Sancionada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais foi celebrada como um avanço relevante no arcabouço jurídico brasileiro, com potencial para consolidar um regime transversal de direitos e deveres aplicável a diferentes setores e esferas do poder público e privado. A expectativa era de que a nova legislação funcionasse como base para uma política pública estruturada, capaz de proteger os cidadãos diante do uso crescente e desigual de suas informações pessoais. Sete anos depois, a LGPD avançou no discurso institucional, mas o direito à privacidade segue distante da realidade da maioria dos brasileiros.
Na prática, o que se observa é uma desconexão entre a promessa da lei e a forma como ela vem sendo executada. A LGPD foi assimilada ao vocabulário organizacional, mas tratada como mera exigência regulatória, sem assumir o papel de ferramenta concreta de proteção. Em muitas instituições, a conformidade se resume à publicação de políticas, designação de encarregados e abertura de canais de atendimento, sem mudanças estruturais na forma de lidar com dados pessoais. O que prevalece é uma lógica documental, voltada à produção de registros formais, mas incapaz de gerar transparência, prevenir abusos ou garantir os direitos previstos em lei. A LGPD está presente nos papéis, mas ausente dos processos.
Enquanto isso, vazamentos, fraudes, usos indevidos e compartilhamentos não autorizados se acumulam, revelando que a ausência de garantias deixou de ser uma falha pontual para se tornar um problema de interesse público. O impacto é visível, cotidiano e crescente. E se já preocupa a negligência de agentes privados, torna-se ainda mais grave quando envolve o próprio Estado — justamente quem concentra as informações mais sensíveis da população e deveria liderar pelo exemplo. Auditoria recente do Tribunal de Contas da União apontou que apenas um quarto dos órgãos e entidades federais possui instrumentos básicos de governança em privacidade e, em boa parte deles, sequer há um encarregado formalmente designado. Apesar dos avanços normativos, o Estado ainda falha em tratar a proteção de dados como um dever público estruturado e permanente.
Essa omissão afasta o cidadão dos instrumentos de defesa e controle sobre suas informações. Sem acesso a orientações claras, canais eficazes de apoio ou ações públicas de conscientização, o titular sequer reconhece que possui direitos. Mesmo diante de situações abusivas, como as já mencionadas, a resposta tende a ser a resignação. A LGPD existe, mas não foi traduzida em linguagem acessível nem incorporada ao cotidiano da maioria da população. O direito está reconhecido, mas permanece distante de onde realmente importa.
Nesse cenário, a atuação da Autoridade Nacional de Proteção de Dados, marcada por consistência técnica e abertura ao diálogo, representa um avanço relevante, embora insuficiente para enfrentar os desafios estruturais do país. A produção de guias, orientações e o esforço por uma regulação responsiva têm ampliado a previsibilidade normativa e oferecido parâmetros mais claros aos agentes de tratamento. Ainda assim, seu alcance permanece condicionado à capacidade institucional da Autoridade. A definição de agendas temáticas e a atuação orientativa são caminhos legítimos, mas nem sempre suficientes para assegurar presença regulatória onde os riscos são mais concretos. E como grande parte da população sequer sabe que tem direitos a reivindicar, as organizações seguem operando com pouca transparência e sem responsabilização.
Sete anos depois, a LGPD não precisa de reforço retórico, mas de concretude. É preciso incorporá-la em práticas consistentes, que rompam com a lógica de implementação meramente documental. Enquanto a proteção de dados pessoais não for integrada à rotina institucional e reconhecida socialmente como parte dos direitos fundamentais, a lei continuará existindo apenas no plano formal. Fazer da LGPD uma política pública viva depende da criação de condições reais para sua aplicação efetiva. E, enquanto essas condições não forem construídas, a omissão diante de fraudes, vazamentos e outras violações seguirá permitindo a repetição de abusos que evidenciam como, no Brasil, o direito à proteção de dados ainda é mais violado do que garantido.
Gabriela Paz é advogada com atuação em Direito Digital. É pós-graduada em Direito Digital e Proteção de Dados pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), e possui certificações internacionais em gestão de privacidade e proteção de dados, como CIPM e CDPO/BR pela IAPP, DPO pela EXIN, além de certificação em Direito e Tecnologia pelo Insper. Atualmente, é mestranda em Gestão Global pela Royal Roads University (Canadá) e atua como pesquisadora voluntária no Laboratório de Governança e Regulação de Inteligência Artificial do IDP (LIA-IDP) e no Grupo de Trabalho sobre Responsabilidade de Intermediários da Internet Society Brasil (ISOC Brasil).