Salto nas denúncias e maior fiscalização pressionam companhias por governança de dados, mas abismo técnico ainda afeta pequenas e médias empresas Miriam Wimmer, diretora da ANPD — Foto: divulgação Os esforços das empresas para proteger dados sensíveis, exigência prevista na Lei Geral de Proteção de Dados (LGPD), ainda estão longe do ideal, especialmente entre pequenas e médias companhias. Mesmo nas grandes corporações, a adoção de tecnologias e processos de proteção de dados costuma avançar mais por pressão de clientes e parceiros de negócios ou pela atuação da Agência Nacional de Proteção de Dados (ANPD) do que por uma cultura consolidada de governança de dados. Com o fortalecimento da ANPD, que só em 2025 ganhou status de agência reguladora e um aumento de sua capacidade operacional, a expectativa é de um reforço na fiscalização. “A gente vem passando por um processo de amadurecimento tanto do ponto de vista institucional quanto social. A trajetória da ANPD reflete a evolução do tema para governo e sociedade”, comenta Miriam Wimmer, diretora da ANPD, acrescentando a relevância do ganho de musculatura do último ano, quando chegou a perto de 500 servidores. “As empresas sabem das obrigações jurídicas decorrentes de um vazamento de dados, da necessidade de notificar o titular do dado exposto e a ANPD. Aos poucos, o setor empresarial começa a entender também que isso é ativo reputacional.” No ano passado, a ANPD recebeu 9.280 denúncias, um avanço de 205% sobre 2024 – ano que já havia registrado aumento de 295% sobre 2023. Este ano, já são 4.188 denúncias. Já as petições de titulares de dados pessoais – quando não conseguem exercer seus direitos perante a empresa – saltaram 245% entre 2024 e 2025, para 3.421. Apesar do número elevado de denúncias, as punições pecuniárias e os processos sancionadores abertos são poucos. Desde janeiro de 2022, quando começou a instauração de processos de fiscalização, foram abertos 12 processos, dos quais 8 foram concluídos e um gerou multa de R$ 14 mil. “Um incidente de segurança por si só não acarreta a aplicação de sanção administrativa. Para o regulador, é preciso comprovar a adoção de nível adequado de segurança nos dados tratados”, explica Wimmer. “Se a única ferramenta for sanção pecuniária, o regulado vai procurar adiar o cumprimento, o que incentiva a judicialização e não corrige o problema. Nossa abordagem é responsiva”, explica a diretora, citando o caso da Meta, que utilizou dados pessoais para treinamento de IA — ocasião em que a ANPD conseguiu interromper os serviços e levar à adoção de um plano de conformidade. “A LGPD se propõe a proteger dados pessoais e a viabilizar a geração de valor destes dados, de forma lícita. Demorou um tempo até que a ANPD fosse fortalecida e temas da lei regulamentados”, comenta Rony Vainzof, advogado especializado em Direito Digital, Proteção de Dados e Segurança Cibernética e sócio fundador do VLK Advogados. "As empresas precisam avançar em boas práticas porque se demonstrarem à ANPD que foram diligentes e cumpriram medidas técnicas e administrativas, mesmo que ocorra um vazamento, não terão violado a LGPD", afirma. A preocupação de Vainzof é que as novas atribuições dadas à ANPD, relativas ao o Estatuto da Criança e do Adolescente (ECA) Digital e ao Marco Civil da Internet, desviem a atenção do regulador. “Tem que andar em paralelo, não pode prejudicar as outras atribuições.” Para a diretora da agência, a chegada das novas competências não representa guinada na atuação da ANPD. “Já tínhamos foco na proteção da criança e do adolescente antes da ECA. O que há é uma reorientação de prioridade e necessidade de mais musculatura para atuarmos, o que foi conseguido. Hoje, temos mais conforto para adquirir novas competências.” Com maior musculatura da ANPD, a expectativa é que a fiscalização fique mais efetiva, acelerando o passo das empresas na adequação à LGPD. “Hoje, a atuação da agência é o que empurra as empresas para uma maior consciência sobre cibersegurança. Outro estímulo ocorre quando algum cliente exige medidas de segurança e há risco de perder o contrato”, comenta Thiago Tanaka, diretor de cibersegurança da TIVIT, que acrescenta que os maiores avanços ocorrem no setor financeiro e nas grandes empresas. “Nas pequenas e médias, o hiato ainda é enorme.” O diretor lembra que o principal limitador é a falta de conhecimento das companhias que imaginam investimentos altos, nem sempre necessários. “Se todos fizerem o mínimo bem feito, com soluções de firewall, antispam, desde que bem configuradas, auditadas, podem garantir um bom nível de proteção. O zero trust também é importante. São iniciativas que contam em uma eventual fiscalização da ANPD após ocorrido um vazamento”, explica Tanaka. O zero trust – ou confiança zero – é um conceito que norteia a adoção de diversas iniciativas para garantir que apenas determinadas credenciais tenham acesso a dados sensíveis. Na visão do diretor da TIVIT, a tendência é que os ataques externos fiquem cada vez mais frequentes, graças à inteligência artificial (IA), ferramenta que também ajuda a prevenir. “Na TIVIT, demorava de seis a oito meses para fazer o assessment (avaliação), o planejamento de adequação de LGPD no cliente. Hoje, com IA, faço em um mês.” A necessidade de uma maior consciência preventiva das empresas também é destacada por Luiz Claudio, CEO e fundador da LC SEC, consultoria de cibersegurança. “Os clientes olham ainda para o tema como algo regulatório e falta a visão do risco reputacional envolvendo vazamento de dados sensíveis. O que a lei (LGPD) prevê são controles básicos, sem citar solução X ou Y”, comenta o CEO, acrescentando que empresas têm a opção de desenvolver internamente soluções ou comprá-las prontas. “Os vazamentos de dados mais comuns ocorrem na vertente de acesso, com a credencial vazada ou por um ataque de hacker”, explica o CEO, mencionando também o zero trust. “Quando falamos de pequena empresa, esta é uma solução que pode ser cara, mas dá para construir internamente, desde que tenha uma equipe que entenda de cibersegurança”, comenta o CEO, lembrando que é preciso documentar. “A empresa que quer proteger os dados e se proteger em caso de falhas, perante à ANPD, tem que ter as soluções de segurança e todos os processos documentados. Precisa demonstrar com evidências que estava adotando práticas para proteger os dados sensíveis das pessoas.”