A conversão da MP em lei: por que a adequação à LGPD deixou de ser um projeto e virou obrigação

Written by Renan Pelizzari

A conversão da Medida Provisória nº 1.317/2025 na Lei nº 15.352, de 25 de fevereiro de 2026, produziu um efeito institucional que não pode ser subestimado: a antiga Autoridade Nacional de Proteção de Dados foi alçada à condição de Agência Nacional de Proteção de Dados, como autarquia de natureza especial, dotada de autonomia funcional, técnica, decisória, administrativa e financeira, além de patrimônio próprio e estrutura reforçada de fiscalização e regulação. 

Essa transformação não está apenas na nomenclatura, mas, sobretudo, na densificação do aparato estatal de controle, agora acompanhado por prerrogativas típicas de poder de polícia administrativa, inclusive com possibilidade de interdição de estabelecimentos, apreensão de bens e requisição de força policial em caso de embaraço ao exercício da atividade regulatória. 

Sob esse novo arranjo, a adequação das empresas à Lei Geral de Proteção de Dados Pessoais deixou definitivamente o campo da promessa programática para ingressar no plano da exigibilidade institucional concreta.

Essa mudança coincide com um momento de intensificação regulatória. Em nota oficial divulgada quando da aprovação parlamentar da medida provisória, a própria ANPD afirmou que sua transformação em agência reguladora se justificava pela ampliação de competências e pela necessidade de uma estrutura apta a atuar de modo independente, célere e proporcional diante dos riscos associados à economia digital, às plataformas online e às tecnologias emergentes, com destaque para a inteligência artificial.

Não se trata, portanto, de uma inflexão meramente administrativa, mas da consolidação de um ambiente em que governança de dados, segurança da informação, documentação de conformidade, gestão de terceiros e controle do uso corporativo de IA passam a integrar o núcleo duro do risco jurídico empresarial.

Infelizmente, observamos com frequência que muitas organizações ainda incorrem em um equívoco estratégico. Há quem continue tratando a adequação à LGPD como um projeto estanque, frequentemente limitado à revisão de políticas, à atualização de cláusulas contratuais ou à produção de documentos genéricos de privacidade. 

Essa abordagem é insuficiente. A conformidade, à luz da legislação brasileira e da evolução institucional da ANPD, exige capacidade permanente de governança, o que pressupõe base legal corretamente definida, delimitação de finalidade, minimização, gestão do ciclo de vida dos dados, mecanismos de resposta ao exercício de direitos dos titulares, trilhas de auditoria, governança de incidentes, revisão contratual com operadores e fornecedores, critérios de retenção e descarte, além de estrutura interna apta a demonstrar, documentalmente, a legitimidade e a segurança do tratamento.

O fundamento jurídico desse dever é robusto e antecede, inclusive, a nova conformação institucional da ANPD. No julgamento da ADI 6387, o Supremo Tribunal Federal afirmou que o respeito à privacidade e à autodeterminação informativa foi positivado pela LGPD como fundamento específico da disciplina de proteção de dados pessoais e assentou que o tratamento de dados deve observar limites constitucionais vinculados à liberdade individual, à privacidade e ao livre desenvolvimento da personalidade.

No mesmo precedente, a Corte destacou que iniciativas de tratamento de dados sem definição adequada de finalidade, sem demonstração suficiente de necessidade e sem mecanismos técnicos e administrativos aptos a prevenir acessos não autorizados, vazamentos ou usos indevidos não resistem ao controle de constitucionalidade.

A consequência prática desse entendimento é direta para o setor privado. Se o parâmetro constitucional de validade do tratamento exige finalidade legítima, necessidade, adequação, proporcionalidade e salvaguardas efetivas, não há espaço jurídico para operações empresariais baseadas em coleta excessiva, reaproveitamento indiscriminado de bases, circulação interna descontrolada de informações, retenção por prazo indefinido ou compartilhamento indiscriminado com fornecedores de tecnologia. 

A empresa que não consegue explicar e evidenciar com precisão por que trata, como trata, por quanto tempo retém, com quem compartilha e quais controles mantém já se encontra, em alguma medida, exposta a risco regulatório relevante.

A jurisprudência do Superior Tribunal de Justiça vem densificando esse cenário com particular objetividade. No REsp 2.092.096/SP, a Terceira Turma assentou que a B3, na condição de agente de tratamento, estava obrigada a excluir dados cadastrais inseridos indevidamente por terceiros após acesso não autorizado ao perfil do investidor. 

O julgado é importante por afirmar, de modo expresso, que quem mantém sistema que armazena e utiliza dados pessoais submete-se às obrigações da LGPD, inclusive aos princípios da adequação e da segurança, bem como aos direitos do titular previstos no art. 18 da lei.

Em outras palavras, a conformidade não se resume à licitude abstrata da operação. Ela exige aptidão operacional para prevenir, corrigir, bloquear, eliminar e responder a eventos que afetem a integridade e a regularidade do tratamento.

A lógica é aprofundada por um precedente mais recente da própria Terceira Turma, de setembro de 2025, quando o STJ divulgou decisão segundo a qual a disponibilização para terceiros de informações pessoais armazenadas em banco de dados, sem comunicação prévia ao titular e sem consentimento, caracteriza violação a direitos da personalidade e justifica indenização por danos morais, reputados presumidos diante da forte sensação de insegurança suportada pela vítima.

Ainda que o debate jurisprudencial sobre dano moral em matéria de proteção de dados siga em desenvolvimento, resta evidente que a inadequação empresarial em proteção de dados já não se projeta apenas como risco administrativo ou reputacional, mas também como vetor de responsabilidade civil indenizável.

Esse quadro adquire densidade ainda maior quando se considera o uso corporativo de inteligência artificial. O problema, aqui, não reside apenas em sistemas proprietários desenvolvidos pela empresa. Ele aparece, com intensidade crescente, no uso cotidiano de ferramentas generativas por funcionários, prestadores de serviço, departamentos jurídicos, recursos humanos, marketing, tecnologia, atendimento e áreas de negócio. 

A adoção dispersa de assistentes generativos, copilotos, plataformas de automação e soluções de busca semântica introduz novas rotas de circulação de dados pessoais, segredos de negócio, documentos internos, credenciais, bases contratuais, código-fonte, registros funcionais e conteúdos sujeitos a sigilo profissional.

Os números disponíveis reforçam o caráter concreto, e não hipotético, desse risco. Em publicação de dezembro de 2025, a Check Point Research informou que 1 em cada 27 prompts submetidos a plataformas de Inteligência Artificial generativa apresenta alto risco de vazamento de dados sensíveis, ao passo que 91% das organizações que utilizavam ferramentas de IA generativa foram afetadas por atividade de prompts de alto risco, além disso, 25% adicionais dos prompts continham informações potencialmente sensíveis.

Em outra frente, estudo da Harmonic Security, repercutido pela Dark Reading em janeiro de 2025, apontou que 8,5% dos prompts corporativos analisados continham dados sensíveis. Esses dados são suficientes para demonstrar que, no ambiente empresarial, o uso de IA não pode permanecer submetido a uma lógica de adoção espontânea, sem classificação da informação, sem política de uso aceitável, sem segregação de ambientes, sem filtros de prevenção de perda de dados e sem critérios de contratação e supervisão de fornecedores.

Urge destacar que a adequação empresarial à LGPD, portanto, não decorre de uma única variável. Ela resulta da convergência de ao menos cinco vetores. O primeiro é o vetor institucional, marcado pela transformação da ANPD em agência reguladora com estrutura ampliada e prerrogativas compatíveis com fiscalização mais intensa. O segundo é o vetor constitucional, explicitado pelo STF ao submeter o tratamento de dados aos parâmetros de finalidade, necessidade, adequação, proporcionalidade e segurança. O terceiro é o vetor jurisprudencial infraconstitucional, no qual o STJ passa a aplicar a LGPD em hipóteses concretas de exclusão, correção, segurança e responsabilização. O quarto é o vetor tecnológico, intensificado pela incorporação massiva de IA nos fluxos corporativos. O quinto é o vetor probatório, porque para as empresas, não basta apenas cumprir a LGPD, mas é necessário ser capaz de demonstrar, com consistência documental, que cumpre a LGPD.

Daí por que a adequação não deve ser concebida como peça de marketing regulatório, mas como arquitetura de controle. Em termos jurídicos e organizacionais, isso significa estruturar inventário de dados, mapa de fluxos, matriz de bases legais, governança do encarregado, programa de resposta a incidentes, política de retenção, processo de atendimento a direitos dos titulares, governança contratual com operadores, due diligence de fornecedores, critérios de transferência internacional, registros de decisões automatizadas, políticas específicas para ferramentas de IA, delimitação de uso de dados em treinamento ou alimentação de modelos e procedimentos de avaliação prévia de impacto, sobretudo quando houver tratamento em larga escala, perfis comportamentais, dados sensíveis, monitoramento ou decisões com potencial de produzir efeitos relevantes sobre titulares.

No caso específico da inteligência artificial, a maturidade regulatória empresarial exige cuidados adicionais. O primeiro deles consiste em impedir a falsa premissa de que o prompt seria ato irrelevante do ponto de vista jurídico. 

É de rigor considerar que o prompt pode conter dado pessoal, dado sensível, segredo comercial, informação contratual estratégica, parecer interno, documento sujeito a confidencialidade, dado de empregado ou informação protegida por dever legal de sigilo. 

O segundo cuidado é reconhecer que a contratação formal de uma solução corporativa não elimina, por si só, o risco jurídico, mas apenas desloca a análise para temas como papel contratual do fornecedor, suboperadores, localização do tratamento, retenção, reutilização para treinamento, logs, mecanismos de anonimização, segregação de instância e resposta a incidentes. 

O terceiro cuidado é compreender que a governança de IA, para fins de LGPD, depende tanto de tecnologia quanto de processo, treinamento e disciplina probatória.

Também sob o ângulo concorrencial e societário, a inadequação tem custo elevado. Vazamentos decorrentes de uso indevido de IA, tratamentos incompatíveis com a finalidade informada, ausência de controles sobre fornecedores ou incapacidade de resposta a pedidos dos titulares afetam não apenas a relação com a autoridade e com o Judiciário, mas também operações de investimento, auditorias, due diligences, contratações públicas e privadas, renovações contratuais, integração pós-M&A e seguros cibernéticos. 

Em mercados regulados e cadeias empresariais complexas, a conformidade em proteção de dados já se converteu em critério de elegibilidade negocial.

É justamente por isso que a agenda de adequação precisa ser reposicionada na governança empresarial. O conselho de administração, a diretoria, a liderança jurídica, a tecnologia, a segurança da informação, os recursos humanos, o marketing e as áreas operacionais devem tratar proteção de dados como matéria transversal de integridade. 

A empresa que mantém uma política de privacidade publicável, mas não possui controle efetivo sobre extração de bases, compartilhamentos laterais, armazenamento em nuvem, uso de IA por áreas internas, tratamento por operadores e descarte seguro de dados, não se encontra adequadamente ajustada ao sistema normativo atual. Há, nesse cenário, uma dissonância entre discurso e prática que se torna particularmente perigosa em um ambiente regulatório mais estruturado e em uma jurisprudência cada vez mais receptiva às consequências jurídicas da circulação indevida de dados.

A Lei nº 15.352/2026, ao fortalecer institucionalmente a ANPD, operou também como mensagem regulatória ao mercado: o ciclo de transição complacente se encerrou. O tema deixou de ser periférico. A proteção de dados passou a ocupar espaço definitivo na arquitetura de controle do Estado brasileiro, e a inteligência artificial acelerou a materialização dos riscos que antes pareciam difusos. 

Empresas que ainda não revisitaram suas bases legais, seus fluxos internos, seus documentos, seus contratos, seus processos de retenção, seus mecanismos de segurança e sua governança de IA já não enfrentam apenas um déficit de compliance e sim um problema de exposição regulatória, judicial, reputacional e patrimonial.

Em conclusão, a adequação à LGPD deve ser compreendida como dever estrutural de organização empresarial. A nova configuração da ANPD, a afirmação constitucional da proteção de dados pelo STF, a aplicação concreta da LGPD pelo STJ e a evidência empírica de vazamentos e exposições decorrentes do uso corporativo de IA compõem um cenário no qual a omissão deixa de ser defensável. 

O momento atual exige menos retórica de conformidade e mais engenharia jurídica, documental, tecnológica e operacional de proteção de dados. É esse o ponto em que a governança séria se distingue da mera aparência de conformidade.

Renan Pelizzari

With a broad background and a focus on Governance, LGPD and Corporate Recovery, Renan represents the new generation of digital and strategic law. He combines technical knowledge with expertise in legal security for high-risk environments.

Next

A reforma como oportunidade: transforme a transição fiscal em ganho operacional