A Autoridade Nacional de Proteção de Dados passou a consolidar, por meio de notas técnicas e deliberações, critérios mais concretos para aplicar princípios da Lei Geral de Proteção de Dados na fiscalização de casos de tratamento irregular de dados pessoais. O tema é abordado em artigo de opinião publicado em 10 de abril de 2026, que analisa como a ANPD vem interpretando, na prática, os princípios de segurança, prevenção, não discriminação e responsabilização e prestação de contas. De acordo com informações da ConJur, esse movimento regulatório ajuda a converter normas abstratas em parâmetros objetivos de controle.
O texto assinado por Silvio Maciel e Silva Junior sustenta que compreender essas manifestações recentes da autoridade é uma forma de entender como a LGPD opera concretamente. O artigo também destaca que a proteção de dados pessoais passou a ter assento constitucional expresso com a Emenda Constitucional nº 115/2022, que inseriu esse direito no artigo 5º da Constituição, vinculando tanto agentes privados quanto a administração pública.
Como o princípio da segurança vem sendo aplicado pela ANPD?
Segundo o artigo, o princípio da segurança, previsto no inciso VII do artigo 6º da LGPD, exige a adoção de medidas técnicas e administrativas aptas a proteger dados contra acessos não autorizados e situações acidentais ou ilícitas. Esse dever se desdobra, ainda conforme o texto, nos artigos 46 a 49 da lei, que tratam da estruturação de sistemas de tratamento com base em requisitos de segurança, boas práticas e governança.
Entre as medidas citadas no conteúdo original estão criptografia, autenticação multifator, controle de acesso por função, backups regulares, pseudonimização e monitoramento de redes. No campo administrativo, o artigo menciona inventários de dados, políticas de privacidade, treinamentos periódicos e gestão estruturada de incidentes como mecanismos associados ao cumprimento desse princípio.
O texto também menciona o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte, publicado pela ANPD, e afirma que a Nota Técnica nº 1/2026/FIS/CGF/ANPD, elaborada no contexto da investigação sobre a X Brasil Internet Ltda. (GROK), reafirmou que a omissão ou insuficiência dessas salvaguardas pode configurar afronta ao princípio da segurança quando houver risco a direitos e liberdades fundamentais dos titulares. O mesmo entendimento, segundo o artigo, foi reiterado na Nota Técnica nº 5/2025/FIS/CGF/ANPD, sobre dados biométricos de torcedores por clubes de futebol.
O que o princípio da prevenção exige na prática?
Na análise publicada pela ConJur, o princípio da prevenção impõe uma lógica de atuação anterior ao dano. Em vez de responder apenas depois de uma falha, a proteção de dados deve ser incorporada desde a concepção de produtos, sistemas e serviços. O artigo relaciona esse entendimento ao artigo 46, parágrafo 2º, da LGPD, que determina a observância de medidas de segurança desde a fase de concepção até a execução do produto ou serviço.
O texto associa essa diretriz ao conceito de privacy by design, ou privacidade desde a concepção, e lembra que o tema foi incorporado ao acervo orientativo no Brasil por meio do Guia sobre Privacidade desde a Concepção e por Padrão, publicado pela Secretaria de Governo Digital. Nesse contexto, o Relatório de Impacto à Proteção de Dados Pessoais, previsto no artigo 38 da LGPD, é apontado como instrumento central para avaliação preventiva de riscos.
De acordo com o artigo, a ANPD publicou orientações segundo as quais o relatório deve ser elaborado preferencialmente antes do início do tratamento, com descrição dos dados tratados, da metodologia empregada e das medidas de mitigação adotadas. O conteúdo também afirma que as Notas Técnicas nº 1/2026 e nº 5/2025 reforçam que o princípio da prevenção, combinado com o privacy by design, já pode fundamentar a obrigação de elaborar o relatório mesmo sem norma complementar definitiva.
Como a LGPD trata o risco de discriminação no uso de dados?
O artigo destaca que o inciso IX do artigo 6º da LGPD veda o tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos. A análise ressalta que a lei não impede distinções consideradas legítimas, mas proíbe que o tratamento de dados seja utilizado como instrumento de exclusão ou violação da dignidade humana.
Segundo o texto, um dos principais desafios está nas decisões automatizadas, especialmente em sistemas de pontuação de crédito e triagem algorítmica. Nesses casos, variáveis aparentemente neutras podem produzir efeitos sistematicamente desfavoráveis para determinados grupos. Por isso, a avaliação regulatória, afirma o artigo, deve considerar o efeito discriminatório, independentemente da intenção do controlador.
Nesse ponto, o artigo aponta o papel do artigo 20 da LGPD, que assegura ao titular o direito de pedir revisão de decisões tomadas unicamente com base em tratamento automatizado. Também menciona que a Nota Técnica nº 12/2025/CON1/CGN/ANPD sinalizou caminhos para a futura regulamentação do dispositivo, inclusive com possível definição de critérios sobre o grau de explicabilidade exigível por tipo de decisão.
Por que a prestação de contas é central na fiscalização?
Na parte final disponível, o artigo afirma que o princípio da responsabilização e prestação de contas, previsto no inciso X do artigo 6º da LGPD, impõe ao agente de tratamento o ônus de demonstrar a adoção de medidas eficazes e de comprovar sua efetividade. A ideia central é que não basta alegar conformidade: é necessário evidenciá-la documentalmente e de forma verificável.
Com isso, o texto de opinião sustenta que a atuação da ANPD vem consolidando um padrão de fiscalização em que princípios legais deixam de ser apenas enunciados gerais e passam a servir de base concreta para exigências regulatórias. A leitura proposta pelos autores é a de que esse processo tende a influenciar tanto o comportamento de agentes privados quanto a atuação do poder público no tratamento de dados pessoais.
- Princípios destacados no artigo: segurança, prevenção, não discriminação e responsabilização
- Normas mencionadas: artigo 6º, artigos 20, 38 e 46 a 49 da LGPD
- Marco constitucional citado: Emenda Constitucional nº 115/2022
- Documentos citados: Notas Técnicas nº 1/2026, nº 5/2025 e nº 12/2025 da ANPD
