LGPD Comentada13 min de leitura

LGPD Comentada #28: Vigência, transição e o futuro da proteção de dados no Brasil

Equipe Confidata·
Compartilhar

Toda lei tem um início — e a história de como a LGPD entrou em vigor é uma das mais turbulentas da legislação brasileira recente. Entre a sanção em agosto de 2018 e a vigência plena das sanções em agosto de 2021, a lei atravessou medidas provisórias, vetos presidenciais, tentativas de adiamento durante a pandemia e uma entrada em vigor que pegou boa parte do mercado de surpresa.

Os Arts. 60 a 65 encerram a LGPD com disposições finais e transitórias. Dois foram vetados (60 e 62), os demais tratam de empresas estrangeiras, regulamentação, tratados internacionais e — o mais importante — a cronologia de vigência. Este post analisa cada dispositivo, reconstrói a linha do tempo completa e avalia o que mudou no Brasil desde que a lei passou a valer.

Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.

Arts. 60 e 62 — Os artigos vetados

Art. 60 — Alterações no Marco Civil da Internet (VETADO)

O Art. 60, no texto aprovado pelo Congresso, modificava a Lei nº 12.965/2014 (Marco Civil da Internet) para incluir uma disposição sobre exclusão definitiva de dados pessoais fornecidos a aplicações de internet. O titular teria direito à eliminação dos dados ao final da relação com o provedor, ressalvadas as hipóteses de retenção obrigatória previstas no próprio Marco Civil e na LGPD.

O dispositivo foi vetado pela Presidência da República por meio da Mensagem de Veto nº 451, de 14 de agosto de 2018, sob os fundamentos de contrariedade ao interesse público e inconstitucionalidade.

Impacto prático: A ausência do Art. 60 não criou lacuna significativa, porque o direito à eliminação de dados já está previsto nos Arts. 15, 16 e 18, VI da própria LGPD. A modificação do Marco Civil seria redundante com os mecanismos da LGPD e poderia gerar conflito interpretativo entre os dois diplomas.

Art. 62 — Regulamentação de dados educacionais (VETADO)

O Art. 62 determinava que a ANPD e o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP) editassem regulamentos específicos para acesso a dados tratados pela União no cumprimento da Lei de Diretrizes e Bases da Educação Nacional (Lei nº 9.394/1996) e no Sistema Nacional de Avaliação da Educação Superior (SINAES — Lei nº 10.861/2004).

O veto acompanhou a lógica do veto aos artigos que criavam a ANPD (Arts. 55 a 59): como a autoridade foi integralmente vetada na sanção original — e posteriormente recriada pela MP 869/2018 —, um dispositivo que atribuía competência à ANPD perdeu seu fundamento. Quando a ANPD foi recriada pela Lei 13.853/2019, o Art. 62 não foi reintroduzido.

Impacto prático: A ausência do Art. 62 não impediu a regulação do tema. A competência geral da ANPD para editar regulamentos sobre proteção de dados (Art. 55-J, XIII) cobre a regulamentação de dados educacionais. O INEP permanece sujeito à LGPD como qualquer órgão público e pode ser objeto de normas complementares pela ANPD a qualquer tempo — sem necessidade de disposição específica.

Art. 61 — Empresas estrangeiras com dados no Brasil

"A empresa estrangeira será notificada e intimada de todos os atos processuais previstos nesta Lei, independentemente de procuração ou de disposição contratual ou estatutária, na pessoa do agente ou representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil"

O Art. 61 resolve um problema processual: como notificar e intimar uma empresa estrangeira em processos administrativos da ANPD ou em ações judiciais baseadas na LGPD?

A resposta é direta: a empresa estrangeira será notificada na pessoa do seu representante ou responsável pela operação no Brasil — seja uma filial, agência, sucursal ou escritório. Não é necessário carta rogatória, cooperação internacional ou procuração específica.

Na prática: Se a ANPD abre processo contra uma big tech que opera no Brasil via filial local, a notificação é feita diretamente a essa filial. Se a empresa não possui presença física no Brasil, a questão se complica — mas o Art. 3º da LGPD (que define o escopo de aplicação territorial) já prevê que a lei se aplica a qualquer tratamento de dados de pessoas no Brasil, independentemente de onde o controlador esteja sediado.

Esse dispositivo complementa o Art. 3º e garante que a LGPD não seja uma lei de papel para empresas estrangeiras com operações brasileiras. A notificação é válida, o prazo corre e as sanções são aplicáveis.

Art. 63 — Competência regulamentadora da ANPD

"A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados"

O Art. 63 reconhece uma realidade prática: bancos de dados constituídos antes da vigência da LGPD não podem, de um dia para o outro, se adequar a todos os requisitos da lei. O dispositivo delega à ANPD a competência para definir regras de adequação progressiva, considerando a complexidade das operações e a natureza dos dados tratados.

Na prática: Este artigo foi a base legal para que a ANPD pudesse adotar uma abordagem gradual de fiscalização — não exigindo conformidade imediata e total de todos os agentes de tratamento no dia seguinte à vigência. A estratégia de "orientar antes de punir", frequentemente citada pela ANPD em seus primeiros anos, encontra respaldo no Art. 63.

Para bancos de dados constituídos antes de setembro de 2020, a adequação deveria seguir as normas que a ANPD viesse a estabelecer. Na prática, a ANPD não publicou um regulamento específico de adequação progressiva — a orientação geral é que todos os agentes devem estar em conformidade, mas que a autoridade considerará o esforço de adequação como atenuante na dosimetria de sanções (Art. 52, §1º, X).

Art. 64 — Tratados internacionais

"Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte"

O Art. 64 é uma cláusula de abertura: os direitos da LGPD constituem um piso, não um teto. Tratados internacionais ratificados pelo Brasil que prevejam direitos adicionais de proteção de dados se somam à LGPD, não a substituem.

Instrumentos internacionais relevantes

Convenção 108+ do Conselho da Europa: O principal instrumento internacional de proteção de dados, adotado originalmente em 1981 e modernizado em 2018 (Convenção 108+). O Brasil é membro observador do Comitê da Convenção 108 desde outubro de 2018. A Convenção 108+ é o primeiro instrumento internacional juridicamente vinculante em matéria de proteção de dados pessoais. A eventual adesão plena do Brasil — que exige, entre outros requisitos, uma autoridade de proteção de dados considerada plenamente independente — fortaleceria o posicionamento internacional do país e poderia facilitar decisões de adequação para transferência internacional de dados.

Decisão de adequação mútua Brasil-UE: Em 2026, a ANPD formalizou, por meio da Resolução CD/ANPD nº 32/2026, a decisão de adequação mútua em proteção de dados com a União Europeia. Com isso, transferências de dados pessoais entre Brasil e UE/EEE deixam, em regra, de exigir instrumentos adicionais como cláusulas contratuais padrão — um marco para operações internacionais de empresas brasileiras.

Outros fóruns: O Brasil participa da Global Privacy Assembly (GPA), da Rede Ibero-Americana de Proteção de Dados e acompanha as discussões do Global CBPR Forum (Cross-Border Privacy Rules). Cada um desses fóruns produz diretrizes e recomendações que, embora não vinculantes, influenciam a interpretação da LGPD e a atuação da ANPD.

Na prática: O Art. 64 funciona como uma porta de entrada para padrões internacionais mais exigentes. Se o Brasil ratificar a Convenção 108+ ou aderir a outros tratados de proteção de dados, os direitos ali previstos passam a integrar o ordenamento brasileiro e podem ser invocados por titulares perante a ANPD e o Judiciário.

Art. 65 — A vigência escalonada

O Art. 65 é o dispositivo que define quando cada parte da LGPD entrou em vigor. É o artigo que mais sofreu alterações ao longo da tramitação legislativa, refletindo as disputas políticas sobre o ritmo de implementação da lei.

A cronologia definitiva

A vigência da LGPD foi escalonada em três etapas:

EtapaDispositivosData de vigência
Arts. 55-A a 55-L e 58-A/58-B (ANPD e Conselho Nacional)28 de dezembro de 2018
Todos os demais artigos (exceto sanções)18 de setembro de 2020
Arts. 52, 53 e 54 (sanções administrativas)1º de agosto de 2021

A história completa: da sanção à vigência plena

A cronologia é complexa e merece ser contada em detalhes, porque revela o quanto a implementação da LGPD foi politicamente disputada:

14 de agosto de 2018 — A Lei nº 13.709 é sancionada pelo presidente Michel Temer, com vetos parciais (incluindo os Arts. 55-59 que criavam a ANPD). A lei original previa vacatio legis de 18 meses.

27 de dezembro de 2018 — A Medida Provisória nº 869/2018 recria a ANPD (Arts. 55-A a 55-L) e altera a vacatio legis para 24 meses, contados da publicação da LGPD. Os artigos sobre a ANPD e o Conselho Nacional entram em vigor imediatamente.

8 de julho de 2019 — A MP 869 é convertida na Lei nº 13.853/2019, que consolida a ANPD, acrescenta os incisos X a XII ao Art. 52 (sanções mais severas) e remove a palavra "humana" do Art. 20 (revisão de decisões automatizadas).

Abril de 2020 — A pandemia de COVID-19 leva a tentativas de adiar a vigência da LGPD. A Medida Provisória nº 959/2020 propõe adiar a vigência geral para 3 de maio de 2021. Simultaneamente, o Congresso discute projetos de lei para postergar ainda mais.

12 de junho de 2020 — A Lei nº 14.010/2020 (Regime Jurídico Emergencial da COVID-19) adia a vigência dos artigos de sanções administrativas (Arts. 52, 53 e 54) para 1º de agosto de 2021. Os demais artigos permanecem com vigência para agosto de 2020.

26 de agosto de 2020 — O Senado aprova a conversão da MP 959/2020, mas exclui o dispositivo que adiava a vigência geral da LGPD. O Senado entendeu que a proteção de dados era ainda mais necessária durante a pandemia (coleta massiva de dados de saúde, rastreamento, trabalho remoto).

17 de setembro de 2020 — O presidente sanciona a Lei nº 14.058/2020 (conversão da MP 959) sem o dispositivo de adiamento da LGPD.

18 de setembro de 2020 — Com a publicação da Lei 14.058/2020 no Diário Oficial, a LGPD entra em vigor (exceto as sanções). A data pegou parte do mercado de surpresa — muitas organizações contavam com o adiamento que o Senado derrubou.

1º de agosto de 2021 — Entram em vigor os Arts. 52, 53 e 54 — as sanções administrativas. A ANPD pode, a partir desta data, aplicar as penalidades previstas na lei.

O que a cronologia revela

A vigência escalonada da LGPD reflete uma tensão entre urgência regulatória e capacidade de adequação. O legislador reconheceu que a criação da ANPD precisava ser imediata (para que a autoridade começasse a se estruturar), que a lei deveria valer antes das sanções (dando tempo de adequação) e que as sanções deveriam ser as últimas a entrar em vigor.

A pandemia adicionou uma camada de complexidade. A tentativa de adiar a lei "por causa da COVID" foi interpretada por muitos como oportunismo — afinal, a coleta massiva de dados de saúde durante a pandemia era justamente o tipo de tratamento que a LGPD deveria regular. O Senado, ao derrubar o adiamento, emitiu uma mensagem clara: proteção de dados não é luxo para tempos de normalidade.

Balanço: o que a LGPD mudou no Brasil

Com mais de cinco anos de vigência (contados de setembro de 2020), a LGPD produziu transformações concretas no ecossistema de proteção de dados brasileiro:

O que avançou

Cultura de privacidade: A LGPD criou uma consciência organizacional sobre proteção de dados que não existia antes. Termos como "base legal", "encarregado", "RIPD" e "inventário de tratamento" passaram a fazer parte do vocabulário corporativo.

Profissionalização do DPO: O mercado brasileiro de DPOs cresceu significativamente. Certificações como CDPO/BR, CIPM e CIPP/E se popularizaram, e o papel do encarregado evoluiu de obrigação formal para função estratégica em organizações maduras.

Adequação do setor público: Impulsionados por auditorias do TCU e pelo risco de sanções reputacionais (publicização), órgãos federais, estaduais e municipais avançaram — desigualmente — na implementação da lei.

Inserção internacional: A ANPD se posicionou no cenário internacional, participando de fóruns globais e conquistando a decisão de adequação mútua com a UE — um marco que coloca o Brasil no seleto grupo de países reconhecidos como tendo nível adequado de proteção de dados.

O que ainda desafia

Fiscalização incipiente: Com poucas sanções aplicadas até 2026 e multas de valor modesto, a percepção de que "a LGPD não pega" persiste em parte do mercado. A intensificação da atividade sancionatória é esperada com a consolidação institucional da ANPD.

Desigualdade de maturidade: Grandes empresas e setores regulados (financeiro, saúde) avançaram significativamente. Pequenas e médias empresas, prefeituras e órgãos estaduais permanecem, em sua maioria, com baixo nível de conformidade.

Regulamentações pendentes: Temas como dados de crianças e adolescentes, inteligência artificial, dados de saúde e o conceito de "alto risco" aguardam regulamentação complementar pela ANPD. A Agenda Regulatória 2025-2026, com 16 temas prioritários, sinaliza o caminho, mas o ritmo de produção normativa ainda é lento.

Lei de dados para segurança pública: O Art. 4º, §1º, da LGPD prevê que uma lei específica regulará o tratamento de dados para fins de segurança pública, defesa nacional e investigação criminal. Essa lei ainda não foi aprovada — e a lacuna permite que dados pessoais sejam tratados com pouca supervisão em contextos de vigilância estatal.

O futuro: regulamentações e tendências

Regulamentação de IA

O Projeto de Lei nº 2.338/2023, que estabelece o Marco Legal da Inteligência Artificial no Brasil, dialoga diretamente com a LGPD — especialmente com o Art. 20 (decisões automatizadas). A articulação entre a lei de IA e a LGPD será um dos temas centrais da proteção de dados nos próximos anos. A ANPD incluiu inteligência artificial como um dos quatro temas prioritários de fiscalização para o biênio 2026-2027.

Mapa de Temas Prioritários 2026-2027

Publicado em dezembro de 2025, o Mapa da ANPD prioriza quatro eixos de fiscalização:

  1. Direitos dos titulares
  2. Proteção de crianças e adolescentes no ambiente digital
  3. Tratamento de dados pessoais pelo poder público
  4. Inteligência artificial e tecnologias emergentes

Esses eixos indicam onde a ANPD concentrará seus recursos de fiscalização — e, consequentemente, onde as organizações devem reforçar sua conformidade.

Consolidação como autarquia

Com a transformação da ANPD em autarquia especial (Lei 14.460/2022) e a evolução orçamentária, a expectativa é de uma autoridade progressivamente mais robusta, com maior capacidade de fiscalização e de produção normativa. A maturidade institucional da ANPD é o fator determinante para a efetividade da LGPD nos próximos anos.

Conclusão — O encerramento da série LGPD Comentada

Este é o vigésimo oitavo e último post da série LGPD Comentada. Ao longo de 28 artigos, analisamos todos os dispositivos da Lei nº 13.709/2018 — dos fundamentos do Art. 1º às disposições finais do Art. 65, passando por bases legais, direitos dos titulares, transferência internacional, agentes de tratamento, segurança, governança e sanções.

A LGPD é uma lei jovem, mas que já transformou o cenário brasileiro de proteção de dados. Seus primeiros anos foram de construção institucional — criação da ANPD, publicação de regulamentos, primeiras sanções. Os próximos serão de consolidação: mais fiscalização, mais jurisprudência, mais regulamentação setorial.

Para profissionais de privacidade, DPOs, compliance officers e gestores, a mensagem é clara: a LGPD não é mais um projeto futuro. É o presente. E a conformidade não é um evento pontual — é um processo contínuo que exige atualização, monitoramento e investimento.

A Confidata nasceu para tornar a conformidade com a LGPD gerenciável, auditável e contínua. Do inventário de atividades de tratamento à gestão de incidentes, da avaliação de riscos ao canal de direitos dos titulares — nossa plataforma cobre cada artigo que analisamos nesta série. Se você chegou até aqui, já entende a lei. Agora é hora de implementá-la. Conheça a Confidata.

Compartilhar
#lgpd-comentada#LGPD#Art. 60#Art. 61#Art. 63#Art. 64#Art. 65#vigência#disposições finais#futuro proteção dados

Artigos relacionados

LGPD Comentada #27: O Conselho Nacional de Proteção de Dados e da PrivacidadeLGPD Comentada · 12 minANPD: Competências, Estrutura e Poderes de FiscalizaçãoLGPD Comentada · 16 minLGPD Comentada #25: Sanções administrativas — da advertência à multa de R$ 50 milhõesLGPD Comentada · 16 minLGPD Comentada #24: Programas de Governança e Boas Práticas em Proteção de DadosLGPD Comentada · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista