A Agência Nacional de Proteção de Dados (ANPD) vem construindo, por meio de suas notas técnicas e deliberações, precedentes regulatórios que transformam princípios abstratos da Lei Geral de Proteção de Dados (LGPD) em parâmetros concretos de fiscalização.
Entre os dez princípios do artigo 6º, quatro aparecem de forma recorrente nas deliberações da agência diante de situações de tratamento irregular: segurança (inciso VII), prevenção (inciso VIII), não discriminação (inciso IX) e responsabilização e prestação de contas (inciso X).
Compreendê-los, à luz das notas técnicas mais recentes, é compreender como a LGPD opera na prática, e também reconhecer que esse direito tem assento constitucional expresso desde a Emenda Constitucional nº 115/2022, que incluiu a proteção de dados pessoais no rol do artigo 5º da Constituição, vinculando tanto particulares quanto a administração pública.
Esse fundamento confere à LGPD uma autoridade normativa que vincula não apenas as relações entre particulares, mas também a administração pública, que tem o dever de concretizá-lo tanto na abstenção de violações quanto na criação de condições para que terceiros também o respeitem.
Segurança: mais do que senhas e firewalls
O princípio da segurança, previsto no inciso VII, determina a adoção de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas.
Tal princípio encontra desdobramento nos artigos 46 a 49 da LGPD, que exigem que os sistemas de tratamento sejam estruturados para atender aos requisitos de segurança, às boas práticas e à governança.
A LGPD não exige perfeição absoluta, mas proporcionalidade e efetividade.
No plano técnico, criptografia, autenticação multifator, controle de acesso por função, backups regulares, pseudonimização e monitoramento de redes figuram entre as medidas recomendadas para qualquer agente de tratamento, independentemente do porte ou natureza jurídica.
No plano administrativo, o princípio se traduz em inventários de dados, políticas de privacidade, treinamentos periódicos e gestão estruturada de incidentes.
A ANPD publicou o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte como patamar mínimo de referência para organizações de todos os portes, incluindo órgãos públicos.
Já a Nota Técnica nº 1/2026/FIS/CGF/ANPD, elaborada no contexto da investigação sobre a X Brasil Internet Ltda. (GROK), reafirmou que a omissão ou insuficiência dessas salvaguardas configura potencial afronta ao princípio da segurança quando os riscos incidem sobre direitos e liberdades fundamentais dos titulares.
O mesmo entendimento foi reiterado na Nota Técnica nº 5/2025/FIS/CGF/ANPD, sobre dados biométricos de torcedores por clubes de futebol. Cabe à comunidade jurídica acompanhar se esse padrão será aplicado com igual rigor a agentes de tratamento de diferentes portes e naturezas, o que é condição para a credibilidade regulatória de qualquer autoridade de proteção de dados.
Prevenção e privacy by design: agir antes que o dano ocorra
O princípio da prevenção impõe a adoção de medidas para prevenir danos decorrentes do tratamento de dados pessoais. Em vez de aguardar o dano para remediar, a LGPD exige que a proteção seja incorporada desde o início, como parte constitutiva dos produtos, sistemas e serviços.
Tal exigência tem base no artigo 46, § 2º, da LGPD, que determina que as medidas de segurança “deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução”, dispositivo que dá sustentação legal ao conceito de privacy by design (Privacidade desde a Concepção) no ordenamento brasileiro.
O conceito foi sistematizado pela ex-comissária canadense Ann Cavoukian em sete princípios: ser proativo e não reativo; tratar a privacidade como padrão; incorporar a proteção de dados ao projeto dos sistemas; garantir funcionalidade total sem sacrificar a privacidade; assegurar segurança de ponta a ponta; manter visibilidade e transparência; e respeitar o usuário.
No Brasil, esses princípios foram incorporados ao acervo orientativo pelo Guia sobre Privacidade desde a Concepção e por Padrão, publicado pela Secretaria de Governo Digital.
Um dos instrumentos centrais dessa avaliação preventiva é o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no artigo 38 da LGPD.
Embora sem regulamentação definitiva, a ANPD publicou página específica com orientações consolidadas: o RIPD deve ser elaborado preferencialmente antes do início do tratamento para identificar fatores de risco e adotar salvaguardas apropriadas.
Nos termos do artigo 38, deverá conter a descrição dos dados tratados, a metodologia de tratamento e a análise das medidas de mitigação de riscos adotadas. Quanto ao critério de “alto risco”, a ANPD reconhece que os indicadores não são taxativos, cabendo ao controlador avaliar o caso concreto.
Esse modelo é robusto, mas a consolidação futura de parâmetros mais precisos pela ANPD beneficiaria tanto os agentes que buscam conformidade genuína quanto a própria efetividade da fiscalização.
As Notas Técnicas nº 1/2026 e nº 5/2025 reforçam que o princípio da prevenção, combinado com o privacy by design, já é suficiente para fundamentar a obrigação de elaborar o RIPD independentemente de norma complementar. Trata-se de uma obrigação de postura permanente, a construção de sistemas, serviços, políticas públicas com a privacidade como premissa estrutural, revisitando-os continuamente à medida que os riscos evoluem.
Não discriminação: o alerta que vem do tratamento de dados
O inciso IX veda o tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos, partindo do pressuposto de que dados mal tratados podem se transformar em instrumentos de exclusão e violação da dignidade humana.
O princípio não proíbe distinções legítimas, como as que fundamentam políticas afirmativas ou avaliação de risco de crédito com base em histórico verificável. Veda que o tratamento sirva de veículo para discriminações ilícitas, como a negativa de crédito com base em raça ou o bloqueio de serviços por condição de saúde.
A distinção entre discriminação lícita e ilícita é um dos desafios interpretativos mais complexos da LGPD, especialmente nas decisões automatizadas.
Nesse contexto, sistemas de pontuação de crédito e triagem algorítmica operam com variáveis que podem parecer neutras, mas produzir efeitos sistematicamente desfavoráveis para determinados grupos.
Portanto, o desafio regulatório está em avaliar o efeito discriminatório, independentemente da intenção do controlador.
Neste ponto, o artigo 20 da LGPD assume papel central ao assegurar ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado.
Seu parágrafo segundo prevê que, em caso de recusa em fornecer informações sobre os critérios utilizados, a ANPD poderá realizar auditoria para verificação de aspectos discriminatórios, sendo o único dispositivo de direito material da LGPD com essa previsão expressa.
Neste contexto, a Nota Técnica nº 12/2025/CON1/CGN/ANPD sinalizou o caminho para a regulamentação do artigo 20. A aludida nota sugere que essa regulamentação deverá definir critérios para o grau de explicabilidade exigível por tipo de decisão, o que, se bem calibrado, pode equilibrar proteção efetiva do titular e viabilidade operacional dos sistemas automatizados.
Ainda assim, a tensão entre explicabilidade algorítmica e proteção do segredo industrial permanece como ponto delicado a equacionar, mas o horizonte regulatório começa a se delinear.
Responsabilização e prestação de contas: o ônus de demonstrar a conformidade
O princípio do accountability, previsto no inciso X, exige que o agente de tratamento demonstre a adoção de medidas eficazes e comprove sua eficácia. Não basta cumprir as obrigações legais; é preciso ser capaz de comprová-las.
A responsabilização opera em três dimensões: demonstração da adoção de medidas, comprovação do cumprimento das normas e, a mais exigente, comprovação da eficácia dessas medidas por meio de indicadores mensuráveis, registros de resposta a incidentes e evidências de revisão periódica dos controles.
A ANPD, na Nota Técnica nº 50/2024/FIS/CGF/ANPD sobre o TikTok, deixou claro que o princípio não permite que o agente se esquive de suas obrigações alegando seguir práticas comuns no mercado quando seu público demanda proteção reforçada.
Para o setor público, a administração não pode invocar despreparo institucional como justificativa para a ausência de governança de dados.
A ausência desse esforço constitui, nos termos da LGPD e observado o devido processo administrativo com contraditório e ampla defesa, elemento configurador de infração passível de responsabilização, cuja gravidade será aferida pela ANPD à luz dos critérios de dosimetria do artigo 52 e da regulamentação sancionatória vigente.
Boa-fé como fundamento e limite
Os quatro princípios analisados articulam-se com o princípio da boa-fé objetiva, previsto no caput do artigo 6º da LGPD, que é fundamento transversal de interpretação e limite material ao exercício do poder informacional pelos agentes de tratamento.
Como fundamento, a boa-fé orienta cada princípio: a segurança não se satisfaz com medidas formais; a prevenção não se cumpre com um RIPD que ninguém utiliza como instrumento de decisão; a não discriminação não admite opacidade algorítmica para produzir efeitos que a boa-fé vedaria se fossem explícitos; e a responsabilização não tolera a encenação da conformidade por documentos que não refletem as práticas reais.
Como limite, a boa-fé impõe obrigações positivas: garantir transparência das informações essenciais ao tratamento, evitar assimetrias informacionais excessivas, respeitar as expectativas legítimas dos titulares e adotar salvaguardas efetivas contra riscos de tratamento abusivo.
As expectativas legítimas são aquelas razoavelmente formadas pelo titular a partir das informações fornecidas no momento da coleta e do contexto em que ocorreu.
Exemplificando: um titular que fornece dados para receber uma newsletter espera que eles não sejam usados para análise de crédito; um paciente espera que seus dados circulem apenas no âmbito do seu atendimento; um cidadão que preenche um cadastro para acessar benefício público espera que seus dados sensíveis não sejam publicizados sem necessidade.
Neste contexto, frustrar essa expectativa sem fundamento legal adequado constitui violação à boa-fé objetiva, independentemente da intenção do controlador.
Considerações finais
A análise dos princípios da segurança, prevenção, não discriminação e responsabilização à luz das notas técnicas da ANPD revela um quadro regulatório em amadurecimento consistente.
A agência vem construindo precedentes regulatórios que transformam esses princípios em parâmetros objetivos de conformidade aplicados em investigações reais, com reflexos sobre organizações públicas e privadas de todos os portes.
Ao mesmo tempo, esse amadurecimento traz demandas legítimas por maior precisão regulatória: sobre o que configura risco elevado para fins do RIPD, sobre como equacionar transparência algorítmica e segredo industrial, sobre quais evidências demonstram a eficácia das medidas adotadas.
São questões que a ANPD, em sua agenda para o biênio 2026-2027, terá a oportunidade de enfrentar, e cujas respostas definirão em grande medida o grau de efetividade da proteção de dados no Brasil nos próximos anos.
A abordagem do privacy by design, combinada com a cultura de prestação de contas e com a vigilância contra efeitos discriminatórios do tratamento de dados, constitui hoje o núcleo operacional do que se espera de qualquer agente de tratamento comprometido com a conformidade genuína.
Investir em governança de dados não é mais uma opção estratégica: é uma exigência jurídica com fundamento principiológico sólido, assento constitucional expresso e respaldo regulatório crescente.
Referências
BRASIL. Constituição da República Federativa do Brasil de 1988, art. 5º, inciso LXXIX, incluído pela Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Disponível aqui.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais (LGPD). Disponível aqui.
BRASIL. ANPD. Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte. Brasília: ANPD, 2021. Aqui.
BRASIL. ANPD. Relatório de Impacto à Proteção de Dados Pessoais (RIPD): perguntas e respostas. Brasília: ANPD, 2023. Disponível aqui.
BRASIL. Secretaria de Governo Digital. Guia sobre Privacidade desde a Concepção e por Padrão. Brasília: SGD/MGI, [s.d.]. Disponível aqui.
BRASIL. ANPD. Nota Técnica nº 5/2025/FIS/CGF/ANPD — Tratamento de dados biométricos de torcedores, inclusive de crianças e de adolescentes, por clubes de futebol. Brasília: ANPD, 2025. Disponível aqui.
BRASIL. ANPD. Nota Técnica nº 50/2024/FIS/CGF/ANPD — Tratamentos de dados pessoais de crianças e adolescentes pela rede social TikTok. Brasília: ANPD, 2024. Aqui.
BRASIL. ANPD. Nota Técnica nº 12/2025/CON1/CGN/ANPD — Tomada de Subsídios sobre Inteligência Artificial e Revisão de Decisões Automatizadas. Brasília: ANPD, 2025. Disponível aqui.
BRASIL. ANPD. Nota Técnica nº 1/2026/FIS/CGF/ANPD: Sistema de inteligência artificial Grok. Possíveis violações à LGPD. Brasília: ANPD, 2026. Aqui.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login