A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020. Cinco anos depois, é hora de um balanço honesto — não o balanço triunfalista de quem a criou, nem o ceticismo fácil de quem nunca acreditou nela.
A resposta curta: mudou mais do que os céticos esperavam, menos do que os otimistas prometeram.
O Que Mudou de Verdade
Grandes empresas, especialmente as multinacionais já acostumadas com o GDPR europeu, adaptaram seus processos com relativa rapidez. Políticas de privacidade ficaram mais claras (embora ainda longas demais para qualquer pessoa ler). Formulários de consentimento proliferaram. DPOs foram contratados.
A ANPD, a autoridade regulatória, começou a aplicar multas — ainda que em valores modestos comparados ao potencial da lei. O efeito pedagógico existe: empresas que antes nem pensavam em proteção de dados agora pelo menos têm alguém responsável pelo tema.
O Que Não Mudou
O mercado de dados pessoais no Brasil continua operando em grande parte na informalidade. Empresas de cobrança, birôs de crédito paralelos, corretores de dados que vendem listas de CPFs — esse ecossistema não foi desmantelado pela LGPD.
Pequenas e médias empresas, em sua maioria, ainda não se adequaram. Não por má-fé, mas por falta de recursos, conhecimento e, francamente, de fiscalização efetiva nesse segmento.
