O ciclo de incerteza encerrou
A entrada em vigor da Lei Geral de Proteção de Dados Pessoais em 2020, com sanções aplicaveis a partir de 2021, gerou ciclo prolongado de incerteza corporativa. Empresas brasileiras de médio e grande porte investiram em conformidade sem clareza sobre como a autoridade administrativa interpretaria pontos específicos da norma, e como o judiciário absorveria casos de vazamento e tratamento irregular. Quatro anos depois, o corpo de decisões acumulado permite leitura mais precisa do risco real.
O que a jurisprudência revelou
A primeira lente importante e a postura da Autoridade Nacional de Proteção de Dados. As sanções aplicadas até o presente concentraram-se em casos com elementos específicos: vazamentos com volume relevante, ausência documentada de medidas de segurança básicas e ineficacia ou negligência na resposta a incidente. Empresas com programa de privacidade estruturado, ainda que imperfeito, raramente foram alvo de sanção financeira severa.
A segunda lente e a postura do Judiciário em ações individuais e coletivas. As decisões acumuladas no Tribunal de Justiça de São Paulo e em outros tribunais estaduais mostram tendência a moderação em pedidos de dano moral por mero vazamento, com exigência crescente de demonstração concreta de prejuízo individual. Ações coletivas, particularmente conduzidas pelo Ministério Público, mantêm peso significativo em casos de afetação de muitos titulares.
A terceira lente e a interação entre LGPD e regulação setorial. Setores já regulados, como financeiro e saúde, descobriram que a aplicação concreta da LGPD se da preferencialmente através dos reguladores setoriais, com a ANPD atuando em casos transversais ou setores não regulados. Essa divisão implícita de competência molda como o investimento em conformidade deve ser estruturado.
O perfil de risco real
O quadro permite calibrar o risco corporativo concreto. Empresas com programa de privacidade documentado, governança clara de incidentes e capacidade de resposta técnica adequada operam com risco financeiro materializável relativamente contido. O risco se concentra em três situações específicas: vazamentos significativos sem capacidade de resposta organizada, marketing direto sem base legal estruturada e tratamento de dado sensível sem fundamentação adequada.
A lei amadurece quando se pode prever, com razoável precisão, qual situação gera qual consequência. Em LGPD, essa previsibilidade começa a se consolidar.
Implicações para investimento em conformidade
A maturação da jurisprudência permite que diretorias jurídicas e comitês de risco recalibrem investimento em conformidade. Áreas que receberam investimento desproporcional na fase de incerteza, como mapeamento exaustivo de dado em sistemas perifericos, podem ser reduzidas. Áreas que receberam investimento insuficiente, particularmente na camada de resposta a incidente e na contratação de operador, merecem revisão para cima.
O que ainda esta aberto
Três questões mantêm-se em construção jurisprudencial. A primeira e a aplicação concreta de transferência internacional de dado em arquiteturas multinuvem. A segunda e a delimitação precisa de quando o consentimento e ou não a base legal adequada para tratamento. A terceira e o equilibrio entre LGPD e Marco Civil da Internet em casos de uso de dado para finalidades comerciais não originalmente declaradas. Essas áreas continuarão se calibrando nos próximos vinte e quatro meses.