Privacidade virou lei. Mas será que virou cultura?
Imagine que sua empresa acaba de lançar um novo aplicativo. Simples, intuitivo, gratuito. Em menos de uma semana, você tem 10 mil downloads. O que talvez você ainda não tenha percebido é que, ao processar dados de localização, contatos e preferências do usuário, você está pisando em um terreno regulado e sensível. A LGPD não está apenas no papel. Ela cobra. E, cada vez mais, ela pune.
No Brasil de 2025, a proteção de dados pessoais deixou de ser um debate técnico para se tornar um imperativo institucional, jurídico e reputacional. A Lei nº 13.709/2018, conhecida como LGPD, nasceu sob o signo da convergência: entre direitos fundamentais, inovação tecnológica e responsabilidade corporativa. Mas a pergunta que atravessa empresas, governos e cidadãos é tão simples quanto difícil de responder: a LGPD pegou?
Se, por um lado, ela gerou um novo mercado, regulamentou práticas e elevou o patamar da consciência digital, por outro, ainda enfrenta resistências, informalidade e desigualdade na sua implementação. Em especial no setor privado, onde promessas de adequação nem sempre se traduzem em mudanças culturais reais.
A LGPD provocou uma mudança radical no setor privado, mas essa mudança está longe de ser homogênea, profunda e sustentável. A lei existe. As oportunidades são reais. O ambiente regulatório se fortalece. Mas o verdadeiro desafio não é normativo, é cultural.
A LGPD foi disruptiva em um ponto essencial: ela rompeu com a lógica da boa prática voluntária e transformou a privacidade em dever jurídico positivo, exigindo ações, registros, comprovações. O que antes era uma recomendação agora é norma com força de lei.
No setor privado, isso deveria ter reconfigurado a forma como dados são tratados em todas as esferas: contratos, marketing, RH, TI, atendimento ao consumidor, governança. E de fato, grandes empresas começaram a reagir: bancos, operadoras de saúde, e-commerces, plataformas digitais e multinacionais criaram comitês internos, nomearam DPOs, realizaram treinamentos e mapeamentos.
Mas esse movimento foi, em grande parte, reativo e concentrado em empresas com maior exposição. Nas pequenas e médias, a LGPD continua sendo, muitas vezes, um “problema futuro”, algo para se pensar “quando aparecer um fiscal”, o que revela uma cultura de conformidade superficial, não estratégica.
A LGPD conferiu ao cidadão, titular de dados, um protagonismo inédito. Ele agora tem o direito de saber quais dados estão sendo tratados, para que finalidade, por quem, por quanto tempo. Pode pedir correção, exclusão, portabilidade. Pode dizer: “Não, eu não autorizo”.
Mas os consumidores sabem disso? E mais importante, as empresas estão preparadas para respeitar esses direitos?
Enquanto grandes corporações criaram portais de privacidade e canais específicos para titulares, a maioria das empresas brasileiras não responde às solicitações dentro do prazo legal, não sabe rastrear os dados dentro dos seus próprios sistemas e não treinou suas equipes de SAC ou jurídico para lidar com titulares. O protagonismo existe no papel. Na realidade, é um potencial não concretizado. E o preço dessa lacuna é alto: ações judiciais individuais, processos administrativos e uma erosão da confiança do consumidor.
Apesar disso, a LGPD também abriu uma extraordinária oportunidade econômica. Em vez de ser um entrave à inovação, ela impulsionou o surgimento de novas funções (DPO, privacy manager), novas empresas (PrivacyTechs), novos produtos (cursos, auditorias, plataformas de consentimento). Um ecossistema floresceu.
Ao mesmo tempo, a LGPD impôs uma mudança que incomoda: as empresas agora são obrigadas a contar seus próprios erros. O art. 48 exige que incidentes de segurança sejam comunicados à ANPD e aos afetados. A Resolução CD/ANPD nº 15/2024 detalhou esse processo. Mas até hoje, a maioria das notificações vem da imprensa ou de denúncias dos titulares, e não das empresas envolvidas.
Privacy by Design e Privacy by Default também permanecem, em grande parte, como conceitos distantes da realidade. Muitos sites ainda coletam dados excessivos. Aplicativos exigem permissões desnecessárias. Consentimentos são camuflados em formulários complexos. A proteção de dados ainda é pensada como remendo, não como fundamento.
O diagnóstico é claro: houve avanços em setores organizados e expostos, mas há grande desigualdade na implementação da lei. A proteção de dados no setor privado evoluiu, mas não o suficiente. E não para todos.
E o setor público?
Em 2022, um cidadão brasileiro tentou exercer seu direito de acesso aos dados tratados pela prefeitura de sua cidade, uma capital do Nordeste. Recebeu como resposta um ofício dizendo que “o município não possui estrutura para atendimento à LGPD”. O documento era assinado por um servidor que sequer sabia o que era um DPO.
Se no setor privado a LGPD provocou uma corrida por adequação, no setor público o cenário é outro: lento, desigual e muitas vezes ignorado. A mesma lei que exige transparência, segurança e respeito aos direitos do titular também se aplica a União, Estados, Distrito Federal e Municípios, mas o nível de conformidade ainda está muito aquém do que a legislação exige.
O governo federal avançou mais. Ministérios, autarquias e órgãos reguladores como Receita Federal, INSS, Anvisa e o Portal Gov.br criaram políticas internas, nomearam DPOs e iniciaram programas de governança. Tribunais superiores também fizeram seu dever de casa.
Mas fora do eixo federal, a realidade se deteriora rapidamente. Mais de 60% dos tribunais estaduais ainda não concluíram seus mapeamentos de dados. Nos municípios, a maioria das prefeituras não tem sequer política de privacidade, nem servidores capacitados. Dados de alunos, pacientes e beneficiários de programas sociais são tratados sem consentimento, sem transparência e sem controle.
E a governança? Em muitos sistemas educacionais e de saúde, o CPF virou senha universal. Dados sensíveis de crianças, idosos, pacientes psiquiátricos e pessoas em vulnerabilidade são armazenados sem criptografia, sem auditoria e sem propósito definido. Isso não é apenas falha técnica. É falha ética.
A fiscalização também é desigual. A ANPD tem atuado com mais força sobre o setor privado. No setor público, quem tem ocupado parcialmente esse espaço é o Ministério Público do Distrito Federal e Territórios (MPDFT), com sua unidade especializada. O TCU também exige planos de conformidade. Mas nos estados e municípios, a atuação dos MPs e TCs locais é quase inexistente.
Casos reais demonstram os riscos. Em 2021, dados de mais de 200 milhões de brasileiros foram expostos após falhas nos sistemas do Ministério da Saúde. Plataformas educacionais de prefeituras expuseram dados de alunos sem consentimento. Dados do Auxílio Emergencial foram compartilhados com entes privados sem base legal clara.
Sete anos após sua promulgação, a LGPD continua sendo um desafio aberto para o setor público brasileiro. Não por falta de norma, mas por falta de cultura, estrutura e compromisso. A proteção de dados não pode ser tratada como um “projeto de TI” nem como um “ponto de pauta do jurídico”. No Estado, ela precisa ser um compromisso republicano com a dignidade humana.
E o que aprendemos com tudo isso?
Privacidade é um direito fundamental, mas só existe se for protegida. Compliance não é um fim, é um meio. A responsabilidade é de todos. Governança é o que garante continuidade. E confiança é o ativo mais valioso da era digital.
Apesar dos avanços, os desafios são gritantes. Falta adesão verdadeira à cultura de proteção. O mapeamento de dados muitas vezes é superficial. A gestão de consentimento ainda é frágil. A resposta a incidentes continua improvisada. Nos estados e municípios, o cenário é pior: não há padronização, faltam servidores, não há orçamento.
Mas ainda há o que fazer. E precisa ser agora.
Empresas devem elevar a LGPD ao nível estratégico. Nomear DPOs, revisar sistemas, adotar privacy by design, ouvir os titulares.
Gestores públicos devem assumir liderança ética. Institucionalizar a proteção de dados como política pública. Capacitar equipes. Exigir orçamento. Tornar o tema prioridade.
E os cidadãos? Precisam se informar, exigir, denunciar. Privacidade não é apenas um direito. É a fronteira entre liberdade e submissão no mundo digital.
Porque dados não são números. São histórias. São vidas. E protegê-los é proteger a própria humanidade.
“Privacidade é o espaço entre o ser humano e o algoritmo. É ali que a liberdade respira.”
Quer ler mais textos desse autor? Clique aqui e entenda a relação entre seus dados, fraudes e a LGPD.
