Por que a Lei Geral de Proteção de Dados ainda deixa brasileiros vulneráveis?

Por trás de cada cadastro em loja, aplicativo de delivery ou plataforma de saúde, existe um detalhe incômodo: mesmo com a LGPD, milhões de brasileiros ainda têm dados pessoais circulando sem controle claro. A lei trouxe avanços, mas as brechas jurídicas, técnicas e políticas mantêm a sensação de que a privacidade digital continua mais no discurso do que na prática, abrindo espaço para graves vulnerabilidades em serviços públicos e privados.

Por que uma lei moderna ainda não protege todo mundo

A Lei Geral de Proteção de Dados entrou em vigor em 2020 com a promessa de mudar a forma como empresas e órgãos públicos tratam informações pessoais. Ela criou regras para coleta, uso, armazenamento e compartilhamento de dados, além de estabelecer direitos como acesso, correção e exclusão.

Na teoria, o cenário brasileiro passou a se alinhar a normas globais, como o GDPR europeu. Na prática, porém, a aplicação da lei ainda enfrenta obstáculos. Muitas empresas seguiram pelo caminho mínimo de adequação, limitando-se a avisos genéricos de cookies e termos de uso extensos.

Órgãos públicos, por sua vez, convivem com sistemas legados, bases de dados antigas e integração improvisada entre plataformas. Em estados e municípios, o desafio de implementar governança de dados é ainda maior, com falta de equipes especializadas e orçamento limitado.

Esse cenário facilita incidentes em massa, como o vazamento de milhões de CPFs em bancos de dados governamentais. Em Pernambuco, por exemplo, o questionamento sobre se o governo assumirá integralmente a responsabilidade pelo vazamento de 9 milhões de CPFs mostra como a proteção ainda é frágil, tema já exposto em casos como o de CPFs vazados em Pernambuco.

Vazamentos em massa e a cultura do “aceito os termos”

Uma parte importante da exposição de dados no Brasil vem da combinação entre falhas técnicas e uma cultura de aceitação automática. A maioria dos usuários aceita termos de uso sem ler, entrega documentos em cadastros físicos e digitais sem saber o destino dessas informações.

Nos últimos anos, o país registrou grandes vazamentos envolvendo CPFs, endereços, telefones, informações de saúde e até histórico de consumo. Muitas dessas bases aparentemente foram montadas a partir de combinações de dados públicos, cadastros privados e brechas em sistemas governamentais.

Quando um incidente assim ocorre, a LGPD prevê comunicação ao titular e à Autoridade Nacional de Proteção de Dados (ANPD). Porém, nem sempre a notificação é clara, detalhada ou tempestiva. Em alguns casos, pessoas descobrem o problema apenas quando começam a receber golpes direcionados.

Ao mesmo tempo, o avanço da inteligência artificial cria um novo tipo de risco: informações vazadas podem ser usadas para personalizar fraudes com um nível de realismo cada vez maior, inclusive em temas sensíveis como saúde, em um contexto onde soluções como IA aplicada à área médica já levantam dúvidas, como ocorre com ferramentas do tipo ChatGPT Health.

Onde a LGPD esbarra na falta de estrutura do país

A LGPD criou a figura do encarregado de dados, o famoso DPO, e determinou que empresas e órgãos públicos estabeleçam políticas internas formais para proteger informações. Porém, isso exige investimento em tecnologia, treinamento e revisão de processos.

Muitas organizações de pequeno e médio porte, inclusive prefeituras e autarquias, ainda tratam proteção de dados como um documento para cumprir tabela, não como uma mudança estrutural. Há políticas escritas, mas pouca efetividade no dia a dia, especialmente em sistemas com acesso amplo.

Servidores públicos e funcionários de empresas nem sempre recebem treinamento específico sobre segurança da informação. Senhas fracas, compartilhamento de logins, ausência de autenticação em duas etapas e uso de equipamentos pessoais sem controle são práticas comuns.

Em paralelo, investimentos em cibersegurança no âmbito nacional seguem aquém do necessário, com estudos indicando lacunas de bilhões de reais em relação ao ideal. Discussões sobre se aportes privados de centenas de milhões seriam suficientes para reforçar essa área, como no caso do investimento de R$ 400 milhões em cibersegurança noticiado em iniciativas de proteção digital, revelam que a infraestrutura ainda está em construção.

Setor público, saúde e crianças: pontos sensíveis da exposição

Alguns setores concentram riscos maiores. Serviços de saúde, por exemplo, lidam com prontuários, diagnósticos, histórico de tratamentos e dados biométricos. A LGPD classifica esse tipo de dado como sensível, exigindo cuidados reforçados e bases jurídicas específicas para tratamento.

Na prática, o uso crescente de tecnologias médicas conectadas, telemedicina e sistemas terceirizados amplia a superfície de ataque. Hospitais e clínicas nem sempre contam com infraestrutura robusta de segurança ou equipes técnicas especializadas em criptografia, monitoramento e resposta a incidentes.

Outro ponto delicado envolve dados de crianças e adolescentes. A LGPD impõe regras mais rígidas para esse grupo, incluindo consentimento específico dos responsáveis. Porém, a integração entre escolas, plataformas educacionais, sistemas de avaliação e ferramentas baseadas em IA levanta dúvidas sobre o monitoramento efetivo.

Essa preocupação aparece com força em discussões sobre tecnologias em ambientes hospitalares pediátricos e em escolas, onde a falta de regulamentação detalhada já foi apontada como fator de risco em temas como o uso de sistemas tecnológicos em cirurgias de crianças e o emprego de IA em sala de aula, como se vê em debates sobre IA nas escolas brasileiras.

Fake news, IA e dados pessoais: o novo campo de batalha

Além do risco financeiro imediato, como golpes e fraudes de crédito, a exposição de dados pessoais se conecta com um problema mais amplo: a circulação de desinformação personalizada. Com acesso a perfis detalhados de consumo, preferências e histórico de navegação, campanhas de fake news podem segmentar públicos com enorme precisão.

No contexto eleitoral brasileiro, o uso de inteligência artificial para criar conteúdos falsos, vídeos manipulados e mensagens hiperpersonalizadas traz um desafio extra. A legislação atual tenta acompanhar, mas ainda há lacunas entre regras de proteção de dados, normas eleitorais e regulação de plataformas digitais.

A ausência de políticas públicas robustas para ataques com IA e desinformação já foi apontada em análises sobre como as normas atuais falham ao lidar com fake news em eleições, mostrando que proteger dados não é só uma questão de segurança individual, mas também de estabilidade democrática.

Quando bases de dados vazam, perfis inteiros podem ser mapeados para campanhas automatizadas, potencialmente ligadas a estratégias semelhantes às discutidas em textos que analisam como a regulamentação falha em conter notícias falsas geradas por sistemas de IA, como em debates sobre IA nas eleições.

Responsabilidade, multas e limites da punição econômica

A LGPD prevê sanções financeiras para empresas e órgãos que descumprirem a lei, incluindo multas de até 2% do faturamento, além de bloqueio ou eliminação de bancos de dados. A ANPD já começou a aplicar penalidades, principalmente contra organizações que não demonstram esforço de adequação.

No entanto, a aplicação dessas sanções ainda é gradual. Muitas decisões têm foco em orientar, e não apenas punir. Isso é importante para evitar colapso de serviços essenciais, mas levanta questionamentos sobre até que ponto a punição econômica consegue, sozinha, mudar práticas arraigadas.

Outro ponto é a dificuldade, para o cidadão comum, de buscar reparação individual. Mesmo com a possibilidade de ações judiciais, muitos titulares não possuem recursos, informação jurídica ou tempo para enfrentar grandes empresas ou órgãos estatais em disputas longas.

Essa assimetria se soma ao uso crescente de tecnologias avançadas em setores estratégicos, como energia e petróleo, onde supercomputadores e sistemas de alta performance processam quantidades massivas de dados, exigindo modelos sofisticados de governança, discutidos inclusive em análises sobre o papel de grandes infraestruturas computacionais no Brasil, como em matérias sobre o supercomputador da Petrobras.

Direitos do usuário e o abismo entre teoria e prática

Entre os principais direitos garantidos pela LGPD estão o acesso às informações mantidas por controladores, a correção de dados incompletos, a portabilidade para outros serviços e a exclusão quando o tratamento não for mais necessário ou estiver baseado apenas em consentimento.

Na prática, exercer esses direitos costuma ser um processo burocrático. Muitos sites exigem formulários extensos, e respostas podem demorar ou vir incompletas. Em alguns casos, o titular sequer encontra um canal claro para solicitar essas ações.

Além disso, poucos brasileiros sabem exatamente quais organizações possuem seus dados, de onde essas informações foram obtidas e com quem foram compartilhadas. A falta de transparência sobre fluxos de dados entre empresas de marketing, bancos, telecomunicações e varejo dificulta o controle real.

Essa ausência de clareza dialoga com a forma como grandes plataformas de varejo on-line, motores de busca e sistemas de recomendação passaram a mediar o consumo, levantando discussões sobre concentração de poder de dados e decisões automatizadas em setores como o comércio digital.

Entre o medo e a conveniência: como o usuário navega nas brechas

Mesmo com receio de fraudes, golpes e roubos de identidade, a maioria dos brasileiros segue fornecendo dados em troca de conveniência. Serviços de mobilidade, delivery, streaming, bancos digitais e carteiras de pagamento pedem informações detalhadas, que muitas vezes ficam vinculadas a outros cadastros.

O uso cotidiano de smartphones ampliou essa coleta, com geolocalização constante, análise de hábitos de uso, estatísticas de sono, atividades físicas e rotinas de deslocamento. Parte desses dados é tratada de forma anonimizada, mas nem sempre existe clareza sobre os limites de reidentificação.

Aplicativos de IA também entram nessa lista. Ferramentas que geram texto, imagem, voz e vídeo podem armazenar trechos de conversas, fotos de rosto e até tom de voz para melhorar modelos, levantando questionamentos sobre como esses dados são protegidos e eventualmente compartilhados.

Esse ambiente faz com que muitos usuários alternem entre preocupação e resignação, aceitando práticas de coleta por entenderem que é quase impossível ficar totalmente fora de plataformas digitais, seja em serviços financeiros, educação, saúde ou trabalho remoto.

O que ainda precisa mudar para reduzir a exposição de dados

Apesar das brechas e da sensação de vulnerabilidade, o cenário brasileiro não é estático. A ANPD segue publicando guias, resoluções e orientações setoriais, tentando calibrar exigências de acordo com o porte das organizações e a sensibilidade dos dados tratados.

Especialistas apontam que a próxima etapa passa menos por escrever novas leis e mais por aprofundar a aplicação da LGPD já existente. Isso inclui fiscalizações mais frequentes, transparência em decisões da autoridade, reforço na educação digital e incentivo a boas práticas de segurança.

Empresas e órgãos públicos tendem a ser pressionados por consumidores, investidores e parceiros internacionais a elevar padrões de proteção. Adoção de criptografia forte, autenticação multifator, segmentação de redes e revisão contínua de acessos internos entram nessa lista de medidas esperadas.

Para o usuário comum, o desafio é encontrar um equilíbrio razoável entre participar da vida digital e reduzir a superexposição: revisar permissões de aplicativos, desconfiar de cadastros excessivos, evitar compartilhar documentos em canais informais e acompanhar, sempre que possível, notícias e relatórios sobre a segurança das plataformas que utiliza diariamente.