LGPD na Prática: Decisões da ANPD e o Papel Estratégico da Advocacia
A consolidação da ANPD eleva o rigor fiscalizatório sobre o tratamento de dados no Brasil. O artigo analisa o cenário atual de sanções, o impacto das novas tecnologias e as diretrizes práticas para a adequação jurídica de empresas e entes públicos.
Introdução: O Novo Patamar de Fiscalização e o Fortalecimento da ANPD
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), amplamente conhecida como LGPD, ultrapassou a fase de adaptação teórica e adentrou, de forma definitiva, em um período de rigorosa aplicação prática. O fortalecimento institucional da Autoridade Nacional de Proteção de Dados (ANPD) tem elevado substancialmente a pressão para que as empresas acelerem e aprofundem seus processos de adequação [4]. O cenário atual demonstra que a autarquia deixou de atuar apenas com viés educativo e passou a exercer, com plenitude, seu poder sancionatório, instaurando processos administrativos e aplicando multas que afetam diretamente o caixa e a reputação das organizações.
Neste contexto de maturidade regulatória, observa-se que a conformidade com a LGPD deixou de ser um mero diferencial competitivo para se tornar uma exigência básica de sobrevivência no mercado. A proteção de dados pessoais integra agora o núcleo duro das políticas de governança corporativa e de compliance. A atuação da ANPD, ao publicar resoluções, guias orientativos e, sobretudo, ao proferir decisões condenatórias, estabelece a jurisprudência administrativa que deve guiar a atuação preventiva e contenciosa dos profissionais do Direito.
Compreender as nuances destas decisões, os focos de fiscalização da autoridade e os reflexos práticos das normativas é essencial para a estruturação de programas de privacidade robustos. O ecossistema jurídico exige, portanto, uma análise detida sobre os recentes movimentos da agência reguladora, as intersecções com outras áreas do direito e as metodologias mais eficazes para mitigar riscos inerentes ao tratamento de dados pessoais em um mundo cada vez mais digitalizado.
Monitoramento, Sanções e a Obrigatoriedade do Encarregado de Dados (DPO)
Um dos pilares da governança em privacidade previstos pela LGPD é a nomeação do Encarregado pelo Tratamento de Dados Pessoais, internacionalmente conhecido como Data Protection Officer (DPO). A importância desta figura tem sido sublinhada pelas recentes ações de fiscalização da ANPD. A autoridade concluiu recentemente um amplo monitoramento focado na atuação dos encarregados de dados e anunciou que avaliará a aplicação de sanções a 21 empresas e órgãos públicos que apresentaram irregularidades neste aspecto [11].
A ausência de nomeação formal do DPO, a falta de publicidade de seus dados de contato ou a indicação de profissionais que não possuem a independência e o conhecimento técnico necessários configuram infrações diretas ao artigo 41 da LGPD. A fiscalização ativa da ANPD demonstra que não basta às organizações possuírem políticas de privacidade de fachada; é imperativo que haja uma estrutura de governança operacional e responsiva. O DPO atua como o elo fundamental de comunicação entre o controlador, os titulares dos dados e a própria autoridade nacional.
Além da nomeação do encarregado, a ANPD tem exigido a comprovação material das medidas de segurança e governança adotadas. Nesse sentido, a estruturação de um ecossistema documental sólido é indispensável. Artigos e estudos técnicos, como os desenvolvidos no âmbito dos Tribunais de Contas, reforçam a necessidade de manter registros precisos das operações de tratamento de dados (ROPA), relatórios de impacto à proteção de dados pessoais (RIPD) e políticas internas de retenção e descarte de informações [5]. A ausência dessa documentação inverte o ônus da prova em desfavor da organização em caso de incidentes de segurança ou auditorias da autoridade.
O Setor Público na Mira da Conformidade e da Transparência
Engana-se quem restringe a aplicação da LGPD à iniciativa privada. O Poder Público, enquanto detentor de gigantescas bases de dados sensíveis e pessoais dos cidadãos, está igualmente sujeito às regras da legislação e à fiscalização da ANPD. A busca pela conformidade tem mobilizado diversas esferas governamentais, exigindo a implementação de medidas técnicas e administrativas complexas.
Iniciativas de capacitação e conscientização têm se multiplicado em órgãos públicos. O Tribunal de Justiça do Amazonas (TJAM), por exemplo, inovou ao avançar no desenvolvimento do "LGPD Play", uma plataforma gamificada voltada para a capacitação de servidores em proteção de dados [6]. Da mesma forma, prefeituras de grandes metrópoles, como São Paulo, têm estruturado portais e diretrizes específicas para alinhar seus serviços aos ditames da lei [2]. O Tribunal de Contas do Estado do Rio Grande do Norte (TCE-RN) também ampliou o acesso a informações sobre o tema por meio de um portal dedicado à LGPD [9], enquanto o TCE-MS tem promovido palestras e debates sobre a proteção de dados pessoais no âmbito do poder público [10].
A conformidade no setor público também abrange áreas sensíveis da administração, como a saúde. A capacitação de profissionais da Rede de Atenção Psicossocial (RAPS), que lidam diariamente com dados de saúde mental — classificados como dados sensíveis pela LGPD —, ilustra a capilaridade da lei e a necessidade de treinamento contínuo para evitar o compartilhamento indevido de informações de pacientes [1].
Além disso, a proteção de dados assumiu um papel central em debates políticos e administrativos. Em processos de desestatização, como o caso da privatização da Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar), o tratamento do acervo de dados dos cidadãos tornou-se alvo de escrutínio. Pedidos de auditoria direcionados à ANPD evidenciam que a transferência do controle de bases de dados governamentais para a iniciativa privada exige garantias contratuais e regulatórias robustas para prevenir o uso indevido dessas informações [13].
Para padronizar e orientar essas ações, a Controladoria-Geral da União (CGU), em conjunto com a ANPD, abriu consulta pública para colher contribuições ao Guia de Transparência e Proteção de Dados Pessoais [8]. Este instrumento visa harmonizar os princípios da Lei de Acesso à Informação (LAI) com as restrições impostas pela LGPD, um dos maiores desafios jurídicos enfrentados pelos gestores públicos na atualidade.
Desafios Tecnológicos: Inteligência Artificial e Resposta a Incidentes
A rápida evolução tecnológica impõe desafios contínuos à aplicação da LGPD. A adoção de ferramentas de Inteligência Artificial Generativa no ambiente corporativo, como os modelos avançados da série GPT, introduziu novos vetores de risco. A utilização dessas plataformas no trabalho cotidiano sem a devida parametrização pode resultar em graves violações de segurança e vazamentos de dados confidenciais ou pessoais [3]. Quando funcionários inserem informações de clientes, contratos ou dados de saúde em plataformas públicas de IA para redigir e-mails ou resumir documentos, eles expõem a empresa a infrações diretas aos princípios da finalidade, necessidade e segurança previstos na lei.
A regulação do ambiente digital e a tomada de subsídios pela ANPD para compreender essas novas tecnologias são passos fundamentais para a criação de um arcabouço normativo que não sufoque a inovação, mas que garanta os direitos dos titulares [12]. As empresas precisam atualizar urgentemente suas políticas de uso de equipamentos e internet, incluindo diretrizes claras sobre o uso de IA corporativa e estabelecendo limites para o input de dados nessas ferramentas.
Paralelamente à prevenção, a capacidade de resposta a incidentes de segurança (vazamentos de dados) é um critério de grande peso na dosimetria das sanções aplicadas pela ANPD. Campanhas de conscientização, como as promovidas pela Justiça do Trabalho (TRT6), orientam não apenas as instituições, mas os próprios cidadãos sobre o que fazer caso seus dados sejam expostos [7]. Do ponto de vista jurídico-corporativo, a elaboração de um Plano de Resposta a Incidentes é inegociável. A lei exige que a ANPD e os titulares sejam comunicados em prazo razoável (atualmente fixado em dois dias úteis, como regra geral) caso ocorra um incidente que possa acarretar risco ou dano relevante. A inércia ou a tentativa de ocultar o vazamento agrava severamente a responsabilização do controlador.
Intersecções Regulatórias: Concorrência e Proteção de Vulneráveis
A proteção de dados pessoais não opera em um vácuo jurídico; ela se interconecta com diversos outros ramos do Direito. Uma das intersecções mais debatidas atualmente é a relação entre a privacidade e o Direito Concorrencial. Especialistas apontam que a ANPD e o Conselho Administrativo de Defesa Econômica (Cade) devem atuar em conjunto [14]. No ecossistema digital, a acumulação massiva de dados (Big Data) cria barreiras à entrada de novos competidores e confere poder de mercado às chamadas Big Techs. Operações de fusão e aquisição (M&A) que envolvem grandes bases de dados exigem, cada vez mais, uma análise bifocal: o impacto na concorrência e o respeito à privacidade dos usuários.
Outro ponto de extrema sensibilidade diz respeito à proteção de crianças e adolescentes no ambiente digital. O Comitê Gestor da Internet no Brasil (CGI.br) tem proposto a aplicação de uma gradação regulatória para a efetivação de um "ECA Digital", visando adaptar o Estatuto da Criança e do Adolescente às realidades virtuais [16]. A LGPD dedica uma seção específica (Art. 14) ao tratamento de dados de menores, exigindo o consentimento específico e em destaque de pelo menos um dos pais ou do responsável legal. O rigor na coleta de dados em jogos online, redes sociais e plataformas educacionais é uma prioridade fiscalizatória, demandando que as empresas implementem mecanismos eficazes de verificação etária e privacy by design.
A complexidade desses temas reforça a necessidade de constante atualização e debate por parte da comunidade jurídica. Simpósios e congressos, como o promovido pela OAB-BA com a participação de membros da ANPD, são espaços vitais para o alinhamento de entendimentos e o aprimoramento das práticas advocatícias frente aos novos desafios regulatórios [15].
A Atuação Estratégica da Advocacia na Adequação à LGPD
Diante do recrudescimento da fiscalização e da complexidade do ambiente digital, o papel da advocacia transcende a mera elaboração de contratos. A atuação jurídica no âmbito da LGPD exige uma abordagem multidisciplinar, preventiva e estratégica, auxiliando as organizações a construírem uma cultura genuína de privacidade.
O trabalho de adequação (compliance em proteção de dados) inicia-se com o Data Mapping (mapeamento de dados), fase em que o advogado, frequentemente em conjunto com profissionais de segurança da informação, identifica o ciclo de vida dos dados dentro da organização: como são coletados, onde são armazenados, com quem são compartilhados e quando são descartados. A partir deste diagnóstico (Gap Analysis), a advocacia atua na definição das bases legais adequadas para cada operação de tratamento, afastando a dependência exclusiva do consentimento, que muitas vezes se mostra frágil e revogável.
A redação de Políticas de Privacidade e Termos de Uso deve abandonar o juridiquês excessivo e adotar o princípio da transparência, utilizando linguagem clara e acessível, conforme exigido pela lei. Além disso, a revisão contratual é uma etapa crítica. É necessário aditivar contratos de trabalho para prever o tratamento de dados dos colaboradores e, sobretudo, revisar os contratos com fornecedores e parceiros comerciais (operadores de dados), estabelecendo cláusulas rigorosas de responsabilidade solidária, obrigações de notificação de incidentes e exigências de auditoria (Right to Audit).
Outro serviço de grande relevância prestado por bancas jurídicas é o DPO as a Service (Encarregado de Dados terceirizado). Muitas organizações, especialmente de médio porte, optam por terceirizar essa função para escritórios de advocacia especializados, garantindo a independência exigida pela lei e assegurando que a comunicação com a ANPD seja conduzida por profissionais com profundo conhecimento do processo administrativo sancionador.
É imperativo ressaltar que a adequação à LGPD não é um projeto com data de término, mas sim um programa contínuo de governança. A advocacia atua na elaboração de Relatórios de Impacto, na condução de treinamentos corporativos e na simulação de respostas a incidentes de segurança (Tabletop Exercises). A mitigação de riscos jurídicos, embora não possa garantir imunidade absoluta contra vazamentos — dada a natureza volátil da segurança da informação —, demonstra a boa-fé corporativa e serve como atenuante crucial em caso de processos administrativos perante a ANPD ou litígios judiciais movidos por titulares de dados.
Conclusão
A consolidação da Autoridade Nacional de Proteção de Dados e o início efetivo da aplicação de sanções marcam uma nova era para a segurança da informação e para o Direito Digital no Brasil. A fiscalização sobre a figura do Encarregado de Dados, a pressão por adequação tanto no setor privado quanto no público, e os desafios impostos pelas novas tecnologias, como a Inteligência Artificial, compõem um cenário de alta complexidade regulatória.
Neste panorama, a advocacia exerce uma função indispensável. A transição de um modelo reativo para uma cultura preventiva de proteção de dados exige o acompanhamento jurídico especializado. Ao estruturar programas de governança sólidos, revisar cadeias contratuais e orientar a resposta a incidentes, os profissionais do Direito garantem não apenas a conformidade legal das organizações, mas também a preservação de sua reputação e a construção de uma relação de confiança com os titulares dos dados. A conformidade com a LGPD, em última análise, consolida-se como um pilar fundamental da sustentabilidade e da segurança jurídica no mercado contemporâneo.
Reportagens e referências consultadas para a elaboração deste artigo.
- Saúde Mental realiza 2º Módulo de Capacitação a profissionais da Raps - toledo.pr.gov.br
Google News BR
- Lei de Proteção de Dados (LGPD) - Prefeitura de São Paulo
Google News BR
- GPT-5.5 no trabalho: os riscos de segurança e violação à LGPD - martinelli.adv.br
Google News BR
- Fortalecimento da ANPD eleva pressão para que empresas acelerem adequação à LGPD - Valor Econômico
Google News BR
- Auditor do TCE-ES, Durval Senna publica artigo sobre o ecossistema documental da LGPD - Tribunal de Contas do Estado do Espírito Santo
Google News BR
- TJAM avança no desenvolvimento do LGPD Play, plataforma gamificada para capacitação em proteção de dados - tjam.jus.br
Google News BR
- Campanha de Proteção de Dados Pessoais – O que fazer se seus dados vazarem? - trt6.jus.br
Google News BR
- CGU e ANPD abrem consulta pública para contribuições ao Guia de Transparência e Proteção de Dados Pessoais - www.gov.br
Google News BR
- Portal da LGPD amplia acesso a informações sobre proteção de dados - TCE RN
Google News BR
- Escoex vai promover palestra sobre proteção de dados pessoais e poder público - TCE-MS
Google News BR
- ANPD conclui monitoramento de encarregados de dados e vai avaliar sanção a 21 empresas e órgãos públicos - www.gov.br
Google News BR
- Ambiente digital: tomada de subsídios da ANPD e regulação de alvarás - mattosfilho.com.br
Google News BR
- Líder da Oposição aciona ANPD e pede auditoria sobre proteção de dados no processo de privatização da Celepar - Assembleia Legislativa do Paraná
Google News BR
- ANPD e Cade devem atuar em conjunto, dizem especialistas - Mobile Time
Google News BR
- OAB-BA promove Simpósio Baiano de Proteção de Dados com participação da ANPD - OAB-BA
Google News BR
- CGI.br propõe gradação regulatória para aplicação do ECA Digital - TeleSíntese
Google News BR
Artigo elaborado com auxílio de inteligência artificial a partir das fontes citadas, com revisão editorial.
Cada pessoa pode curtir uma vez