A suposição mais confortável que circulou no mercado brasileiro depois que a LGPD ganhou dentes foi a de que as empresas, diante da ameaça concreta de multa, fariam o que precisava ser feito. Dois anos de enforcement ativo mostram que essa suposição estava errada — não porque as empresas sejam negligentes, mas porque o compliance que a maioria implementou foi desenhado para parecer suficiente, não para funcionar de verdade.
O que as empresas realmente fizeram
O movimento mais visível foi superficial por definição. Banners de cookies proliferaram. Políticas de privacidade foram reescritas em linguagem que poucos leram e menos ainda entenderam. Formulários ganharam checkboxes de consentimento. O DPO — cargo exigido pela lei — foi nomeado, em muitos casos, como função adicional de um advogado já sobrecarregado ou de um analista de TI que não tinha treinamento específico.
O que não aconteceu, na mesma escala, foi o trabalho invisível que sustenta qualquer programa de privacidade real: o mapeamento de dados. Saber quais dados pessoais a empresa coleta, onde estão armazenados, por quanto tempo são retidos, quem tem acesso e com quais terceiros são compartilhados é a base de tudo. Sem esse inventário, qualquer resposta a uma solicitação de titular é um exercício de improviso. Sem ele, responder a um incidente de segurança vira caos. A maioria das médias empresas brasileiras chegou a 2026 sem ter concluído esse mapeamento.
O que a ANPD revelou com suas ações
A Autoridade Nacional de Proteção de Dados não chegou com o rigor imediato que alguns esperavam, o que, paradoxalmente, alimentou a postura de mínimo esforço. As primeiras sanções foram aplicadas com critério pedagógico — valores abaixo do teto legal, comunicações que priorizavam orientação antes de punição. Isso foi interpretado por muitas empresas como sinal de que a janela de impunidade era longa.
As ações da ANPD, porém, revelaram padrões claros de prioridade. Incidentes de segurança com vazamento de volume expressivo de dados pessoais receberam atenção imediata. Empresas do setor financeiro e de saúde — que tratam categorias sensíveis — foram escrutinadas com mais rigor. A ausência de canal funcional para solicitações de titulares virou gatilho frequente de investigação. O que a autoridade não perseguiu, pelo menos não sistematicamente, foi a qualidade do consentimento ou a completude dos registros de tratamento — justamente o que mais empresas negligenciaram.
Esse foco seletivo criou um incentivo perverso: bastava ter um canal de atendimento que respondesse dentro do prazo e um banner de cookies, e o risco imediato de sanção caía. O compliance real, que exige governança de dados de ponta a ponta, ficou sendo visto como excesso de zelo.
O que separa compliance real de compliance cosmético
As empresas que fizeram o trabalho de verdade construíram três coisas que as demais não têm. Primeiro, um registro de operações de tratamento atualizado — não um documento estático entregue para auditoria, mas um inventário vivo que acompanha mudanças nos sistemas e nos fluxos de dados. Segundo, um processo operacional para responder a titulares: quando alguém pede acesso, correção ou exclusão dos próprios dados, existe um fluxo definido com SLA e responsável, não uma caixa de e-mail esquecida. Terceiro, uma gestão de terceiros — contratos com fornecedores que tratam dados pessoais foram revisados, cláusulas de DPA foram incluídas, e há pelo menos algum nível de verificação periódica se esses fornecedores mantêm controles adequados.
Nenhuma dessas três coisas aparece no site da empresa. Nenhuma é visível para o usuário final. Por isso mesmo, são o critério mais honesto para distinguir quem fez compliance de quem fez teatro regulatório.
O peso que os incidentes vão cobrar
O Brasil teve vazamentos expressivos nesse período. O megavazamento de 2021, com mais de 220 milhões de registros, ainda tinha causas que nunca foram plenamente esclarecidas publicamente. Outros incidentes menores — em empresas de saúde, em plataformas de e-commerce, em sistemas de folha de pagamento — mostraram que os vetores de ataque não são sofisticados: credenciais expostas, bancos de dados sem autenticação, APIs sem controle de acesso.
A conta do compliance cosmético vai aparecer quando a ANPD começar a investigar a resposta das empresas a esses incidentes, não apenas o incidente em si. A lei exige comunicação à autoridade e aos titulares afetados em prazo razoável. Exige que a empresa saiba, com precisão, quais dados foram comprometidos e quem são os titulares. Sem o inventário de dados que a maioria não fez, essa resposta é impossível de dar com qualidade — e a falta de qualidade na resposta tende a agravar, não mitigar, a situação regulatória.
O que fazer agora, com o que existe
Para as empresas que reconhecem estar no campo do compliance cosmético, o ponto de partida não é refazer tudo — é priorizar com honestidade. O mapeamento de dados pode começar pelos sistemas mais críticos e pelos tratamentos de maior risco, não pela empresa inteira de uma vez. O DPO precisa de autoridade real, acesso à liderança e recursos mínimos para funcionar — se a pessoa nomeada não tem essas condições, a nomeação é apenas burocrática.
A revisão de contratos com fornecedores de tecnologia merece atenção particular, porque é onde o risco muitas vezes está concentrado: processamento de dados em nuvem, sistemas de CRM, plataformas de analytics, ferramentas de automação de marketing. Cada um desses fornecedores é um operador no sentido da LGPD, e a responsabilidade pelo que eles fazem com os dados recai sobre a controladora.
O que o mercado vai exigir nos próximos anos — de parceiros, de fornecedores, de plataformas — é evidência de que o compliance tem substância. A pressão virá menos da ANPD e mais das próprias cadeias de fornecimento, à medida que empresas com operações internacionais passarem a exigir demonstrações concretas de conformidade. Quem fez o trabalho real terá essa evidência. Quem fez apenas o teatro vai precisar fazê-lo de verdade, mais tarde e com mais pressa.
Leia também
- LGPD em 2026: o que mudou, o que ainda não foi cumprido e o que vem por aí
- LGPD em Aplicativos: Guia de Conformidade
- Data residency: o que significa na prática garantir que dados ficam no Brasil
- LGPD nas Startups: Compliance e Estratégias de Proteção de Dados
- Compliance Digital: Guia de Conformidade para Produtos Digitais
- Compliance Digital: Comparativo na Pratica