Ainda há lacunas normativas importantes e temas sensíveis como IA e reconhecimento facial exigem atenção redobrada; ANPD deu um passo histórico ao se tornar oficialmente uma agência reguladora
Passados cinco anos desde a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), o debate sobre possíveis reformas legislativas ainda divide opiniões. Para Tertullyano Marques Sousa, advogado responsável pela área de Privacidade e Proteção de Dados do Marcelo Tostes Advogados, o momento exige mais regulamentação da Autoridade Nacional de Proteção de Dados (ANPD) do que mudanças na lei.
“Não vejo necessidade de reforma legislativa antes de a atual lei ser completamente regulamentada pela ANPD. Existem pontos cruciais que precisam ser enfrentados, como regras para elaboração do Relatório de Impacto à Proteção de Dados, classificação das bases legais de tratamento e definições específicas para dados pessoais de alto risco”, afirma Sousa.
Segundo o advogado, as maiores dúvidas das empresas decorrem justamente de temas que ainda não foram regulamentados. “Há dificuldades na implementação de programas de governança e ainda falta aculturamento de fornecedores, parceiros e até entes da Administração Pública, que muitas vezes desconhecem a lei ou interpretam conceitos básicos de forma equivocada”, observa.
Para os titulares de dados, a principal insegurança está na ausência de respostas concretas em casos de violação de direitos. “A ANPD ainda não possui estrutura suficiente para atuar em todos os cenários, o que dificulta a percepção de proteção efetiva pelo cidadão”, complementa Sousa.
Judiciário e lacunas normativas
Na avaliação de Sousa, os primeiros cinco anos foram desafiadores também para o Judiciário. “Foi preciso julgar casos complexos envolvendo reconhecimento facial, inteligência artificial e exercício de direitos de titulares, muitas vezes sem domínio técnico sobre o tema. Não há ainda linhas de decisão predominantes”, pontua. Ele acrescenta que a LGPD deixou lacunas, como a ausência de regras específicas para dados em relações de trabalho, algo contemplado no GDPR europeu. “Ainda é cedo para falarmos em jurisprudência consolidada, já que há poucas decisões administrativas e judiciais”, explica.
IA, reconhecimento facial e futuro da ANPD
Sobre inteligência artificial, Sousa defende que o tema deve ser regulado por legislação própria, em sintonia com a LGPD, e que a ANPD seja a responsável pela regulação. “A Agência já vem tratando de reconhecimento facial, que é um dado sensível e de alto risco, mas o uso indiscriminado dessa tecnologia em espaços públicos e privados ainda preocupa”, alerta.
Em 17 de setembro de 2025, a ANPD deu um passo histórico ao se tornar oficialmente uma agência reguladora. Para o advogado, isso deve ampliar a capacidade de atuação do órgão. “O futuro aponta para mais fiscalização, regulamentação e cooperação. Com o reforço do quadro técnico, a expectativa é de uma atuação cada vez mais robusta”, finaliza Sousa.
