Por muito tempo, repetiu-se a ideia de que a LGPD “não havia pegado”. De certa forma, parecia mesmo que a lei ficaria restrita a discussões técnicas e regulatórias, distantes da realidade das empresas e do consumidor comum. Mas os números mais recentes mostram o contrário: em apenas um ano, o volume de processos judiciais que mencionam a LGPD dobrou, saltando de 7.503 para 15.921. Multas milionárias aplicadas por PROCONs e a atuação cada vez mais incisiva do Ministério Público confirmam que a lei não apenas “pegou", como já se tornou uma referência obrigatória em fiscalizações e disputas judiciais.

O ponto central é que a aplicação da LGPD não se limita à ANPD. Todo o Sistema Nacional de Defesa do Consumidor passou a utilizá-la como base para sanções. Isso significa que os riscos para as empresas vão muito além da esfera regulatória, são jurídicos, financeiros e, sobretudo, reputacionais. E aqui está a reflexão que considero fundamental: quanto custa hoje não investir em privacidade e segurança de dados?

Segundo o IBM Cost of a Data Breach Report 2024, o custo médio de uma violação de dados no Brasil já chega a R$7,23 milhões. E um detalhe alarmante: as empresas levam, em média, 299 dias para identificar e conter um incidente. Durante esse tempo, os danos financeiros crescem e a reputação da empresa se desgasta. Um dado adicional chama atenção: 22% das violações são causadas por erro humano. Ou seja, quase um em cada cinco incidentes poderia ser prevenido com medidas simples, como treinamentos, políticas de privacidade bem aplicadas e uma cultura organizacional mais madura em relação à proteção de dados.

Esses dados revelam uma verdade desconfortável: ainda é muito mais caro remediar do que prevenir. Multas, indenizações e Termos de Ajustamento de Conduta (TACs) podem comprometer o caixa de qualquer empresa, mas a perda de confiança é ainda mais difícil de recuperar. Clientes que se sentem lesados raramente dão uma segunda chance.

Olhando para o futuro, o desafio tende a crescer. O Projeto de Lei 2.338/2023, que cria um marco legal para a Inteligência Artificial, deve impor novas exigências de transparência e responsabilidade. A própria ANPD já sinalizou que pretende ampliar sua agenda regulatória, com foco em temas como segurança, governança, dados biométricos e tratamento de dados de crianças e adolescentes.

Ao mesmo tempo, o mercado pressiona por padrões cada vez mais elevados. Certificações, cláusulas contratuais rigorosas e programas de governança de dados deixaram de ser diferenciais e passaram a ser requisitos básicos em processos de auditoria e due diligence.

Se antes a dúvida era se a LGPD “pegaria”, hoje a questão é bem diferente. Os próximos anos exigirão ainda mais preparo das organizações. Quem continuar vendo a privacidade apenas como custo, seguirá pagando caro com processos, multas e perda de credibilidade. Por outro lado, quem entender a proteção de dados como um ativo estratégico terá uma vantagem competitiva clara, fortalecendo relações com clientes, parceiros e investidores.

A LGPD é um caminho sem volta. E a escolha que resta às empresas é simples: investir agora para construir confiança ou pagar depois para tentar recuperá-la.

*Por Alexandre Tamura, Diretor de Data Regulation na Protiviti Brasil; e Camila de Souza Valença Lins, Consultora Sênior de Data Regulation na Protiviti Brasil

Referências

(1) JOTA – Escalada da judicialização da LGPD: análise do fenômeno e suas implicações no Brasil
(2) CNN Brasil – Tribunais brasileiros dobram menções à LGPD em decisões em um ano
(3) PROCON-MG – Multa de R$ 8,5 milhões aplicada a rede de farmácias
PROCON-MT – Procon aplica multa de R$ 572 mil contra Rede Drogasil por uso ilegal de dados de consumidores
(4) Ministério Público – MPPR ajuíza ação civil pública por uso indevido de reconhecimento facial em escolas públicas — Bem Paraná, 28 abr. 2025
(5) Sistema Nacional de Defesa do Consumidor (SNDC) é um conjunto de órgãos e entidades que atuam de forma integrada para proteger os direitos dos consumidores no Brasil. Ele é regulamentado pelo Decreto nº 2.181/97 e abrange órgãos como os PROCONs, Ministério Público, Defensoria Pública, Delegacias de Defesa do Consumidor, Juizados Especiais Cíveis e organizações civis de defesa do consumidor.
(6) Relatório da IBM: as crescentes interrupções nos negócios pelas violações de dados aumentam os custos de cibersegurança no Brasil
(7) IBM Security – Cost of a Data Breach Report 2024
(8) Câmara dos Deputados – Projeto de Lei 2.338/2023 – Marco Legal da Inteligência Artificial
(9) Aprova a Agenda Regulatória para o biênio 2025-2026 da ANPD