios contínuos. O fortalecimento institucional, a capacitação de profissionais, a integração normativa, a incorporação cultural da privacidade e o investimento em tecnologia segura formam um conjunto indissociável para que a proteção de dados pessoais seja efetiva.

Veja também: Mercado de dados pessoais no Brasil: os limites legais e o impacto da LGPD

Sem esse compromisso integrado, o risco é que a legislação perca força diante das transformações digitais, comprometendo um dos direitos fundamentais mais estratégicos da era da informação: a privacidade.s só será efetiva se houver um compromisso permanente entre Estado, empresas e sociedade para atualizar normas, investir em segurança e cultivar uma cultura de respeito à privacidade como direito fundamental.

SÃO PAULO WEATHER