Eram 22h43 de uma terça-feira quando uma amiga me mandou mensagem no WhatsApp: “você viu que meu nome tá num site vendendo meus dados? CPF, endereço, tudo.” Ela não tinha feito nada de errado. Não tinha clicado em link suspeito, não tinha respondido golpista. Os dados dela simplesmente estavam lá — coletados, empacotados e comercializados por uma empresa que ela nunca tinha ouvido falar.
Eu fiquei olhando pra tela por uns dois minutos sem saber o que responder. Porque a verdade é que provavelmente os seus dados também estão. E os meus. O problema não é que as pessoas são descuidadas com a privacidade digital — o problema é que o sistema foi construído pra que o descuido seja o padrão, e o cuidado exija esforço ativo, conhecimento técnico e, às vezes, abrir mão de serviços inteiros.
1. A LGPD completou cinco anos — e o Brasil ainda está aprendendo o que ela significa na prática
A Lei Geral de Proteção de Dados entrou em vigor em 2020 e começou a ter dentes de verdade a partir de 2021, quando as sanções administrativas foram liberadas. Em 2026, a lei já tem histórico de multas aplicadas pela Autoridade Nacional de Proteção de Dados — a ANPD — contra empresas de diferentes setores. Mas tem uma diferença grande entre a lei existir e ela funcionar na sua vida.
O que mudou de concreto até agora: empresas são obrigadas a informar pra que usam seus dados, você tem direito de pedir acesso, correção e exclusão das informações que elas guardam sobre você, e o consentimento precisa ser explícito — sem mais aquelas caixinhas pré-marcadas escondidas no rodapé do formulário. Na teoria. Na prática, quem já tentou pedir a exclusão de dados de um grande banco nacional sabe que o processo pode levar semanas, exige autenticação por múltiplos canais e frequentemente retorna uma resposta genérica dizendo que “alguns dados precisam ser mantidos por obrigação legal”.
Isso não é descumprimento necessariamente — há mesmo casos em que a lei obriga a retenção. Mas a opacidade com que o processo é conduzido ainda deixa o consumidor sem saber exatamente o que foi apagado e o que ficou.
2. O que muda na lei em 2026 que você precisa saber agora
Duas movimentações regulatórias estão em curso e vão afetar sua vida digital diretamente.
A primeira é o avanço das discussões sobre regulamentação de inteligência artificial no Brasil. O projeto de lei que tramita no Congresso — já aprovado em algumas etapas — prevê regras específicas sobre uso de dados pessoais por sistemas automatizados, incluindo o direito de não ser submetido a decisões tomadas exclusivamente por algoritmos sem possibilidade de revisão humana. Se você já teve crédito negado por um sistema automatizado sem conseguir uma explicação decente, esse ponto é diretamente sobre você.
A segunda é o fortalecimento das exigências de segurança para aplicativos que coletam dados de crianças e adolescentes. As principais redes sociais operam no Brasil com bases de usuários que incluem menores de idade, e a pressão regulatória por transparência sobre coleta de dados nessa faixa etária aumentou consideravelmente. Pais que deixam o filho usar um tablet conectado sem nenhuma configuração de privacidade estão, literalmente, doando dados comportamentais de uma criança pra ser perfilada por algoritmos.
3. Três hábitos que parecem proteger você, mas não protegem
Aqui eu preciso ser direto, porque a maioria dos conselhos sobre privacidade digital que circula por aí é inútil ou, pior, cria uma falsa sensação de segurança.
Usar modo anônimo no navegador não te torna anônimo. O modo anônimo — ou navegação privativa — impede que o histórico fique salvo no seu dispositivo. Só isso. O seu provedor de internet ainda vê o que você acessa. O site que você visita ainda registra seu IP. Se você fizer login em qualquer serviço, a empresa sabe que foi você. O nome “anônimo” é um erro de marketing que enganou uma geração inteira.
Aceitar a política de privacidade depois de ler não muda muito coisa. Pesquisas acadêmicas que estudam contratos digitais mostram que ler todas as políticas de privacidade dos serviços que uma pessoa média usa levaria centenas de horas por ano. Ninguém lê. E mesmo quem lê raramente tem alternativa — ou aceita, ou não usa o serviço. A escolha é fictícia na maior parte dos casos.
Trocar de aplicativo de mensagens não resolve o problema estrutural. Migrar do WhatsApp pro Signal, por exemplo, é uma decisão válida do ponto de vista de criptografia de conteúdo. Mas seus metadados — com quem você fala, quando, com que frequência — continuam sendo registrados. E se a pessoa do outro lado usa um app menos seguro, a conversa está exposta por lá. Privacidade é sempre o mínimo entre os dois lados da comunicação.
4. O caso prático: uma semana tentando exercer meus direitos pela LGPD
Em março deste ano, resolvi testar na prática o que a LGPD garante. Escolhi três empresas — uma grande varejista, uma fintech que uso pra pagamentos e uma plataforma de streaming — e mandei solicitações formais pedindo acesso a todos os dados que tinham sobre mim.
A fintech respondeu em quatro dias úteis com um relatório em PDF detalhado. Impressionante. Tinha histórico de transações, dispositivos usados pra login, localização aproximada de acessos e até as campanhas de marketing que eu tinha visualizado. Mais informação do que eu esperava — e um lembrete de quanto essas empresas realmente acumulam.
A varejista levou 18 dias e me mandou um arquivo com dados básicos de cadastro. Quando pedi complementação, o segundo e-mail demorou mais 12 dias e veio com uma nota dizendo que “outros dados são tratados de forma anonimizada e não estão vinculados ao seu CPF”. Pode ser verdade. Mas eu não tenho como verificar.
A plataforma de streaming não respondeu dentro do prazo legal de 15 dias. Mandei uma segunda solicitação mencionando a LGPD e a ANPD. Aí responderam — com um link pro centro de ajuda que não tinha nada a ver com o que eu perguntei. Desisti depois de três tentativas.
O ponto não é que as empresas são vilãs. É que o exercício de um direito legal básico ainda exige persistência, tempo e um certo nível de letramento jurídico que a maioria das pessoas não tem e não deveria precisar ter.
5. O que de fato funciona — e por quê exige mudança de mentalidade, não só de ferramenta
Depois de anos acompanhando esse tema, cheguei a uma conclusão incômoda: privacidade digital não é problema técnico. É problema de arquitetura de poder. As empresas de tecnologia foram construídas em torno de um modelo de negócio que depende de dados — e mudar isso exige pressão regulatória, não só consciência individual.
Dito isso, tem coisas concretas que fazem diferença real no seu nível de exposição:
- Usar um gerenciador de senhas. Senhas repetidas são a porta de entrada mais comum pra sequestro de conta. Um gerenciador como Bitwarden — que é gratuito e de código aberto — resolve isso sem exigir nenhum conhecimento técnico especial.
- Ativar autenticação em dois fatores em tudo que puder. Preferencialmente via aplicativo autenticador, não por SMS — SIM swap ainda é um vetor de ataque real no Brasil.
- Revisar as permissões dos aplicativos no celular uma vez por mês. Leva quinze minutos. Você vai se surpreender com quantos apps têm acesso ao microfone, localização e contatos sem precisar disso pra funcionar.
- Usar um e-mail diferente pra cadastros de pouca importância. Criar um endereço específico pra newsletters e cadastros evita que vazamentos de sites menos seguros comprometam sua conta principal.
6. O direito ao esquecimento vai ser a próxima batalha
Tem uma discussão que ainda não chegou ao grande público no Brasil mas que vai chegar: o direito ao esquecimento digital. A ideia de que você pode pedir pra uma empresa — ou um buscador — remover informações sobre você que estão desatualizadas, irrelevantes ou que causam dano à sua reputação.
Na Europa, o GDPR já tem previsão clara pra isso. No Brasil, a LGPD tem dispositivos que caminham nessa direção, mas a jurisprudência ainda está sendo construída caso a caso. O que significa que, se você tem informações antigas sobre si mesmo circulando online — uma notícia de dez anos atrás, uma foto sem contexto, um dado que não é mais verdadeiro — sua única opção prática hoje é contratar um advogado especializado e rezar pra ter sorte no processo.
Isso vai mudar. A pressão regulatória internacional e a maturação da ANPD devem produzir regras mais claras nos próximos dois anos. Mas por ora, é um limbo.
Três coisas pequenas pra fazer essa semana
Não precisa virar especialista em segurança da informação pra começar. Três movimentos concretos, feitos agora:
Hoje à noite: abra o celular, vá em configurações de aplicativos e revogue o acesso ao microfone de qualquer app que não precise disso pra funcionar — teclado, calculadora, aplicativo de banco, qualquer coisa que você não usa pra gravar ou fazer ligação.
Essa semana: crie uma conta gratuita no Bitwarden e migre as três senhas mais importantes que você usa — e-mail principal, banco, redes sociais — pra senhas geradas aleatoriamente pelo gerenciador. Só três. O resto você faz depois.
No próximo mês: escolha uma empresa com quem você tem relacionamento comercial e mande uma solicitação formal de acesso a dados, usando os canais previstos pela LGPD. Não pra criar problema — pra entender o que eles sabem sobre você. É o exercício de um direito que existe, e quanto mais gente exercer, mais as empresas vão levar a sério.
Privacidade digital não é paranoia. É higiene. E como toda higiene, não precisa ser perfeita pra ser útil.