A Autoridade Nacional de Proteção de Dados (ANPD) do Brasil entrou em modo de aplicação ativa em 2024, emitindo suas primeiras multas significativas sob a Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018. Com 215 milhões de brasileiros cobertos pelo marco e o Brasil hospedando a maior economia digital da América Latina (180 milhões de usuários de internet), a conformidade com a LGPD é agora uma realidade de aplicação, não uma preocupação futura.
LGPD: O GDPR do Brasil com Disposições Específicas Brasileiras
A LGPD foi modelada no GDPR, mas inclui disposições que diferem significativamente em escopo e aplicação:
Multas máximas: 2% da receita anual brasileira (não da receita global), até R$50 milhões (≈€9M) por violação. Ao contrário do teto de 4% da receita global do GDPR, a base de receita do Brasil da LGPD cria penalidades máximas mais baixas para empresas multinacionais — mas maior exposição relativa para negócios apenas no Brasil.
Categorias de dados sensíveis: As categorias de dados sensíveis da LGPD refletem de perto o Artigo 9 do GDPR, mas adicionam disposições específicas para origem racial/étnica, opinião política, crença religiosa, dados de saúde, dados genéticos, dados biométricos e — notavelmente — orientação sexual e vida sexual. A orientação de 2024 da ANPD estendeu as proteções de dados sensíveis à exigência de consentimento do Artigo 11 da LGPD para qualquer processamento de dados sensíveis.
Direitos dos titulares de dados: Semelhante ao GDPR — acesso, correção, anonimização, portabilidade, exclusão e informações sobre compartilhamento de dados. A LGPD do Brasil adiciona um direito específico de saber se a IA foi utilizada em decisões de processamento de dados.
Início da aplicação da ANPD: Primeiras sanções formais emitidas em 2024. Telecomunicações, serviços financeiros e organizações de saúde foram os principais alvos de aplicação. A ANPD sinalizou que empresas multinacionais operando no Brasil serão um foco em 2025.
Identificadores de PII Brasileiros: O Desafio da Detecção
O sistema de identificação nacional do Brasil é mais complexo do que a maioria dos países da UE — parcialmente porque o Brasil é uma república federal onde os sistemas de identificação variam de acordo com o estado de emissão para alguns documentos.
CPF (Cadastro de Pessoas Físicas): Número de registro de contribuinte individual de 11 dígitos, formato XXX.XXX.XXX-XX, com dois dígitos de verificação validados usando aritmética modular específica. O CPF é o principal identificador universal do Brasil — usado para serviços bancários, emprego, impostos, saúde e serviços governamentais. Todos os 215 milhões de brasileiros têm um CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica): Número de registro de empresa de 14 dígitos, formato XX.XXX.XXX/XXXX-XX, com dois dígitos de verificação. Aparece ao lado de dados pessoais de representantes da empresa em documentos comerciais.
RG (Registro Geral): Documento de identidade civil emitido pelo estado. Criticamente: O formato do RG varia de acordo com o estado de emissão. O formato do RG de São Paulo difere do do Rio de Janeiro, que difere do de Minas Gerais, e assim por diante em 26 estados + Distrito Federal. Uma ferramenta de PII que reconhece apenas o formato de RG de um estado perde a maioria dos números de RG brasileiros em documentos de outros estados.
CNH (Carteira Nacional de Habilitação): Número de carteira de motorista de 11 dígitos com dígito de verificação.
Título de Eleitor: Número de registro de eleitor de 12 dígitos que codifica informações geográficas sobre a zona de registro do eleitor.
PIS/PASEP: Número de programa de integração social de 11 dígitos usado em registros de emprego e folha de pagamento.
Número do SUS (Cartão SUS): Número de 15 dígitos atribuído a cada brasileiro para o sistema de saúde unificado — aparece em todos os documentos de saúde.
LGPD vs. GDPR: Principais Diferenças para Organizações Brasileiras-Europeias
Organizações que operam sob a LGPD e o GDPR enfrentam diferenças importantes:
Bases legais para processamento: A LGPD fornece 10 bases legais (comparado às 6 do GDPR), incluindo "interesse legítimo", "proteção da saúde" e "proteção de crédito" — esta última sendo única para a LGPD e refletindo a cultura de crédito impulsionada por fintechs no Brasil.
Sem mecanismo de adequação para o Brasil: A UE não concedeu ao Brasil uma decisão de adequação. Transferências de dados UE-Brasil requerem Cláusulas Contratuais Padrão ou regras corporativas vinculativas — o mesmo mecanismo exigido para transferências para os EUA ou outros países não adequados.
Requisitos de consentimento brasileiros: A LGPD exige que o consentimento seja específico, informado, inequívoco e dado livremente — semelhante ao GDPR. No entanto, a LGPD permite que o consentimento para dados sensíveis seja mais amplo do que a exigência do GDPR para consentimento explícito para cada finalidade específica, desde que a finalidade seja claramente comunicada.
Foco da Aplicação da ANPD em 2025
Com base nas prioridades de aplicação publicadas pela ANPD e nos resultados das investigações de 2024:
Dados de saúde: O Artigo 11 da LGPD exige consentimento explícito ou base legal específica para o processamento de dados de saúde. A ANPD encontrou múltiplos provedores de saúde e aplicativos de saúde sem base legal adequada para o processamento de números do SUS e registros médicos.
Serviços financeiros: Números de CPF em documentos financeiros — solicitações de empréstimo, relatórios de crédito, apólices de seguro — são os principais alvos de aplicação. A ANPD está auditando se as políticas de retenção de dados das instituições financeiras estão alinhadas com os propósitos documentados.
Conformidade de plataformas tecnológicas: Plataformas tecnológicas internacionais (mídias sociais, e-commerce, serviços de streaming) operando no Brasil são o foco da ANPD em 2025, particularmente para práticas de perfilamento e transferências de dados transfronteiriças.
Para organizações que processam dados pessoais brasileiros: A detecção de CPF e CNPJ com dígitos de verificação validados é a base técnica. Adicionar a detecção de RG com reconhecimento de formato específico do estado, CNH, Título de Eleitor e suporte ao número do SUS fornece cobertura abrangente em conformidade com a LGPD para PII brasileira.
Fontes: