Dia da Privacidade de Dados e a maturidade da governança no Brasil
Por Ana Carla Martins Netto À medida que entramos em 2026, as organizações brasileiras lidam com um ambiente de dados marcado pelo aumento de incidentes cibernéticos e pela consolidação regulatória proporcionada pela Lei Geral de Proteção de Dados (LGPD) e pela atuação da Autoridade Nacional de Proteção de Dados (ANPD). Nesse contexto, o Dia da Privacidade de Dados se torna um momento estratégico para que conselheiros e executivos reforcem a responsabilidade corporativa e demonstrem maturidade na forma como tratam e gerenciam informações. A LGPD colocou no centro da agenda temas como minimização de dados, ciclo de vida da informação, segurança, governança e accountability. Eventos recentes em diversos setores mostraram de forma clara que o risco à privacidade cresce à medida que as empresas acumulam grandes volumes de dados não gerenciados, não classificados e obsoletos, muitas vezes sem finalidade ou base legal para sua manutenção. A partir de agora, evoluir além da segurança perimetral será determinante para elevar a maturidade em privacidade. Isso passa por uma visão completa do ciclo da informação, desde sua criação até a disposição segura e definitiva. Com dados não estruturados representando a maior parte da informação corporativa, as organizações precisam saber o que possuem, onde está armazenado e quem tem acesso. A convergência entre inteligência artificial e governança da informação amplia ainda mais o escopo de atenção, especialmente sob a ótica da LGPD. Controlar como modelos de IA utilizam dados para treinar, inferir ou transformar informações se torna essencial para evitar violações de princípios como finalidade, necessidade, adequação e segurança. Sem esse controle, as empresas correm o risco de reter dados além do prazo, permitir usos indevidos, prejudicar auditorias ou enfrentar dificuldades em investigações regulatórias. Diante desse cenário, três frentes se destacam no Brasil. A primeira é o fortalecimento da governança da informação e das políticas de retenção, conectando bases legais a práticas concretas de ciclo de vida, com eliminação sistemática de dados que não possuem mais propósito ou justificativa. Essa abordagem reduz a exposição desnecessária e contribui diretamente para a maturidade em privacidade. A segunda é a continuidade da transformação digital acompanhada de práticas de armazenamento seguro, com foco em descobrir, classificar e reduzir o “data sprawl” para proteger dados sensíveis em ambientes híbridos, desde acervos físicos e sistemas legados até plataformas em nuvem. A terceira é a adoção de processos auditáveis de eliminação segura de documentos, mídias e ativos de TI, já que manter informações além do necessário viola princípios da LGPD e amplia a superfície de ataque em caso de incidentes. Essa combinação reduz um dos fatores de risco mais negligenciados nas organizações: os dados redundantes, obsoletos e triviais (ROT). Ao remover ROT, as empresas diminuem a possibilidade de vazamentos, reduzem custos de armazenamento e de e-discovery e evitam que informações sensíveis permaneçam além de sua finalidade ou base legal. O resultado esperado é menos informação exposta, maior conformidade com a LGPD, mais confiança de clientes, parceiros e reguladores e um terreno mais sólido para iniciativas de inteligência artificial, já que dados sensíveis chegam classificados, tratados e governados aos fluxos analíticos ou generativos. O Dia da Privacidade de Dados 2026 reforça uma mudança relevante no Brasil. Privacidade, governança e resiliência deixaram de ser apenas temas técnicos e passaram a ser indicadores acompanhados pelo conselho e determinantes para o valor reputacional e econômico das empresas. Organizações que tratam a informação de forma completa, da criação à eliminação, estarão mais bem preparadas para proteger pessoas, preservar valor e sustentar sua competitividade em um ambiente regulatório e tecnológico cada vez mais exigente. Ana Carla Martins Netto é diretora-geral da Iron Mountain Brasil. Reconhecida por liderar grandes projetos de transformação digital, Data Analytics e Inteligência Artificial, também acumula passagens pelas empresas IBM e Meta IT.
Novas exigências da LGPD e do ECA Digital reforçam fiscalização sobre plataformas, publicidade e decisões automatizadas
No dia 28 de janeiro, o mundo celebra o Dia Internacional da Privacidade de Dados, uma data dedicada a conscientizar cidadãos e empresas sobre a importância da proteção de informações pessoais. No Brasil, o marco ganha contornos de urgência à medida que a Lei Geral de Proteção de Dados Pessoais (LGPD) entra em uma nova fase de maturidade, impulsionada pela integração com o novo Marco Legal da Infância Digital e o controle rigoroso sobre algoritmos de Inteligência Artificial. Aprovada originalmente em 2018 para proteger os direitos fundamentais de liberdade e privacidade, a LGPD (Lei nº 13.709/2018) vive hoje seu momento de maior rigor institucional. Dois fatos recentes exemplificam essa nova era de fiscalização. O primeiro é a plena vigência da Lei 15.211/2025 (ECA Digital) em março de 2026, a ANPD intensificou a fiscalização sobre plataformas digitais, exigindo sistemas robustos de verificação de idade e o banimento de práticas de “design enganoso” que induzam crianças ao compartilhamento de dados. O foco deixou de ser apenas a correção de erros e passou a ser a prevenção por meio do privacy by design. O advogado da Afya Sete Lagoas, Igor Alves Noberto Soares, comenta que com a edição da Lei n. 15.211, os provedores de tecnologia da informação sobre produtos ou serviços, inclusive aplicativos de lojas e redes sociais, deverão garantir a proteção de adolescentes e crianças a partir da verificação confiável de idade, supervisão parental e restrição de qualquer tipo de publicidade nociva ao público infanto-juvenil, entre outras medidas. “Na prática, portanto, as plataformas digitais precisarão investir em capital humano e tecnológico para gerenciar os riscos oriundos da utilização de seus recursos e sistemas, a fim de realizar constante avaliação sobre o conteúdo disponibilizado para adolescentes e crianças segundo o critério da faixa etária. Nesse contexto, um dos principais pontos de atenção está no controle da publicidade e no fácil acesso a conteúdos pornográficos, já que o consumo desse tipo de material é amplamente estimulado nas redes sociais como estratégia comercial. Esse cenário levanta preocupações importantes sobre a exposição precoce de crianças e adolescentes a conteúdos inadequados”. Novas regras de fiscalização no Brasil Outro exemplo dessa nova era de fiscalização é o uso de algoritmos para tomada de decisões, como análise de crédito, perfil de consumo ou seleção de candidatos, entrou em uma fase de vigilância máxima. Em 2025, a ANPD lançou seu primeiro Sandbox Regulatório, um ambiente de testes para empresas de IA, com foco em garantir a transparência algorítmica. O objetivo é evitar a “caixa-preta”: as empresas agora são cobradas a explicar a lógica por trás de decisões automatizadas que afetam a vida do cidadão. Dr Igor Soares explica que com o entendimento mais recente do STJ, o dano pode ser considerado presumido (in re ipsa), o que significa que a simples exposição indevida de dados pessoais, especialmente os dados sensíveis, já pode gerar direito à indenização, mesmo sem a ocorrência de golpe financeiro. “Embora ainda haja decisões que exigem a comprovação de prejuízo concreto, vem se consolidando o entendimento de que a violação à proteção de dados, por si só, configura dano, desde que exista nexo entre o agente que detinha os dados e a divulgação não autorizada. Nesses casos, dispensa-se a prova de dano material ou moral específico, bastando a demonstração do vazamento e da responsabilidade do envolvido”, conclui o advogado da Afya Sete Lagoas. O Brasil hoje se alinha a um movimento global, inspirado no GDPR europeu e atualizado pelas demandas da economia de dados atual. Em um marco histórico alcançado no final de 2025, o Brasil avançou significativamente no processo de reconhecimento de adequação pela União Europeia. Este selo de confiança valida que o nível de proteção brasileiro é equivalente ao europeu, transformando o país em um parceiro estratégico para o fluxo de informações.