Katharina Pinto Guimarães
Em vigor desde setembro de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada cinco anos antes. Ela marcou um avanço importante na proteção da privacidade no Brasil. Inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), a LGPD estabeleceu novas diretrizes para o uso de dados pessoais. Como resultado, passou a impactar tanto o setor público quanto o privado, de forma abrangente. Embora sua vigência plena tenha iniciado em 2020, ainda são evidentes lacunas interpretativas e assimetrias na implementação corporativa da lei.
Esse assunto é crucial porque a LGPD estabelece normas essenciais para a proteção de dados pessoais, impactando diretamente a privacidade e a segurança jurídica das empresas e dos cidadãos.
Por que isso importa?
Apesar da exigência legal e das sanções previstas, muitas organizações ainda não se adequaram totalmente à LGPD. Esse cenário é especialmente comum entre empresas de médio e pequeno porte.
O tema interessa a empresas de todos os portes, especialmente as que lidam com dados sensíveis e buscam conformidade legal.
Para quem esse assunto interessa?
Entraves
Entre os principais entraves, destacam-se a dificuldade de integração entre as áreas jurídica e técnica. Soma-se a isso a escassez de profissionais especializados no tema. Além disso, há insegurança quanto à interpretação de conceitos, como o legítimo interesse, que ainda geram divergências na jurisprudência. A carência de regulamentação setorial também contribui para a insegurança jurídica.
Embora a jurisprudência ainda esteja em consolidação, o Poder Judiciário já apresenta algumas direções. O Superior Tribunal de Justiça (STJ), por exemplo, tem adotado uma postura cautelosa. Ainda assim, não impede o uso do legítimo interesse, conforme previsto no art. 7º, IX da LGPD.
Em 2021, o STJ analisou a atuação da Serasa na comercialização de dados pessoais de consumidores para fins de prospecção comercial. A empresa invocou o legítimo interesse como base legal. Apesar disso, prevaleceu o entendimento de que a falta de transparência e de consentimento fere direitos fundamentais dos titulares. Em outras palavras, o Superior Tribunal de Justiça considera que a comercialização de dados pessoais exige consentimento expresso. Isso se aplica mesmo quando o controlador alega legítimo interesse.
Outro caso relevante é o da B3. Em 2023, o STJ reconheceu que a empresa, como agente de tratamento, tem responsabilidade objetiva por uma falha de segurança. Esse problema permitiu a alteração indevida dos dados de um investidor. Embora a B3 tenha alegado falha de terceiros, o tribunal não acolheu esse argumento. Pelo contrário, reforçou que o legítimo interesse não afasta a obrigação de adotar medidas de segurança, conforme os artigos 46 a 49 da LGPD.
Em 2022, o Tribunal de Justiça de São Paulo condenou a concessionária Via Quatro. A empresa havia coletado expressões faciais dos passageiros para fins publicitários, sem obter consentimento. Apesar de ter alegado legítimo interesse, a condenação foi mantida. A decisão reforçou que esse fundamento não se sobrepõe ao direito à informação clara e prévia.
Sanções administrativas
Desde 2023, a Autoridade Nacional de Proteção de Dados passou a aplicar sanções administrativas. Apesar disso, sua atuação ainda é incipiente. Enfrenta diversos desafios operacionais, como a falta de estrutura adequada. Além disso, há carência de regulamentações específicas — sobretudo sobre legítimo interesse, dados sensíveis e o tratamento por startups e microempresas.
Apesar dos desafios, algumas empresas já tratam a LGPD como uma ferramenta estratégica de governança. Como resultado, colhem benefícios concretos. Entre eles, destacam-se a redução de riscos reputacionais e jurídicos e a melhoria na experiência do usuário, por meio de políticas claras de privacidade. Além disso, há o fortalecimento da cultura organizacional de compliance e segurança da informação. Soma-se a isso a maior confiança do mercado em processos de fusões, aquisições e parcerias internacionais — especialmente com empresas sujeitas ao GDPR.
Inovação
A LGPD representa mais que uma obrigação legal, é um instrumento de reequilíbrio entre inovação tecnológica e direitos fundamentais. O STJ tem se posicionado de forma prudente, reconhecendo o legítimo interesse em contextos específicos, desde que respeitados os princípios da transparência, adequação e segurança.
Nos próximos anos, espera-se que a jurisprudência e a atuação da ANPD tragam maior segurança jurídica. Até lá, as empresas devem investir não apenas em conformidade, mas em maturidade digital e ética no tratamento de dados.
