Por Matheus Puppe* — A Lei Geral de Proteção de Dados foi apresentada como um divisor de águas. E é, pelo menos no papel. Ela dá à Autoridade Nacional de Proteção de Dados um arsenal que vai muito além de advertência: há multa percentual sobre faturamento, multa diária, publicização da infração e, em casos graves, medidas capazes de atingir o coração da operação, como bloqueio e eliminação de dados e restrições ao próprio tratamento. Em tese, está tudo ali para transformar privacidade em disciplina de mercado.
O problema é que o Brasil ainda vive um paradoxo antigo: cria-se uma lei moderna, mas demora-se a transformar a regra em consequência. E quando a consequência não aparece com constância, o incentivo econômico fica torto.
Quem investe em governança, segurança e processos passa a competir com quem faz o mínimo para parecer adequado. O cumprimento vira "compliance de fachada": política genérica, documentos que ninguém usa, encarregado apenas formal e um banner de cookie que não muda a forma como dados circulam dentro das organizações.
Até aqui, a ANPD tem atuado de maneira predominantemente pedagógica e corretiva. O padrão observado é o de exigir ajustes, cobrar melhorias de segurança e governança, pedir documentação mínima e insistir no atendimento às suas requisições.
Esse caminho tem seu valor, sobretudo em uma autoridade que consolida práticas e precedentes. O risco é transformar esse início em destino. Se a correção vira regra e a responsabilização efetiva vira exceção, o mercado aprende a lição errada: a LGPD não é um parâmetro, é um incômodo negociável.
A primeira multa administrativa aplicada pela ANPD, em 2023, teve caráter simbólico, mas não foi suficiente para criar dissuasão generalizada. O valor, de aproximadamente R$ 14,4 mil, ficou limitado pela condição de microempresa do infrator.
O caso foi importante para marcar o início do enforcementsancionatório, mas também ajudou a cristalizar um sentimento perigoso: para muitos setores, ainda parece racional apostar que nada realmente relevante acontecerá.
Outro traço desse início de enforcement é que sanções e determinações corretivas têm se concentrado no básico. Os casos costumam girar em torno de falhas de segurança, comunicação inadequada de incidentes, ausência de governança e documentação, falta de encarregado quando exigido e descumprimento de requisições da própria ANPD. É a régua do dever de casa. Só que a economia de dados não se resume ao dever de casa. Ela é escala, integração de bases, cadeia de fornecedores e decisões automatizadas. Se a fiscalização ficar restrita ao óbvio e ao reativo, não haverá mudança de comportamento onde realmente importa.
A comparação com a União Europeia ajuda menos pelo fetiche do número e mais pela cultura institucional. Lá, o mercado internalizou que existe fiscalização, existe consequência e que, em casos relevantes, a sanção pode ser alta. Aqui, ainda se consolidou a percepção oposta: responsabilização é rara, lenta e, muitas vezes, administrável. Não se trata de importar um modelo punitivista, nem de defender espetáculo. Trata-se de reconhecer um princípio antigo, que vale para qualquer regra: constância é o que educa. A lei só vira padrão quando deixa de ser aposta.
A inteligência artificial torna esse debate inevitavelmente mais urgente. Não existe IA sem dados, e os incentivos para coletar, cruzar e treinar modelos com grandes volumes de informação só aumentam.
Nesse contexto, é natural que a autoridade use também medidas preventivas e cautelares em situações de alto risco tecnológico, antes mesmo de sanções financeiras. Mas cautelar não pode virar substituto de enforcement. Sem previsibilidade de responsabilização, a tendência é repetir o mesmo ciclo: muita orientação, pouco temor, e uma corrida silenciosa para explorar dados até o limite do que for tolerado.
O Brasil não precisa de improviso regulatório. Precisa do básico que sempre funcionou: regra aplicada com firmeza e proporcionalidade, de modo consistente, para que o mercado entenda que cumprir não é opcional. A LGPD não foi feita para ser formalidade. Foi feita para mudar incentivos. E incentivo só muda quando existe consequência real.
Advogado, mestre e doutorando em direito digital e consultor da Comissão Especial de Direito Digital da Câmara dos Deputados*
Direito e Justiça
Direito e Justiça
Direito e Justiça
Direito e Justiça
