Após 8 anos de GDPR empresas ainda têm dificuldade em comprovar governança, segurança e controle sobre dados pessoais em auditorias e contratos internacionais
O aniversário de oito anos de aplicação do Regulamento Geral de Proteção de Dados da União Europeia, o GDPR, reacende um debate cada vez mais presente no mercado brasileiro: muitas empresas já possuem políticas de privacidade e adequações relacionadas à LGPD, mas ainda enfrentam dificuldades para comprovar, na prática, maturidade em governança de dados diante de auditorias, contratos internacionais e exigências regulatórias.
Segundo levantamento da DLA Piper, autoridades europeias aplicaram cerca de € 1,2 bilhão em multas relacionadas ao GDPR em 2025. O valor acumulado desde a entrada em vigor da regulamentação, em maio de 2018, chegou a € 7,1 bilhões em janeiro de 2026. O estudo também aponta crescimento de 22% nas notificações de violações de dados pessoais na Europa, alcançando média de 443 notificações por dia entre janeiro de 2025 e janeiro de 2026.
Para Luiz Claudio, CEO e fundador da LC SEC, o principal aprendizado do GDPR para o mercado brasileiro está menos na legislação e mais na capacidade de demonstrar evidências contínuas de conformidade. “Muitas empresas brasileiras acreditam que adequação à LGPD significa ter política de privacidade, termo de uso e canal para o titular. Quando passam por auditorias internacionais ou processos de due diligence, descobrem que não conseguem comprovar aspectos básicos de governança, como mapeamento de dados, bases legais, gestão de fornecedores, retenção de informações ou resposta a incidentes”, afirma.
Segundo o executivo, a cobrança internacional se tornou mais operacional e menos documental. “O mercado europeu exige evidências. Não basta dizer que está adequado. A empresa precisa demonstrar como protege dados, quem acessa informações, quais controles existem, como monitora riscos e quais medidas sustentam a tomada de decisão”, explica.
A discussão ganhou ainda mais relevância com o avanço das regras relacionadas à transferência internacional de dados. Em 2025, a maior multa aplicada sob o GDPR foi de € 530 milhões em um caso envolvendo restrições ligadas à transferência internacional de dados pessoais. No Brasil, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, em agosto de 2024, a Resolução CD/ANPD nº 19, regulamentando mecanismos para transferências internacionais de dados, incluindo cláusulas-padrão contratuais, decisões de adequação e garantias específicas.
Para empresas brasileiras que utilizam plataformas globais de CRM, cloud, analytics, marketing digital ou inteligência artificial, o tema passou a impactar diretamente contratos, auditorias e relações comerciais internacionais. “A resolução aproxima a LGPD de uma lógica já consolidada no GDPR, mas muitas empresas ainda não sabem mapear fluxos internacionais, identificar onde os dados estão armazenados, revisar contratos globais ou comprovar salvaguardas técnicas e organizacionais”, diz Luiz Claudio.
A fiscalização da própria ANPD também vem ampliando a pressão sobre aspectos práticos de governança. Em dezembro de 2024, a autoridade fiscalizou 20 empresas de grande porte por ausência de encarregado de dados ou de canais adequados de atendimento aos titulares. Para 2026, temas como inteligência artificial, direitos dos titulares, tecnologias emergentes e tratamento de dados pelo poder público estão entre as prioridades regulatórias.
O cenário de segurança da informação reforça esse movimento. Segundo relatório da IBM, o custo médio de uma violação de dados no Brasil chegou a R$ 7,19 milhões em 2025, alta de 6,5% em relação ao ano anterior. O levantamento aponta phishing, comprometimento de terceiros e exploração de vulnerabilidades entre as principais causas de incidentes no país.
Com atuação em projetos no Brasil e na Europa, a LC SEC apoia empresas na estruturação de programas de privacidade e segurança alinhados à LGPD, GDPR, ISO 27001, SOC 2, PCI DSS, NIST e CIS Controls. A consultoria também atua em gestão de riscos, auditorias internas, conscientização em segurança, pentest e threat intelligence. “O principal desafio das empresas brasileiras hoje não é apenas criar documentos de conformidade. É construir um programa vivo de governança, capaz de sustentar auditorias, responder incidentes e atender exigências internacionais de forma contínua”, conclui Luiz Claudio.
Sobre a LC SEC
A LC SEC é uma consultoria especializada em segurança da informação e compliance, com atuação no Brasil e na Europa há mais de 10 anos. A empresa já executou mais de 150 projetos em cibersegurança e adequação a normas internacionais, incluindo ISO 27001, ISO 42001, SOC2, PCI DSS, NIST, LGPD, GDPR e DORA. Em 2025, ampliou seu portfólio com soluções inovadoras de Threat Intelligence baseadas em IA e auditorias internas.
Contabilidade deixa de ser operacional e assume controle estratégico dos dados corporativos
Observabilidade avança como motor de decisões estratégicas em ambientes digitais complexos
Acesse a coluna na qual falamos sobre Dados!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
