A Lei Geral de Protecao de Dados Pessoais foi sancionada em agosto de 2018 e entrou em vigor em setembro de 2020. Seu regime sancionatorio tornou-se aplicavel em agosto de 2021. Em 2026, o pais completa o primeiro ciclo completo de fiscalizacao sistematica conduzido pela Autoridade Nacional de Protecao de Dados, e e possivel, pela primeira vez, traçar uma fotografia institucional do estado real do compliance corporativo brasileiro.
A distancia entre adesao formal e adesao operacional
O dado mais relevante do periodo nao foi o numero de empresas que declararam estar em conformidade, e sim a diferenca entre essa declaracao e o que se observou em auditorias setoriais. Em segmentos com regulacao setorial previa, como financeiro e saude, a integracao da LGPD ao framework de compliance existente foi gradual e relativamente completa. Em segmentos sem regulacao setorial estruturada, como varejo, educacao e parte do mercado imobiliario, a adesao operacional permaneceu materialmente atras da adesao formal.
O papel da autoridade
A Autoridade Nacional de Protecao de Dados, criada em 2018 e plenamente estruturada apenas a partir de 2021, passou por um amadurecimento institucional cujo ritmo foi alvo de discussao tecnica continuada. Em 2025 e 2026, a autoridade ampliou sua capacidade de fiscalizacao e tornou-se interlocutora ativa de entidades setoriais. As primeiras sancoes de relevancia material aplicadas no periodo configuraram o primeiro arranjo concreto de doutrina sancionatoria aplicada, ainda em fase de consolidacao.
A diferenca entre adesao formal e adesao operacional permaneceu material em segmentos sem regulacao setorial estruturada.
Encarregados, comites e governança
A figura do encarregado, prevista na lei, consolidou-se como funcao formal em organizacoes medias e grandes. Sua maturidade real, entretanto, e desigual. Em parte das organizacoes, o encarregado opera com autonomia tecnica e acesso direto a alta administracao. Em outra parte, a funcao permanece subordinada a estruturas de compliance tradicional ou a departamentos juridicos sem capacidade tecnica especifica para questoes de protecao de dados. A discussao sobre profissionalizacao da funcao avancou em entidades de classe ao longo de 2025.
Tratamento de dados sensiveis
O tratamento de dados sensiveis, previsto em regime especifico pela lei, mostrou-se a area com maior distancia entre exigencia legal e pratica operacional. Setores de saude e educacao avancaram em politicas formais, mas a aplicacao efetiva em sistemas legados continua sendo desafio tecnico e organizacional. A interpretacao da autoridade sobre o que configura tratamento legitimo de dados sensiveis em hipoteses como ofertas de servico personalizadas e marketing direcionado ainda nao se consolidou em jurisprudencia administrativa madura.
Direitos do titular
Os direitos do titular, do acesso a portabilidade e a eliminacao, passaram a ser exercidos em volume crescente. Plataformas digitais, em particular, observaram aumento substancial em solicitacoes ao longo de 2025. A capacidade operacional de responder essas solicitacoes em prazos legais permanece desigual entre setores. A automacao de respostas, area onde o mercado de tecnologia tem ofertado solucoes especializadas, ainda nao se consolidou em padrao dominante.
O que esperar entre 2026 e 2028
O proximo ciclo de fiscalizacao, anunciado pela autoridade em pronunciamentos publicos no primeiro trimestre de 2026, promete maior densidade tecnica e maior ambicao em verificacao de aderencia material. Empresas que trataram a LGPD como exercicio documental tendem a enfrentar exposicao crescente. Empresas que construiram, ao longo do periodo, programas integrados a sua arquitetura tecnologica tendem a colher dividendos institucionais. A consolidacao definitiva da LGPD como infraestrutura juridica do pais ocorrera, provavelmente, ao longo dos proximos cinco a sete anos.