5
A primeira multa foi aplicada a uma microempresa, demonstrando que o porte não é critério de imunidade. Notificações subsequentes alcançaram empresas de grande porte como Uber, Telegram, Telefônica e Serasa. O padrão é claro: a ANPD não mais se limita a orientar; está autuando e multando.
Para 2026, a perspectiva é de intensificação ainda maior da fiscalização. A ANPD deve receber mais de 200 novos servidores e trabalha com orçamento superior ao dobro do previsto para 2025, refletindo o compromisso do governo federal com o fortalecimento da Autoridade.
Como dados pessoais viraram ativos econômicos, quais limites a LGPD impõe e por que web scraping, IA e data brokers colocam empresas e cidadãos no centro da nova economia digital.
INTRODUÇÃO
Cada clique, cada compra realizada com o CPF, cada pesquisa em um site de busca ou interação em uma rede social gera um rastro digital. Esse rastro, quando coletado, armazenado e organizado, transforma-se em matéria-prima para um mercado global bilionário, frequentemente invisível aos olhos do cidadão comum. O debate sobre o valor dos dados pessoais deixou há muito o âmbito da curiosidade acadêmica para ocupar posição central nas discussões sobre economia digital, direitos fundamentais e regulação estatal. No centro desse debate está uma pergunta incômoda: quanto vale aquilo que sabemos sobre uma pessoa – seus hábitos, suas preferências políticas, sua localização, sua renda – e a quem pertence esse valor? O presente artigo tem por objetivo analisar, sob uma perspectiva multidisciplinar, o mercado de dados de usuários, com ênfase no contexto brasileiro. A análise será conduzida em três eixos principais. Primeiro, investiga-se o valor econômico atribuído aos dados pessoais, examinando o funcionamento do mercado de data brokers e as estimativas de valor por usuário. Segundo, exploram-se os modelos técnicos de extração desses dados, com destaque para o web scraping e outras formas de coleta automatizada, bem como a posição da Autoridade Nacional de Proteção de Dados (ANPD) sobre essas práticas. Terceiro, e mais importante, delimita-se o que a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) permite e o que restringe em matéria de coleta, tratamento e comercialização de informações pessoais, com base em suas bases legais, princípios fundamentais e regime sancionatório. A relevância do tema é corroborada por dados recentes. Estudos acadêmicos situam o valor do mercado de dados pessoais — incluindo os anonimizados — em aproximadamente US$ 6,1 bilhões em 2025, com tendência de crescimento acelerado. No Brasil, iniciativas pioneiras já projetam valores mensais de remuneração ao cidadão da ordem de R$ 500 pelo compartilhamento consentido de seus dados. Além disso, projetos de lei em tramitação no Congresso Nacional, como o PL 1.356/2026, propõem alterar radicalmente a lógica vigente, transformando os dados pessoais em ativos de propriedade do titular e impondo às grandes plataformas a obrigação de remunerar os usuários. A metodologia adotada é de revisão bibliográfica e análise documental, com ênfase na interpretação sistemática da LGPD e de seus princípios constitucionais. A escolha do tema justifica-se pela necessidade crescente de que profissionais de tecnologia, gestores de dados e operadores do direito compreendam, em profundidade, as implicações econômicas e jurídicas da coleta e do uso de informações pessoais em um ambiente digital cada vez mais regulado.2. O MERCADO DE DADOS PESSOAIS: DIMENSÃO, AGENTES E VALOR ECONÔMICO
2.1 A economia invisível dos dados
O mercado de dados pessoais opera, em grande medida, nas sombras da economia digital. Informações coletadas por meio de ações cotidianas — como a inserção do CPF em uma compra no supermercado, a navegação em sites de notícias, o uso de aplicativos de transporte ou a interação em redes sociais — alimentam um sistema complexo de coleta, armazenamento, processamento e comercialização. Diferentemente de mercados tradicionais, neste não há etiquetas de preço visíveis, nem negociações explícitas entre produtor e consumidor do dado. A assimetria informacional é total: o titular dos dados raramente sabe que suas informações estão sendo coletadas, quem as está coletando, para que fim e, sobretudo, quanto elas valem. O modelo de negócios predominante na internet desde o início do século XXI pode ser sintetizado em uma frase: “se o produto é gratuito, o produto é você”. Plataformas como redes sociais, mecanismos de busca e aplicativos de mensagens oferecem serviços aparentemente sem custo monetário para o usuário, mas extraem, em contrapartida, enormes volumes de dados pessoais que são posteriormente utilizados para direcionamento publicitário, análise comportamental e treinamento de algoritmos de inteligência artificial. Esse modelo, que o Projeto de Lei 1.356/2026 busca modificar, é a base econômica sobre a qual se assentam algumas das maiores corporações do planeta.2.2 Data brokers e a intermediação de dados
No coração desse mercado estão os denominados data brokers — empresas especializadas que atuam como intermediárias na compra e venda de informações pessoais. Essas organizações coletam dados de múltiplas fontes (registros públicos, compras on-line, cadastros, redes sociais, aplicativos) e os consolidam em perfis detalhados de indivíduos, segmentados por idade, renda, localização, hábitos de consumo, preferências políticas e até mesmo opiniões pessoais. No Brasil, o mercado de data brokers tem crescido de forma expressiva, acompanhando a digitalização acelerada da economia e a expansão do comércio eletrônico. Paralelamente, contudo, têm-se multiplicado os casos de violação de dados em larga escala e de comercialização ilegal de informações sigilosas. Em fevereiro de 2025, a Polícia Federal deflagrou operação para investigar grupo acusado de invadir sistemas do governo e vender dados na dark web, evidenciando a face criminosa desse mercado. Mais recentemente, em julho de 2025, mais de 248 mil registros contendo informações pessoais sensíveis foram expostos em um ataque ao Centro de Integração Empresa-Escola (CIEE), com os dados sendo oferecidos por um corretor clandestino que opera sob o pseudônimo “888”. Esses episódios demonstram que o mercado de dados pessoais possui duas faces: uma lícita, regulada (ainda que imperfeitamente) pela LGPD, e outra ilícita, alimentada por cibercriminosos que comercializam informações roubadas em fóruns da dark web. A distinção entre ambas nem sempre é clara, e há evidências de que empresas legítimas podem, inadvertidamente, adquirir dados obtidos por meios ilegais.2.3 Estimativas de valor: quanto vale um dado pessoal?
Atribuir um valor monetário preciso a um dado pessoal é tarefa complexa, pois depende de inúmeros fatores: a natureza da informação (dados cadastrais versus dados comportamentais), o contexto de uso (marketing direcionado versus treinamento de IA), a granularidade (dados agregados versus individualizados) e a finalidade da coleta. No entanto, estudos de mercado e iniciativas práticas permitem estabelecer algumas aproximações. Em âmbito global, o mercado de dados pessoais, incluindo aqueles anonimizados, movimentou cerca de US$ 6,1 bilhões em 2025, com projeções de crescimento acelerado para os próximos anos. No Brasil, iniciativas inovadoras estão sendo implementadas para dar concretude ao conceito de monetização de dados. A startup DrumWave, em parceria com a Dataprev (empresa pública de tecnologia da informação do governo federal), projeta que cidadãos brasileiros poderão receber aproximadamente R$ 500 por mês pelo compartilhamento consentido de seus dados, a partir de um projeto piloto que utilizará informações de contratos de crédito consignado. Em linha com essa tendência, o Projeto de Lei 1.356/2026, apresentado em março de 2026 pelo deputado Arlindo Chinaglia (PT-SP), estabelece que plataformas como Instagram, TikTok, ChatGPT, WhatsApp, Kwai, Facebook e até aplicativos bancários serão obrigadas a pagar usuários pelo uso de suas informações, com estimativas de remuneração que podem chegar a cerca de US$ 50 por mês por usuário, dependendo do nível de uso e da qualidade dos dados fornecidos. O projeto institui a chamada “Lei Geral de Empoderamento de Dados”, que reorganiza a relação entre usuários e empresas de tecnologia, reconhecendo formalmente que os dados pessoais possuem valor econômico e devem gerar retorno financeiro para quem os produz. É importante notar, contudo, que essas estimativas representam o valor de cessão do dado (quanto o titular pode receber por autorizar seu uso), não o valor de mercado efetivo do dado na ponta da comercialização entre empresas. Na prática, o valor pago ao titular é apenas uma fração — muitas vezes ínfima — do valor que a plataforma ou o data broker aufere com a utilização daquela informação. A diferença entre esses dois valores constitui a mais-valia digital, análoga à extração de mais-valia no capitalismo industrial, mas agora aplicada à economia da atenção e dos dados.3. MODELOS DE EXTRAÇÃO DE DADOS DE USUÁRIOS
3.1 Web scraping: coleta automatizada de dados públicos
Entre os métodos mais utilizados para extração de dados de usuários em larga escala está o web scraping. Trata-se do uso de bots automatizados para coletar dados estruturados de páginas da internet, transformando grandes volumes de dados brutos em informações organizadas para uso comercial, científico ou estratégico. A técnica é amplamente empregada por empresas de pesquisa de mercado, plataformas de comparação de preços, agregadores de conteúdo e, mais recentemente, para alimentar modelos de inteligência artificial generativa. O web scraping pode ser classificado em diferentes modalidades, conforme a sofisticação técnica e o volume de dados coletados:- Scraping simples: extração de dados de páginas estáticas, geralmente utilizando bibliotecas como BeautifulSoup (Python) ou Puppeteer (JavaScript), adequado para pequenos volumes de informação.
- Scraping dinâmico: coleta de dados de páginas que carregam conteúdo de forma assíncrona (AJAX, SPAs), exigindo ferramentas capazes de executar JavaScript, como Selenium ou Playwright.
- Scraping em larga escala: uso de proxies, rotação de IPs e técnicas de headless browsing para evitar bloqueios e capturar grandes volumes de dados de múltiplas fontes simultaneamente.
- Scraping com IA: modelos mais avançados utilizam inteligência artificial não apenas para extrair HTML bruto, mas para compreender o significado do conteúdo, detectar entidades (cargos, preços, datas) e estruturar os dados de forma semanticamente relevante.
3.2 A posição da ANPD sobre web scraping
A legalidade do web scraping no Brasil tem sido objeto de intenso debate jurídico, especialmente após a entrada em vigor da LGPD. A controvérsia central reside em saber se dados publicamente disponíveis na internet (como perfis de redes sociais abertos, informações de sites institucionais ou comentários em fóruns públicos) podem ser coletados automaticamente sem o consentimento dos titulares. A ANPD enfrentou essa questão de forma explícita no Radar Tecnológico nº 3, publicado em novembro de 2024. Nesse documento, a Autoridade afirmou categoricamente que o web scraping constitui uma forma de tratamento de dados pessoais e, portanto, está sujeito a todas as regras previstas na LGPD. Essa interpretação tem consequências importantes:- Necessidade de base legal: mesmo quando os dados são publicamente acessíveis, o agente que realiza o scraping deve dispor de uma das hipóteses legais do art. 7º (para dados pessoais comuns) ou do art. 11 (para dados sensíveis) da LGPD. A mera disponibilidade pública do dado não equivale a consentimento para sua coleta automatizada.
- Aplicação dos princípios da LGPD: o scraping deve observar os princípios da finalidade (propósito legítimo, específico e informado), adequação (compatibilidade com a finalidade declarada), necessidade (coleta apenas do necessário, não excessiva) e transparência (informação clara ao titular sobre a coleta).
- Riscos específicos: a coleta por scraping amplifica os riscos de violação de privacidade, especialmente quando envolve dados socioeconômicos ou comportamentais, pois a agregação de múltiplas fontes pode gerar perfis muito mais detalhados do que o titular poderia razoavelmente antecipar.
3.3 Outros modelos de extração e coleta de dados
Além do web scraping, diversos outros métodos são empregados para extrair dados de usuários, com diferentes graus de transparência e consentimento:Coleta direta mediante cadastro e formulários:
é a forma mais tradicional e, quando bem executada, a mais transparente. O usuário fornece voluntariamente seus dados em troca de um serviço (criação de conta, acesso a conteúdo restrito, realização de compra). A LGPD exige que, nesses casos, o consentimento seja livre, informado e inequívoco, e que o usuário seja claramente informado sobre quais dados serão coletados e para que finalidade.Rastreamento comportamental via cookies e pixels:
amplamente utilizado em publicidade digital. Cookies de rastreamento (third-party cookies) e pixels de conversão permitem que empresas monitorem a navegação dos usuários em múltiplos sites, construindo perfis de interesse que alimentam sistemas de anúncios direcionados. A LGPD, combinada com a regulamentação da ANPD, exige que os usuários consintam expressamente com o uso de cookies não estritamente necessários, vedando a prática de caixas de aceite pré-marcadas.Integração via APIs:
muitos serviços oferecem APIs (Application Programming Interfaces) para que terceiros acessem dados de usuários de forma controlada e mediante consentimento. O Open Finance brasileiro é um exemplo paradigmático: instituições financeiras compartilham dados de clientes com outras instituições, a partir do consentimento explícito do titular, para ampliar a oferta de serviços e aumentar a competição.Dados gerados por dispositivos IoT e sensores:
com a expansão da Internet das Coisas (Internet of Things), dispositivos como wearables, assistentes virtuais, câmeras de segurança e eletrodomésticos conectados geram enormes volumes de dados sobre hábitos, localização, saúde e rotina dos usuários. A coleta desses dados, quando não devidamente informada e consentida, apresenta riscos particularmente elevados à privacidade.4. O QUE A LGPD PERMITE E O QUE RESTRINGE
4.1 Fundamentos constitucionais e princípios estruturantes
A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), representa o mais abrangente marco regulatório brasileiro sobre o tratamento de informações pessoais. Sancionada em 14 de agosto de 2018 e com seu regime sancionatório plenamente em vigor desde agosto de 2021, a LGPD estabelece regras para a coleta, processamento, armazenamento, compartilhamento e eliminação de dados pessoais, tanto em meios físicos quanto digitais, por pessoas naturais ou jurídicas de direito público ou privado. A Lei assenta-se em fundamentos constitucionais explicitados no art. 2º, entre os quais se destacam: respeito à privacidade; autodeterminação informativa (direito do indivíduo de controlar a coleta e o uso de suas informações); inviolabilidade da intimidade, da honra e da imagem; e o desenvolvimento econômico e tecnológico e a inovação, como contraponto necessário à proteção. As atividades de tratamento de dados devem observar boa-fé e os seguintes princípios, detalhados no sítio eletrônico do governo federal:- Finalidade: o tratamento deve ocorrer para propósitos legítimos, específicos, explícitos e informados ao titular, vedada a utilização posterior de forma incompatível com essas finalidades.
- Adequação: compatibilidade do tratamento com as finalidades informadas, conforme o contexto.
- Necessidade: limitação do tratamento à realização de suas finalidades, com coleta apenas dos dados pertinentes, proporcionais e não excessivos.
- Livre acesso: garantia ao titular de consulta facilitada e gratuita sobre a forma, duração e integralidade do tratamento de seus dados.
- Qualidade dos dados: garantia de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade da finalidade.
- Transparência: informação clara, precisa e acessível ao titular sobre a realização do tratamento e os respectivos agentes.
- Segurança: adoção de medidas técnicas e administrativas para proteger os dados contra acessos não autorizados e situações acidentais ou ilícitas.
- Prevenção: adoção de medidas para prevenir a ocorrência de danos em razão do tratamento.
- Não discriminação: vedação ao tratamento de dados para fins discriminatórios, ilícitos ou abusivos.
| Base legal | Descrição | Exemplo prático |
| Consentimento (I) | Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento | Usuário aceita termos de uso de um aplicativo, após ser claramente informado sobre os dados coletados |
| Cumprimento de obrigação legal ou regulatória (II) | Tratamento necessário para atender a exigência de lei ou regulamento | Envio de dados fiscais à Receita Federal |
| Execução de políticas públicas (III) | Tratamento pela administração pública para execução de políticas públicas previstas em lei | Cadastro para programas de assistência social |
| Estudos por órgão de pesquisa (IV) | Tratamento para realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização | Pesquisa epidemiológica realizada por universidade pública |
| Execução de contrato (V) | Tratamento necessário para a execução de contrato ou procedimentos preliminares a ele relacionados | Coleta de dados de pagamento para processar uma compra on-line |
| Exercício regular de direitos (VI) | Tratamento necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral | Compartilhamento de dados com advogado para instruir ação judicial |
| Proteção da vida ou da incolumidade física (VII) | Tratamento necessário para proteger a vida ou a incolumidade física do titular ou de terceiro | Compartilhamento de localização com serviços de emergência |
| Tutela da saúde (VIII) | Tratamento necessário para a tutela da saúde, exclusivamente por profissional de saúde ou entidade sanitária | Prontuário médico compartilhado entre hospitais |
| Legítimo interesse (IX) | Tratamento necessário para atender aos interesses legítimos do controlador ou de terceiro, desde que não prevaleçam os direitos e liberdades fundamentais do titular | Análise de dados para prevenção à fraude, desde que proporcionada e transparente |
| Proteção do crédito (X) | Tratamento necessário para a proteção do crédito, incluindo o disposto na legislação correlata | Consulta a bureaus de crédito para avaliação de risco |
- Responsabilização e prestação de contas: demonstração, pelo controlador ou operador, das medidas eficazes comprobatórias do cumprimento da lei.
4.2 Bases legais para o tratamento de dados pessoais (art. 7º)
O art. 7º da LGPD estabelece as hipóteses nas quais o tratamento de dados pessoais (não sensíveis) é considerado legítimo, independentemente de consentimento do titular, ou com ele, conforme o caso. São dez bases legais, que podem ser assim sintetizadas: É crucial compreender que, mesmo quando o tratamento se ampara em uma base legal que dispensa o consentimento (como o legítimo interesse ou a execução de contrato), os princípios da LGPD continuam a incidir plenamente. O controlador deve, por exemplo, garantir transparência, limitar a coleta ao necessário e adotar medidas de segurança adequadas.4.3 O regime especial dos dados sensíveis (art. 11)
O tratamento de dados pessoais sensíveis — categoria que abrange informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos — é submetido a um regime mais rigoroso pelo art. 11 da LGPD. As hipóteses legais para tratamento de dados sensíveis são significativamente mais restritas do que aquelas aplicáveis aos dados comuns:- Consentimento específico e destacado do titular ou de seu responsável legal, para finalidades determinadas (inciso I).
- Cumprimento de obrigação legal ou regulatória (inciso II).
- Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo ou arbitral (inciso III).
- Proteção da vida ou da incolumidade física do titular ou de terceiro, quando não for possível obter o consentimento (inciso IV).
- Tutela da saúde, exclusivamente por profissionais de saúde, serviços sanitários ou autoridades sanitárias (inciso V).
- Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos (inciso VI, incluído pela Lei nº 13.853/2019).
- Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos (inciso VI).
- Proteção do crédito, quando previsto em lei (inciso VII).
4.4 Direitos dos titulares e deveres dos agentes de tratamento
A LGPD confere aos titulares de dados um extenso rol de direitos (arts. 18 a 22), que incluem:- Direito de confirmação da existência de tratamento;
- Direito de acesso aos dados;
- Direito de correção de dados incompletos, inexatos ou desatualizados;
- Direito de anonimização, bloqueio ou eliminaçãode dados desnecessários, excessivos ou tratados em desconformidade com a lei;
- Direito de portabilidade dos dadosa outro fornecedor de serviço ou produto;
- Direito de eliminação dos dados pessoaistratados com base no consentimento;
- Direito de informação sobre as entidades públicas e privadascom as quais o controlador realizou uso compartilhado de dados;
- Direito de revogação do consentimentoa qualquer momento.
5. USO PERMITIDO VERSUS USO RESTRITO: A LINHA TÊNUE DA LEGALIDADE
5.1 O consentimento como regra geral, com exceções
A arquitetura normativa da LGPD pode ser compreendida a partir de uma premissa básica: o tratamento de dados pessoais é, em princípio, vedado, salvo quando respaldado por uma das bases legais do art. 7º (ou art. 11, para dados sensíveis). Dentre essas bases, o consentimento ocupa posição central, mas não exclusiva. Para fins comerciais, as bases mais frequentemente invocadas são:- Consentimento (art. 7º, I): aplicável quando a empresa obtém autorização expressa do usuário, com informações claras sobre finalidade, forma e duração do tratamento. Exige-se que o consentimento seja prévio, livre, informado e inequívoco, vedadas práticas como caixas de aceite pré-marcadas ou termos de uso excessivamente longos e obscuros.
- Legítimo interesse (art. 7º, IX): permite o tratamento sem consentimento quando houver interesse legítimo do controlador ou de terceiro, desde que não prevaleçam os direitos e liberdades fundamentais do titular. Exige-se uma ponderação concreta (balancing test) e transparência adequada. É frequentemente invocada para atividades como prevenção à fraude, segurança de redes e marketing direto de produtos ou serviços similares aos já adquiridos pelo titular.
- Execução de contrato (art. 7º, V): permite o tratamento de dados estritamente necessários para a execução de um contrato do qual o titular é parte, ou para procedimentos preliminares a ele relacionados (ex.: coleta de dados de entrega para viabilizar a compra de um produto).
5.2 Práticas vedadas ou sujeitas a restrições severas
A LGPD e as regulamentações complementares da ANPD vedam ou impõem restrições significativas a diversas práticas comuns no ambiente digital:Comercialização de dados sem consentimento:
a venda de listas de contatos, perfis comportamentais ou outras informações pessoais a terceiros, sem autorização expressa do titular, constitui violação direta ao art. 7º, I, podendo ensejar sanções administrativas e civis.Tratamento incompatível com a finalidade declarada:
uma vez que o titular consente com o uso de seus dados para uma finalidade específica (ex.: processamento de pagamento), o controlador não pode posteriormente utilizar esses dados para outra finalidade incompatível (ex.: marketing direcionado) sem obter novo consentimento.Coleta excessiva ou desproporcional:
o princípio da necessidade (art. 6º, III) veda a coleta de dados além do estritamente necessário para a finalidade declarada. Práticas como solicitar acesso à agenda de contatos em um aplicativo de calculadora, ou coletar localização precisa quando a geolocalização aproximada seria suficiente, são exemplos de violação.Perfilamento discriminatório:
o princípio da não discriminação (art. 6º, IX) veda o uso de dados pessoais para criar perfis que resultem em tratamento discriminatório, seja na concessão de crédito, na oferta de empregos, no acesso a serviços ou em qualquer outra esfera.Transferência internacional de dados sem garantias adequadas:
a LGPD impõe restrições à transferência de dados pessoais para países ou organismos internacionais que não ofereçam grau de proteção adequado (art. 33). As empresas devem adotar cláusulas contratuais específicas, normas corporativas globais ou outros mecanismos que assegurem a proteção dos dados transferidos.5.3 Web scraping e LGPD: a fronteira mais disputada
O web scraping, conforme discutido na seção 3.2, constitui atualmente uma das fronteiras mais disputadas entre o uso permitido e o uso restrito de dados. A posição consolidada pela ANPD no Radar Tecnológico nº 3 — de que o scraping é uma forma de tratamento de dados sujeita à LGPD — impõe desafios práticos significativos. A controvérsia central reside na possibilidade de se invocar o legítimo interesse (art. 7º, IX) como base legal para o scraping de dados publicamente disponíveis. A ANPD ainda não forneceu orientação definitiva sobre esse ponto, mas a jurisprudência já sinaliza que:- O legítimo interesse não autoriza o scraping em larga escala para fins comerciais quando os dados coletados são utilizados para construir perfis detalhados de indivíduos sem seu conhecimento ou consentimento.
- Mesmo que o consentimento seja dispensado (por aplicação de outra base legal), os princípios da transparência, finalidade e necessidade devem ser rigorosamente observados.
- A coleta de dados sensíveis via scraping é presumivelmente ilícita, salvo nas hipóteses excepcionais do art. 11, que dificilmente se amoldam a essa prática.
6. MONETIZAÇÃO DE DADOS NO BRASIL: INICIATIVAS PÚBLICAS E PRIVADAS
6.1 O projeto piloto Dataprev-DrumWave
O Brasil tem se destacado globalmente como um dos primeiros países a implementar, em escala nacional, um projeto de monetização de dados pessoais com participação direta do cidadão. Em abril de 2025, durante o Web Summit Rio, a Dataprev — empresa pública de tecnologia da informação do governo federal — anunciou, em parceria com a startup norte-americana DrumWave, um projeto piloto que permitirá a clientes de contratos de empréstimo consignado vender seus dados pessoais a interessados e receber compensação financeira em troca. A proposta, debatida no painel “Owning your own data”, envolve a criação de “carteiras digitais” onde os dados serão armazenados, com o cidadão autorizando, de forma granular, quais informações poderão ser compartilhadas e com quais finalidades. O sistema será simples para o usuário, não exigindo tecnologia complexa como blockchain, e garantirá ao titular o direito de optar por não participar ou de retirar seu consentimento a qualquer momento. O presidente da Dataprev, Rodrigo Assumpção, ressaltou que o projeto representa uma evolução na discussão sobre privacidade de dados para um novo patamar: o da propriedade dos dados pessoais. “Os dados pessoais têm valor, e os cidadãos precisam poder decidir como, quando e por quem eles serão usados. Isso aumenta a competição e beneficia o consumidor”, afirmou.6.2 Projetos de lei em tramitação: PL 234/23 e PL 1.356/26
No âmbito legislativo, duas propostas têm chamado particular atenção:PLP 234/23 (Lei Geral de Empoderamento de Dados):
protocolado em 2023 pelo deputado Arlindo Chinaglia, o projeto visa criar o “Ecossistema Brasileiro de Monetização de Dados” (EBMD), estabelecendo um ambiente regulatório para que os titulares possam participar dos benefícios econômicos gerados pelo uso de seus dados. O PLP 234/2023 tramita em regime de prioridade na Câmara dos Deputados e prevê a criação de um mercado organizado de dados, com a participação de intermediários autorizados e a garantia de que o consentimento será a base legal predominante.PL 1.356/26:
apresentado em março de 2026, este projeto propõe alterações mais radicais no ordenamento jurídico, incluindo a alteração do Código Civil para tratar os dados como “bens com potencial de valorização econômica”. O texto exige que plataformas como Instagram, TikTok, ChatGPT, WhatsApp, Kwai e Facebook paguem usuários pelo uso de suas informações, instituindo um modelo econômico baseado em participação direta. O PL também proíbe práticas como autorizações automáticas ou caixas de aceite pré-marcadas, e exige que as empresas disponibilizem ferramentas para que o usuário possa cancelar o compartilhamento de dados a qualquer momento. Ambos os projetos, se aprovados, representarão uma mudança paradigmática na relação entre titulares e controladores de dados, transferindo parte significativa do poder de barganha e do valor econômico gerado pelos dados para aqueles que efetivamente os produzem: os cidadãos.6.3 Críticas e desafios
As iniciativas de monetização de dados não estão isentas de críticas. Pesquisadores apontam riscos significativos, entre os quais se destacam:- Mercantilização excessiva da intimidade: transformar dados pessoais em ativos comerciáveis pode aprofundar a lógica de que a privacidade tem um preço, desestimulando a proteção incondicional da dignidade humana.
- Assimetria de poder informacional: mesmo com consentimento, os titulares raramente têm capacidade de avaliar adequadamente o valor real de seus dados ou as consequências de longo prazo de seu compartilhamento.
- Riscos de discriminação algorítmica: a segmentação de mercado baseada em dados pode reforçar desigualdades e excluir determinados grupos do acesso a serviços essenciais, em violação ao princípio da não discriminação.
- Segurança e vazamentos: a concentração de dados em carteiras digitais ou plataformas de monetização cria novos alvos para cibercriminosos, ampliando os riscos de vazamentos em larga escala.
7. COMPLIANCE E ENFORCEMENT: A ATUAÇÃO DA ANPD
7.1 Da fase educativa à fiscalização ativa
Durante os primeiros anos de vigência da LGPD, a ANPD concentrou seus esforços em ações educativas, orientações e construção de capacidade institucional. Esse período, contudo, chegou ao fim. Em 2025 e, com mais intensidade, em 2026, a Autoridade iniciou uma fase de fiscalização ativa, com aplicação concreta de sanções e realização de processos administrativos.| Sanção | Descrição |
| Advertência | Indicação de prazo para adoção de medidas corretivas |
| Multa simples | Até 2% do faturamento da pessoa jurídica no Brasil, limitada a R$ 50 milhões por infração |
| Multa diária | Valor diário pelo descumprimento continuado |
| Publicização da infração | Divulgação pública do descumprimento, após apuração |
| Bloqueio dos dados | Suspensão do acesso aos dados até regularização |
| Eliminação dos dados | Exclusão definitiva dos dados |
| Suspensão parcial do banco de dados | Por até seis meses, prorrogável por igual período |
| Suspensão da atividade de tratamento | Paralisação total do tratamento de dados |
| Proibição parcial ou total da atividade | Vedação ao exercício de atividades relacionadas a tratamento de dados |
7.2 O regime de sanções do art. 52
O art. 52 da LGPD estabelece um rol escalonado de sanções administrativas que podem ser aplicadas pela ANPD, em ordem crescente de gravidade: A multa simples — a sanção mais frequentemente mencionada — pode chegar a 2% do faturamento da pessoa jurídica no Brasil, limitada a R$ 50 milhões por infração. É importante notar que as multas podem ser aplicadas de forma cumulativa com outras sanções, e que a responsabilidade civil do controlador ou operador perante os titulares (indenização por danos materiais e morais) é independente da via administrativa e pode ser buscada diretamente no Poder Judiciário.7.3 Foco em incidentes de segurança e medidas técnicas
A ANPD tem direcionado sua fiscalização prioritariamente para incidentes de segurança — vazamentos de dados, ataques de ransomware e acessos não autorizados — especialmente quando a empresa não dispõe das proteções mínimas exigidas pela lei. Para estar em conformidade, as empresas devem demonstrar a implementação de medidas técnicas robustas, incluindo:- Criptografia de dados em trânsito (TLS/SSL) e em repouso (AES-256);
- Controle de acesso com autenticação forte e logs de auditoria detalhados;
- Backup recuperável, com testes regulares de restauração;
- Plano de resposta a incidentes documentado e testado, com procedimentos claros de notificação à ANPD e aos titulares.