LGPD na prática em 2026: os erros recorrentes das empresas e os direitos do titular após o ciclo punitivo da ANPD e a virada jurisprudencial do STJ
Atualizado 29 Abr 2026
1 min. leitura
O cenário regulatório e judicial da LGPD em 2026
A Lei Geral de Proteção de Dados Pessoais completou cinco anos de vigência plena e mudou de fase.
O período de tolerância pedagógica encerrou-se.
A Autoridade Nacional de Proteção de Dados (ANPD) consolidou a Resolução CD/ANPD nº 4/2023, sobre dosimetria, e a Resolução CD/ANPD nº 15/2024, sobre comunicação de incidente de segurança.
A Deliberação CD-ANPD nº 10/2025 inaugurou as multas diárias por descumprimento de medidas cautelares, alterando o equilíbrio prático do enforcement administrativo.
No Judiciário, a 3ª Turma do Superior Tribunal de Justiça reposicionou o regime de responsabilidade civil pelo tratamento irregular, em três precedentes que devem ser lidos em conjunto.
A pergunta operacional para o advogado deixou de ser apenas "a empresa cumpre a LGPD?".
A pergunta atual é outra: quais erros recorrentes geram exposição regulatória imediata e quais direitos o titular pode acionar com pretensão indenizatória autônoma?
A base normativa: princípios, bases legais e responsabilidade objetiva
A LGPD organiza-se em torno de princípios, bases legais e direitos do titular, com sistema próprio de responsabilização.
O art. 6º da Lei nº 13.709/2018 consagra os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
Cada operação de tratamento exige base legal específica entre as dez hipóteses do art. 7º para dados pessoais comuns e entre as oito hipóteses do art. 11 para dados pessoais sensíveis.
O regime de responsabilidade civil é fixado pelo art. 42, com responsabilidade objetiva dos agentes de tratamento, e remete às regras consumeristas pelo art. 45 nas relações de consumo.
A consequência prática é direta: cabe ao controlador o ônus de demonstrar a regularidade do tratamento, a inexistência de defeito do serviço ou a culpa exclusiva da vítima ou de terceiro.
O dever de segurança é elemento estrutural, e não contratual acessório.
Os erros recorrentes das empresas
A fiscalização atual da ANPD e a litigância indenizatória se concentram em quatro categorias de falha que se repetem de forma sistemática.
Encarregado meramente formal ou inexistente
O art. 41 da LGPD impõe ao controlador a indicação de encarregado pelo tratamento de dados pessoais, com identidade e meios de contato divulgados publicamente.
A primeira sanção pecuniária aplicada pela ANPD à microempresa Telekall Infoservice, em julho de 2023, teve fundamento, entre outros, na violação ao art. 41 da Lei.
A indicação de encarregado sem qualificação técnica, sem autonomia e sem canal funcional é equiparada, na prática regulatória, à ausência de indicação.
Ausência de mapeamento de tratamento e de bases legais
O art. 37 exige do controlador e do operador o registro das operações de tratamento de dados pessoais.
A omissão na adoção desse registro, somada à utilização de consentimento genérico para finalidades distintas, é a violação de maior recorrência identificada em fiscalizações setoriais.
A consequência é a exposição simultânea aos princípios da finalidade, adequação e necessidade do art. 6º, todos passíveis de sanção autônoma.
Política de privacidade genérica e canal de exercício de direitos inoperante
O art. 9º da LGPD assegura ao titular o acesso facilitado às informações sobre o tratamento de seus dados, com clareza, adequação e ostensividade.
Políticas redigidas em linguagem hermética, com remissão circular a outros documentos e sem canal funcional para o exercício dos direitos do art. 18, configuram defeito autônomo do serviço informacional.
A hipossuficiência informacional do titular é, frequentemente, o gatilho da inversão do ônus probatório.
Demora ou omissão na comunicação de incidente de segurança
A Resolução CD/ANPD nº 15/2024 fixou prazo de três dias úteis para comunicação à Autoridade e ao titular dos incidentes que possam acarretar risco ou dano relevante.
O prazo é contado em dobro para agentes de tratamento de pequeno porte que comprovem essa qualificação.
A comunicação extemporânea, fragmentária ou apenas dirigida à ANPD, sem alcance dos titulares, é tratada como circunstância agravante na dosimetria da Resolução CD/ANPD nº 4/2023.
A jurisprudência do STJ vem incorporando o atraso comunicativo como elemento adicional de defeito do serviço.
Os direitos do titular previstos no art. 18 da LGPD
O eixo dos direitos do titular está no art. 18 da Lei nº 13.709/2018, com a seguinte redação:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Esses direitos são exercíveis a qualquer momento, mediante requerimento expresso, sem custos para o titular.
A negativa injustificada, a resposta evasiva ou o silêncio do controlador autorizam petição direta à ANPD, na forma do § 1º do art. 18, e fundamentam pretensão indenizatória autônoma.
A oposição ao tratamento, prevista no § 2º do mesmo dispositivo, é instrumento subutilizado e particularmente útil quando o tratamento é fundamentado em legítimo interesse do controlador.
A virada jurisprudencial do STJ: o dano moral presumido
O ponto mais relevante do biênio 2025-2026 está na consolidação, pela 3ª Turma do STJ, do dano moral presumido em hipóteses de tratamento irregular de dados pessoais.
O REsp nº 2.121.904/SP, julgado em 11 de fevereiro de 2025 pela relatora ministra Nancy Andrighi, reconheceu a responsabilidade objetiva da seguradora pelo vazamento de dados sensíveis, com dano moral in re ipsa.
O REsp nº 2.147.374/SP estendeu o entendimento aos dados pessoais comuns, quando ausente comprovação da culpa exclusiva de terceiro pelo agente de tratamento.
O REsp nº 2.201.694/SP, julgado em 5 de agosto de 2025, foi além: o gestor de banco de dados de proteção ao crédito que disponibiliza informações cadastrais ou de adimplemento a terceiros, sem autorização legal, responde objetivamente por dano moral presumido.
Há um precedente anterior em sentido divergente, o AREsp nº 2.130.619/SP, julgado pela 2ª Turma em março de 2023, que exigia prova do dano efetivo no caso de dados não sensíveis.
A linha consolidada pela 3ª Turma, contudo, deslocou o eixo argumentativo: a sensação de insegurança, a perda do controle sobre os dados e a exposição ao risco discriminatório passaram a ser tratadas como prejuízo extrapatrimonial autônomo.
O efeito processual é direto: ao titular basta demonstrar o tratamento irregular e o vínculo causal com o agente, ficando dispensada a comprovação de prejuízo material concreto.
Atualizações jurisprudenciais e cenário sancionatório
O cenário em 2026 combina três frentes que devem ser lidas conjuntamente.
A primeira é o adensamento da atividade fiscalizatória da ANPD, com ciclos temáticos voltados ao setor financeiro, de saúde, à publicidade comportamental e ao tratamento por agentes públicos.
A segunda é a entrada em vigor pleno do regime sancionatório da Resolução CD/ANPD nº 4/2023, com graduação por gravidade, reincidência, cooperação e adoção de boas práticas, e o teto previsto no art. 52 da LGPD, de até 2% do faturamento limitado a R$ 50 milhões por infração.
A terceira é a unificação progressiva da jurisprudência cível em torno do dano moral presumido, especialmente após o REsp nº 2.201.694/SP.
A combinação desses três vetores produz efeito multiplicador.
A omissão da empresa em adotar mecanismos de segurança técnica e administrativa proporcionais ao risco passou a gerar, simultaneamente, sanção administrativa, condenação cível indenizatória e dever de comunicação reparatória ao titular.
Pontos de atenção para o advogado
A reorganização do tema impõe ajustes operacionais imediatos na atuação do advogado de empresas e do contencioso indenizatório.
- Diagnóstico documental do controlador: verificar a existência efetiva de mapeamento de tratamento, registro do art. 37, indicação funcional do encarregado e política de privacidade alinhada ao princípio do livre acesso.
- Estruturação probatória do titular: instruir a inicial com requerimento prévio dirigido ao controlador, com prova da omissão ou da resposta inadequada, e com indicação dos direitos do art. 18 efetivamente violados.
- Comunicação de incidente: documentar integralmente o cumprimento dos prazos, do conteúdo mínimo e da forma da comunicação ao titular, sob pena de assunção de circunstância agravante na dosimetria.
- Tese do dano moral presumido: invocar expressamente o REsp nº 2.121.904/SP, o REsp nº 2.147.374/SP e o REsp nº 2.201.694/SP, com pedido autônomo, dispensando a prova de prejuízo concreto.
- Inversão do ônus da prova: combinar o art. 6º, VIII, do Código de Defesa do Consumidor com o art. 42 da LGPD, fundamentando a hipossuficiência técnica e a responsabilidade objetiva do agente de tratamento.
- Defesa do controlador: demonstrar adoção de medidas técnicas e administrativas proporcionais ao risco, na forma do art. 46, e a observância do regime de comunicação previsto na Resolução CD/ANPD nº 15/2024.
Como o JusDocs pode ajudar
O JusDocs disponibiliza aos advogados assinantes acervo atualizado de modelos de petições processuais voltados ao contencioso de proteção de dados, incluindo petição inicial de indenização por danos morais decorrentes de tratamento irregular ou vazamento, requerimento administrativo dirigido ao controlador para o exercício dos direitos do art. 18 da LGPD, contestação para a defesa do agente de tratamento e representação à ANPD.
A plataforma oferece ainda fluxogramas detalhados sobre os principais procedimentos do contencioso cível e do trabalhista, ferramenta indispensável para a estruturação cronológica das ações e para o domínio das fases processuais.
Com a JusDog IA, o advogado pode consultar jurisprudência atualizada sobre o REsp nº 2.121.904/SP, o REsp nº 2.147.374/SP, o REsp nº 2.201.694/SP, a Resolução CD/ANPD nº 15/2024 e o regime sancionatório da Resolução CD/ANPD nº 4/2023, além de adaptar peças e construir teses sobre dano moral presumido, defeito do serviço informacional e responsabilidade objetiva do agente de tratamento com agilidade e precisão técnica.
Conclusão
O regime jurídico da LGPD entrou, em 2026, em uma fase de maturação que exige reposicionamento da advocacia.
A jurisprudência do STJ consolidou o dano moral presumido como regra prática nos casos de tratamento irregular, e a regulação da ANPD ampliou de forma relevante o catálogo de circunstâncias agravantes.
O efeito sobre a advocacia é direto.
A defesa do titular deixa de ser uma narrativa genérica de violação de privacidade e passa a ser uma demonstração técnica de erros pontuais identificáveis no fluxo de tratamento.
A defesa da empresa, por sua vez, exige documentação exaustiva do cumprimento de cada princípio do art. 6º, da existência de base legal idônea para cada operação e da efetiva ativação dos mecanismos de comunicação de incidente.
Cabe ao advogado conhecer não apenas o texto da Lei nº 13.709/2018, mas o ecossistema regulatório e jurisprudencial construído em torno dela, articulando a LGPD com o CDC e com os atos normativos infralegais para entregar ao cliente uma atuação tecnicamente alinhada ao novo paradigma.
