Por Silvia Luisa Eifert Haas, advogada do escritório Kipper Gewehr e pós-graduada em privacidade e proteção de dados pessoais
Em setembro de 2025, a Lei Geral de Proteção de Dados completa cinco anos em pleno vigor. Mas, afinal, como uma lei que trouxe uma série de obrigações para as empresas tem impactado não apenas as rotinas corporativas, mas também a vida dos titulares de dados — os verdadeiros protagonistas dessa história?
A LGPD é uma lei principiológica que estabeleceu direitos e deveres, mas não especificou como os controles de proteção de dados deveriam ser implementados no dia a dia das organizações. Para transformar as exigências legais em práticas efetivas, aquelas empresas comprometidas com o compliance se viram obrigadas a recorrerem a normas técnicas, boas práticas reconhecidas internacionalmente e frameworks consolidados, como as normas da família ISO/IEC 27000 e 27701, o NIST Privacy Framework, além das diretrizes da própria Autoridade Nacional de Proteção de Dados — ANPD e também do CNIL (autoridade de proteção de dados da França). Esses referenciais fornecem o como executar, traduzindo a legislação em medidas técnicas, administrativas e de governança capazes de concretizar a proteção de dados pessoais.
Com base nisso, as organizações engajadas em atuar em conformidade com a legislação começaram a promover uma verdadeira mudança cultural em privacidade e proteção de dados pessoais, incorporando novos controles às rotinas, bem como práticas contínuas de monitoramento e treinamento. À medida que a maturidade aumenta, consolida-se o entendimento de que um projeto de privacidade, para ser efetivo, deve evoluir para um programa de governança estruturado, com início, meio e continuidade.
Só assim as empresas se tornam competitivas e capazes de respeitar os direitos dos titulares, que gradualmente vêm fazendo valer a proteção que lhes é conferida pela legislação. Há sete anos, quando a LGPD foi sancionada, muitos titulares sequer sabiam que esses direitos existiam. É importante lembrar que essa legislação foi criada para colocar as pessoas em primeiro lugar. Proteger dados pessoais – um ativo precioso no mundo moderno — é, acima de tudo, proteger pessoas, sua privacidade e sua dignidade.
Além do mais, o aumento expressivo de golpes utilizando informações pessoais despertou senso de urgência nos titulares em busca de proteção e/ou reparação. Prova disso é o aumento expressivo de requerimentos à ANPD no último ano, seja por meio de petição de titulares — quando a pessoa já tentou exercer seus direitos junto a empresa controladora, mas não obteve resposta ou essa não foi satisfatória –, seja por denúncia que qualquer pessoa pode apresentar para relatar possíveis infrações à lei.
Esse cenário também alcança o Poder Judiciário. O crescimento no número de ações envolvendo a LGPD demonstra que os titulares estão cada vez mais dispostos a recorrer ao Judiciário em busca de reparação por danos decorrentes do mau uso de seus dados pessoais, seja na esfera cível, seja na esfera trabalhista. O Painel LGPD nos Tribunais 2025 apontou um aumento expressivo no volume de decisões que fazem referência à lei, o que demonstra que a LGPD vem se consolidando como fundamento jurídico relevante e cada vez mais presente nas sentenças. Trata-se de um indicativo de amadurecimento do sistema, mas também de que as empresas precisam estar preparadas não apenas para responder às demandas da ANPD, mas para se defender em processos judiciais que podem gerar impactos financeiros e reputacionais significativos.
Nesse cenário, o dever das empresas de zelar pelos dados pessoais dos titulares que com elas interagem assume uma dimensão ainda maior. Se, no presente, a adoção de medidas de segurança e práticas de governança pode mitigar riscos imediatos, talvez apenas nas futuras gerações consigamos perceber de forma plena os reflexos desse trabalho. Assim como ocorreu em outras agendas sociais — a exemplo da proteção ambiental ou da defesa dos direitos do consumidor —, a consolidação de uma cultura sólida de privacidade e proteção de dados pessoais tende a ser um processo gradual, mas que precisa ser cultivado desde já. Investir em proteção de dados hoje é, portanto, plantar as bases de um futuro digital mais seguro e menos vulnerável às fraudes e golpes que hoje assolam a sociedade.
Para as empresas que já avançaram em maturidade, assim como para aquelas que estão apenas iniciando o processo de adequação, esse é o caminho inevitável. Já para quem ainda insiste em negligenciar as obrigações legais, fica o alerta: se você acha que compliance é caro, experimente o custo do não compliance.