No dia 14 de agosto de 2025, a Lei nº 13.709/2018 — conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) — completa sete anos desde sua promulgação. A norma, que entrou em vigor em setembro de 2020, representa um marco regulatório na consolidação de direitos fundamentais relacionados à privacidade e à proteção de dados no ordenamento jurídico brasileiro. Em um contexto de crescente digitalização das relações sociais, econômicas e institucionais, a LGPD tornou-se instrumento indispensável para a conformação de práticas legítimas e seguras no tratamento de dados pessoais.
Inspirada no modelo europeu do General Data Protection Regulation (GDPR), a LGPD estabelece princípios e bases legais que orientam o tratamento de dados por agentes públicos e privados, com destaque para os princípios da finalidade, adequação, necessidade, livre acesso, segurança e prevenção. A lei também institui direitos aos titulares, como o acesso facilitado às informações, a correção de dados incompletos ou desatualizados, a portabilidade e a revogação do consentimento. Como bem destacou Danilo Doneda[1], jurista e um dos principais formuladores da LGPD, a proteção de dados é uma dimensão da proteção da personalidade, e não apenas uma questão de segurança da informação.
Desde sua promulgação em 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) transformou o cenário jurídico e institucional da privacidade no Brasil, culminando na criação da Autoridade Nacional de Proteção de Dados (ANPD) e na elevação da proteção de dados à categoria de direito fundamental pela Emenda Constitucional nº 115/2022. Ao longo dos anos, a ANPD consolidou sua atuação normativa e fiscalizatória, regulamentando processos de fiscalização e sanção administrativa, adaptando a LGPD para agentes de tratamento de pequeno porte e estabelecendo critérios de dosimetria para penalidades.
Além disso, a Autoridade publicou guias orientativos que ampliam a compreensão e aplicação da lei em diversos contextos, como pesquisa acadêmica, uso de cookies, atuação do poder público, eleições e segurança da informação, fortalecendo a cultura de proteção de dados no país.
No último ano, o referido órgão avançou na regulamentação de temas estratégicos, como a regulamentação da transferência internacional de dados[2], a definição das atribuições do encarregado pelo tratamento de dados (Data Protection Officer – DPO)[3] e o lançamento da Tomada de Subsídios sobre o tratamento de dados biométricos[4]. Destacou-se também na fiscalização de casos importantes, como o da Tools for Humanity[5], que envolve questões delicadas sobre dados sensíveis – como escaneamento de íris e rosto – em troca de criptomoedas.
Adicionalmente, a ANPD tem desempenhado um papel importante na regulamentação da inteligência artificial no Brasil, participando ativamente de debates públicos, reforçando a importância de uma regulação centralizada e coerente, capaz de oferecer segurança jurídica e orientações claras para o uso responsável da IA.
Contudo, os desafios permanecem significativos. A implementação da LGPD exige das organizações não apenas adequações técnicas, mas também mudanças estruturais em sua governança de dados. A escassez de profissionais especializados, a complexidade dos fluxos informacionais e a ausência de cultura organizacional voltada à proteção de dados são obstáculos recorrentes. Além disso, o avanço de tecnologias como inteligência artificial, machine learning e biometria impõe à regulação a necessidade de constante atualização e diálogo interdisciplinar.
Sete anos após sua promulgação, a LGPD reafirma sua relevância como instrumento de tutela da privacidade e da autodeterminação informativa. Em um cenário marcado pela intensificação do uso de dados e pela crescente sofisticação dos riscos cibernéticos, a efetividade da lei dependerá da maturidade regulatória, da capacitação técnica dos agentes de tratamento e do engajamento da sociedade na defesa de seus direitos.
[1] DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico Journal of Law, Joaçaba, v. 12, n. 2, p. 25–38, jul./dez. 2011. Disponível em: https://periodicos.unoesc.edu.br/espacojuridico/article/view/1315/658. Acesso em: 12 ago. 2025.
[2] BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 19, de 23 de agosto de 2024. Aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais. Diário Oficial da União, Brasília, DF, 23 ago. 2024, Seção 1, p. 123. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/resolucao-normatiza-transferencia-internacional-de-dados. Acesso em: 12 ago. 2025.
[3] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia orientativo: atuação do encarregado pelo tratamento de dados pessoais. Brasília, DF: ANPD, 2024. Disponível em: https://www.gov.br/anpd/pt-br/centrais-de-conteudo/materiais-educativos-e-publicacoes/copy_of_guia_da_atuacao_do_encarregado_anpd.pdf. Acesso em: 12 ago. 2025.
[4] BRASIL. Autoridade Nacional de Proteção de Dados. ANPD abre Tomada de Subsídios sobre Tratamento de Dados Biométricos. Brasília: ANPD, 2025. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-tomada-de-subsidios-sobre-tratamento-de-dados-biometricos. Acesso em: 12 ago. 2025.
[5] BRASIL. Autoridade Nacional de Proteção de Dados. Após recurso administrativo, Conselho Diretor mantém suspensão de pagamento por coleta de íris. Brasília: ANPD, 2025. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/apos-recurso-administrativo-conselho-diretor-mantem-suspensao-de-pagamento-por-coleta-de-iris. Acesso em: 12 ago. 2025.
