A Lei Geral de Proteção de Dados Pessoais (LGPD) representou um marco regulatório significativo no ordenamento jurídico brasileiro, trazendo inovações relevantes tanto no arcabouço normativo quanto institucional. Sua promulgação, em 2018, introduziu princípios, direitos, obrigações e mecanismos de responsabilização inéditos no país, alinhando o Brasil às tendências globais de regulação da proteção de dados.
Entretanto, após sete anos de sua adoção e cinco anos desde a criação da Autoridade Nacional de Proteção de Dados (ANPD), recentemente transformada em agência, torna-se fundamental avaliar a efetividade prática desse instrumento regulatório, especialmente no que se refere à conformidade (compliance), à fiscalização e à garantia do cumprimento da lei (enforcement). Essa análise é particularmente relevante diante dos novos desafios institucionais impostos pelo ECA Digital (Lei 15.211/25) e pelas possíveis atribuições decorrentes da futura regulação da inteligência artificial, caso o PL 2338/2023 venha a ser aprovado.
Nesse sentido, com base nos resultados de quatro pesquisas empíricas realizadas no CTS-FGV ao longo do último ano, buscamos examinar o grau de efetividade da proteção de dados no Brasil e avaliar a estratégia de fiscalização da ANPD a e o seu impacto diante da realidade observada.
LGPD e redes sociais
Nosso mais recente estudo empírico analisou a aplicação da LGPD em plataformas de mídias sociais e mensageria. Essas plataformas são centrais no ecossistema digital contemporâneo, dado seu papel na comunicação interpessoal, na formação da opinião pública e na circulação massiva de dados pessoais, inclusive sensíveis.
A pesquisa indicou que, apesar de tais serviços serem operados por algumas das maiores empresas globais de tecnologia, com vastos recursos e capacidade técnica, há fragilidades significativas na implementação das regras previstas na LGPD, especialmente no que se refere à transparência e minimização de dados, além das bases legais apropriadas para o tratamento.
Os termos de uso e políticas de privacidade analisados mostraram-se, em muitos casos, excessivamente genéricos, com linguagem técnica e pouco acessível para usuários brasileiros, além de não apresentarem informações claras sobre compartilhamento de dados com terceiros ou uso para fins de perfilamento e publicidade direcionada.
Ademais, observou-se a ausência de mecanismos efetivos para o exercício de direitos pelos titulares, como correção, eliminação ou portabilidade de dados, evidenciando um compliance predominantemente formal e insuficiente para atender às exigências legais previstas na LGPD.
LGPD e e-commerce
O segundo caso de estudo concentrou-se na análise de plataformas de comércio eletrônico, setor que se tornou especialmente relevante após a pandemia de COVID-19, com a intensificação das transações digitais e do consumo online. Nesse contexto, a coleta, o tratamento e o compartilhamento de dados pessoais se tornaram práticas estruturais para a oferta de produtos, análise de perfil de consumo e estratégias de marketing.
Os resultados mostraram que as plataformas de e-commerce, em sua maioria, não estão plenamente adequadas às exigências da LGPD. Para além dos mesmos problemas atrelados à linguagem e à transparência recém reportadas, constatou-se a ofensa a direitos como ao acesso facilitado às informações relativas aos processos de tratamento de dados – desde as finalidades até a própria publicização do contato do encarregado (“DPO”) -, o descumprimento dos prazos para resposta às requisições de usuários (titulares de dados) ou, quando pior, das próprias solicitações (legítimas) de exclusão de dados.
Identificou-se assim, também perante esse objeto de estudos, a precariedade da atividade de fiscalização e de ações significativas de enforcement sobre tais atores, apesar da alta exposição do setor e de seu impacto econômico e social.
LGPD e IA generativa
A terceira investigação incidiu sobre plataformas de inteligência artificial generativa, setor emergente e altamente sensível sob a perspectiva da proteção de dados. Esse segmento apresenta desafios inéditos, sobretudo no que diz respeito ao tratamento massivo e, em algumas hipóteses, opaco de dados pessoais, reutilização de bases de treinamento e dificuldades para garantir direitos como anonimização, correção e eliminação.
Os resultados preliminares da nossa pesquisa evidenciam que algumas das plataformas operam com baixa transparência quanto às fontes de dados utilizadas, não esclarecem adequadamente se há tratamento de dados pessoais ou sensíveis para treinamento dos sistemas e oferecem poucos mecanismos para o titular solicitar a exclusão de informações ou contestar decisões automatizadas.
Ademais, verificou-se uma lacuna regulatória quanto à fiscalização, pois a ANPD ainda dispõe de instrumentos limitados para enfrentar a complexidade técnica dessas operações. Esses resultados sugerem que o compliance no setor de IA generativa permanece embrionário, sendo necessário desenvolver abordagens regulatórias mais sofisticadas e proativas.
LGPD e fotografias não autorizadas
O último estudo tratou de um serviço de fotografia não autorizada em locais públicos, atividade cada vez mais difundida, que confronta diretamente direitos fundamentais, como imagem, privacidade e proteção de dados.
A pesquisa verificou que tais serviços operam sem consentimento dos titulares para a captura, armazenamento e comercialização de imagens, frequentemente expondo pessoas em situações de vulnerabilidade – como crianças e adolescentes – em espaços públicos, onde ainda assim subsiste a proteção constitucional da intimidade e da imagem.
O estudo revelou que a LGPD é pouco conhecida pelos operadores desse tipo de serviço, e a ANPD não dispõe, até o momento, de mecanismos eficazes para coibir práticas abusivas e potencialmente lesivas. A ausência de ações repressivas ou orientativas concretas cria um ambiente de insegurança jurídica e motivação para a perpetuação dessas práticas.
Necessidade de mudança
Diante da análise desses quatro setores, constatam-se lacunas evidentes de compliance e uma fiscalização ainda incipiente por parte da ANPD, possivelmente em razão da limitação de recursos, instrumentos e pessoal necessários às complexidades inerentes à miríade de desafios registrados no país. É natural que uma nova lei e uma autoridade recém-criada, demande tempo para adquirir e igualmente fomentar a cultura e uma compreensão mais assertiva pelos agentes regulados.
Contudo, os resultados observados nas pesquisas empíricas indicam que o Brasil ainda enfrenta desafios consideráveis que tensionam a estratégia atual de fiscalização e enforcement da agência brasileira, o que demanda o robustecimento de medidas que sejam aptas a garantir a efetividade da proteção de dados no país.
Se a ANPD pretende desempenhar um papel relevante na regulação de temas cruciais como o ECA Digital e a futura legislação sobre inteligência artificial, o que certamente é de interesse nacional, precisará adotar posturas contundentes e assertivas, tanto em termos de orientação quanto no quesito fiscalizatório e, sempre que necessário, sancionatório.
Para garantir o cumprimento do disposto artigo 55-J da LGPD, que trata das competências da agência, e o enfrentamento dos enormes desafios contemporâneos do ecossistema digital, é cogente que a ANPD esteja sempre atenta, fortaleça a sua estratégia institucional, focando no aprimoramento dos seus mecanismos de fiscalização e, sobretudo, atue de maneira contundente, deixando claro aos agentes regulados que a violação reiterada à LGPD não será tolerada no Brasil.
Considerando os resultados dos nossos estudos empíricos, e apesar de compreender o modelo regulatório que privilegia a dialogicidade e cooperação ao invés do punitivismo agressivo, nos parece fundamental investir esforços em prol de um arranjo com maior capilaridade e capacidade de controle. Caso a estratégia de fiscalização e enforcement da ANPD não seja potencializada, confiar à Agência a implementação de normas tão relevantes pelo futuro do país, como o ECA Digital e a futura regulação de IA, poderá representar verdadeira “missão impossível”.