Ainda que muitos insistam em repetir a máxima de que “a LGPD não pegou”, os números contam outra história. Em apenas um ano, as ações judiciais que mencionam a lei dobraram, passando de 7.503 para 15.921. Os PROCONs passaram a aplicar multas milionárias e o Ministério Público também assumiu o papel de fiscalizador ativo.
Enquanto a ANPD mantém, por ora, uma aplicação mais moderada de sanções, outros órgãos já transformaram a lei em uma arma poderosa contra falhas de segurança, vazamentos de dados e práticas abusivas. O risco deixou de ser apenas regulatório: tornou-se jurídico, financeiro e reputacional.
É nesse contexto que surge a questão central: investir agora em privacidade e segurança de dados deixou de ser uma opção e se tornou um imperativo estratégico.
Por que investir agora é estratégico e urgente?
A judicialização de ações envolvendo a aplicação da LGPD explodiu nos últimos anos: foram 1.789 casos em 2022 contra 7.503 em 2023(1), e as menções à lei em sentenças dobraram entre outubro de 2023 e outubro de 2024, passando de 7.503 para 15.921. Essas ações tratam sobretudo de danos morais por vazamentos de dados e falhas de transparência, com indenizações médias crescentes, impactando empresas de todos os portes.
As atuações de Órgãos de defesa do consumidor (PROCONs) também se elevaram nesse período e já possuem valores impactantes para os negócios, tais como a multa de R$ 8,5 milhões aplicada a uma rede de farmácias pelo PROCON-MG e ainda, a atuação do PROCON-MT que também autuou rede de farmácias em caso de coleta de consentimento irregular, multando em R$ 500mil.
Além dos Tribunais e dos PROCONs, o Ministério Público tem atuado como fiscalizador ativo e ajuizado ações civis públicas contra empresas e entes estaduais por falhas de segurança, compartilhamento irregular e coleta inadequada de dados (4). Essa atuação reforça que o descumprimento da LGPD também pode resultar em TACs, obrigações de fazer e medidas de reparação financeira coletivas.
Esse movimento demonstra que não se trata apenas da ANPD ou de Tribunais, todo o Sistema Nacional de Defesa do Consumidor passou a usar a LGPD como base para sanções. Em consequência, os riscos não são mais apenas regulatórios, mas também financeiros e de exposição negativa da empresa, especialmente diante de incidentes com vazamento de dados.
Portanto, investir agora em programas de privacidade e de segurança de dados robustos é, não só uma obrigação legal, mas uma estratégia empresarial para reduzir impactos e fortalecer a confiança de clientes, parceiros e investidores.
Se a dúvida era se a LGPD pegaria, a resposta está dada. O que resta saber é: quanto custa para uma empresa enfrentar um incidente no Brasil hoje? A resposta ajuda a dimensionar, de forma prática, o peso de não agir preventivamente.
Qual o custo de um incidente hoje no Brasil e no mundo?
No Brasil, o custo médio de uma violação de dados já alcança US$ 1,34 milhão, em conversão atual, cerca de R$ 7,23 milhões segundo o IBM Cost of a Data Breach Report 2024. Além disso, as empresas levam em média 299 dias para identificar e conter um incidente, tempo que amplia tanto o prejuízo financeiro quanto os danos à reputação.
Em perspectiva global, o custo médio é ainda mais elevado e aumentou 10% no último ano, passando a US$ 4,88 milhões por incidente. Organizações sem programas estruturados de privacidade e segurança enfrentam custos adicionais significativos e maior demora na resposta.
Segundo o estudo da IBM, erros humanos respondem por 22% das violações. Isso significa que um em cada cinco incidentes poderia ser prevenido com medidas acessíveis, como treinamentos em privacidade e proteção de dados, políticas de privacidade eficazes e fortalecimento da maturidade em segurança da informação.
No Brasil ou no mundo, o recado é claro: uma violação custa caro, demora a ser controlada e gera impactos que extrapolam multas e perdas financeiras, atingindo competitividade, credibilidade e confiança. Investir em programas de privacidade adequados deixa de ser apenas uma obrigação que atende apenas à LGPD, e se confirma como estratégia para reduzir custos, proteger a marca e manter vantagem competitiva.
E se hoje as empresas já arcam com custos elevados por não contar com programas robustos de privacidade, em 2026 o desafio será ainda maior, com regulamentações mais específicas, novas tecnologias e o uso intensivo de IA, atrelados a padrões globais de mercado que elevarão a régua da conformidade.
Tendências de privacidade para 2026
À medida que a privacidade deixa de ser apenas um requisito regulatório e passa a se consolidar como eixo central de competitividade, o cenário para 2026 aponta para um amadurecimento acelerado das exigências legais e de mercado.
O Brasil discute o Projeto de Lei 2.338/2023, que pretende inaugurar um marco legal para a Inteligência Artificial e impor novas regras de transparência, responsabilização e governança. Ao mesmo tempo, a ANPD promete expandir sua agenda regulatória, com destaque para Regras de boas práticas e de governança, Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança), Dados Pessoais Sensíveis – Dados biométricos, Inteligência Artificial e Tratamento de dados pessoais de crianças e adolescentes.
Paralelamente, o mercado pressiona, certificações de privacidade, cláusulas contratuais robustas e programas de governança maduros já não são mais diferenciais, mas passaram a ser vistos como padrões mínimos de atuação, especialmente em auditorias e processos de due diligence de fornecedores.
Em outras palavras, a tendência para 2026 é clara: não bastará estar em conformidade com a LGPD, será preciso antecipar-se a um ecossistema de normas, expectativas e padrões globais cada vez mais sofisticados para proteger os dados pessoais, incluindo uma atenção especial a governança em IA.
Conclusão
A LGPD pegou e vai muito além da ANPD. O risco hoje está pulverizado em diferentes frentes, e o custo da não conformidade cresce ano após ano. Manter ou implementar um programa de privacidade consiste não é apenas atender à lei, mas proteger a marca, reduzir riscos e conquistar confiança em um mercado cada vez mais exigente.
–
Por Alexandre Tamura, Diretor de Data Regulation, e Camila de Souza Valença Lins, Consultora Master de Data Regulation na Protiviti Brasil.
–
Quer saber mais sobre Adequação à LGPD ou precisa de suporte nesse processo? Entre em contato!
