Criada para estabelecer regras claras no tratamento de informações pessoais e reforçar a privacidade dos cidadãos, a Lei Geral de Proteção de Dados Pessoais (LGPD) completa sete anos em agosto. A norma provocou mudanças significativas no mercado brasileiro. Porém, mesmo com avanços, os desafios seguem expressivos. Apenas em 2024, mais de 84 milhões de contas de usuários brasileiros sofreram violações de segurança, segundo uma empresa de cibersegurança, colocando o país na sétima posição mundial nesse tipo de incidente.

De acordo com a advogada Giovanna Vigil, especialista em Direito Digital, a maior conquista foi a transformação cultural. “A proteção de dados deixou de ser um tema restrito ao setor jurídico ou de tecnologia e passou a fazer parte da estratégia das empresas. Hoje é comum que organizações tenham políticas de privacidade, canais para atendimento e cláusulas contratuais específicas sobre o tratamento de dados. Também houve maior conscientização e os cidadãos passaram a entender melhor seus direitos”, afirma.

Apesar disso, Giovanna avalia que o número elevado de incidentes mostra que a maturidade ainda está longe do ideal. “Muitas empresas se adequaram apenas no papel, mas ainda carecem de investimentos consistentes em segurança da informação. Segurança não é apenas tecnologia. Envolve processos, treinamentos e respostas rápidas a incidentes.

“Cumprir as regras da LGPD deve ser visto como um investimento em credibilidade. Empresas que cuidam dos dados ganham a confiança de clientes, parceiros e investidores”, acrescenta.

Fiscalização

A Autoridade Nacional de Proteção de Dados (ANPD) intensificou a fiscalização e aplica multas que podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração. O advogado criminalista e especialista em Direito Digital, Thiago Calazans, explica que o cálculo considera fatores como gravidade da infração, número de titulares afetados e histórico de conformidade. “Antes da imposição da penalidade há um processo administrativo que garante o contraditório e a ampla defesa”.

Calazans alerta que em incidentes graves como vazamentos massivos ou golpes com inteligência artificial, as responsabilidades vão além da reparação técnica. “A LGPD exige comunicação imediata à ANPD e aos titulares, medidas para mitigar os danos e, se comprovada ausência de segurança adequada, a empresa pode ser responsabilizada civilmente”.

Inteligência artificial

As ferramentas de inteligência artificial generativa já são usadas para ataques de phishing sofisticados, deepfakes e também clonagem de voz. Giovanna avalia que a prevenção exige treinamentos, autenticação forte, criptografia, monitoramento e políticas claras de uso. “No ambiente corporativo, auditoria de fornecedores e testes de segurança são indispensáveis”.

Sistemas treinados com dados enviesados podem gerar discriminação algorítmica em decisões como crédito e contratações. “A LGPD já prevê revisão humana e transparência, e o Marco Legal da Inteligência Artificial tende a reforçar esses mecanismos”, ressalta Calazans.

Embora não exista lei específica para deepfakes e clonagem de voz, o especialista acrescenta que elas podem ser enquadradas em crimes como estelionato e falsidade ideológica. “O desafio é a prova, pois identificar a autoria exige perícia forense e cooperação internacional”.

Giovanna defende um modelo regulatório híbrido. “Temos uma base sólida com a Lei Geral de Proteção de Dados Pessoais, mas a velocidade da evolução tecnológica exige normas complementares e flexíveis para lidar com os riscos sem sufocar a inovação”.

A proteção de dados é uma questão de sobrevivência empresarial, projeta Calazans. “A tendência é vermos maior integração da LGPD com normas setoriais, mais poder fiscalizatório da ANPD e uso da inteligência artificial como ferramenta de compliance”, finaliza.