Quem cresceu nos anos 80 lembra com facilidade do desenho animado Os Jetsons, exibido na TV brasileira. Produzida originalmente na década de 60 pela Hanna-Barbera, a série futurista antecipava tecnologias de uma casa conectada como videochamadas e assistentes domésticas inspirando o imaginário coletivo sobre o que seria o futuro.
Mais de 30 anos depois, em pleno 2025, muitas famílias já se assemelham ao casal George e Jane Jetson — e até à simpática Rosie, a robô doméstica que interagia com todos na casa.
Pois bem, essa cena já é realidade. Em 2025, já é possível monitorar o sono com um smartwatch, pedir as notícias do dia a uma assistente de voz enquanto a cafeteira inteligente prepara o café. O que antes era ficção científica agora é realidade em milhares de lares brasileiros. Mas, por trás da conveniência, opera um ecossistema invisível e voraz por informações: seus dados pessoais.
Cada dispositivo conectado – do mais simples ao mais sofisticado – captura hábitos, conversas, localização e até informações sensíveis como dados de saúde. Em um cenário em que o chip é fabricado na China, o software desenvolvido na Califórnia, a nuvem está na Irlanda e o consumidor no Brasil, a pergunta é: quem protege esses dados e de quem é a responsabilidade em caso de vazamentos?
Para desvendar este labirinto jurídico, o Portal Intelligence.Garden ouviu duas especialistas na Lei Geral de Proteção de Dados (LGPD).
Consentimento: clique não basta
Quase todos os usuários de IoT já passaram por isso: para ativar um novo dispositivo, é preciso aceitar uma política de privacidade com dezenas de páginas.
A LGPD exige que o consentimento seja livre, informado, específico e destacável – especialmente no caso de dados sensíveis. Mas será que o aceite genérico em políticas longas atende a esses critérios?
Sandra Sales, advogada especialista em Proteção de Dados e Compliance do Benício Advogados aponta que a LGPD está sendo colocada à prova nesses casos.
Segundo ela, do ponto de vista jurídico, o aceite eletrônico pode, sim, configurar um consentimento válido desde que a empresa comprove que ele foi obtido de forma livre,
“Um aceite genérico, políticas longas e pouco acessíveis não são juridicamente suficientes para legitimar a coleta de dados pessoas em dispositivos IoT. Especialmente quando não há uma interface clara de gestão de privacidade”, alerta Sandra.
“Esse consentimento precisa ser claro, com informações compreensíveis e de fácil revogação”, acrescenta Larissa Pigão, especialista em Direito Digital e LGPD do Botelho Galvão Advogados.
No caso de dados sensíveis, como biometria e dados de saúde, essa exigência é ainda maior, porque o consentimento deve ser destacado e vinculado a finalidades determinadas.
Por outro lado, quando bem implementado, o aceite eletrônico vinculado a uma política acessível e transparente pode ser considerado válido, inclusive para dados sensíveis, desde que respeite sempre os requisitos legais formais e materiais da própria lei geral de proteção de dados.
Responsabilidade solidária e o desafio da fragmentação
Mas de quem é a responsabilidade em caso de vazamentos de dados? Larissa Pigão afirma que o simples fato de haver uma cadeia internacional não isenta nenhuma das partes: “A responsabilidade será apurada caso a caso, com base no papel de cada agente e no cuidado adotado para prevenir riscos”.
A LGPD prevê responsabilidade solidária entre controladores e operadores. Mas, na prática, identificar o responsável em uma cadeia global é tarefa complexa.
“Em ecossistemas complexos como do IoT, com agentes globais envolvidos, essa responsabilidade pode ser solidária, especialmente quando há culpa compartilhada ou falhas conjuntas”, diz Sandra.
A apuração dessas responsabilidades deve ser feita pela Autoridade Nacional de Proteção de Dados (ANPD), autarquia federal que tem como missão zelar pela proteção dados no País.
“Se não for possível individualizar a responsabilidade, qualquer um desses agentes pode ser chamado individualmente para responder juridicamente”, explica.
Da mesma forma, Larissa Pigão, aponta que em um ecossistema multinacional de IoT, essa responsabilidade será apurada caso a caso com base no papel efetivo de cada agente, no ciclo de vida do dado e quanto à diligência adotada para prevenir os riscos.
“A simples presença de uma cadeia internacional não isenta nenhuma das partes sobre a responsabilidade jurídica aqui no Brasil”, alerta.
Privacy by Design: A Privacidade Desde a Origem
A LGPD determina que a proteção de dados não pode ser uma etapa posterior ou corretiva: ela deve estar presente desde o início, na concepção de qualquer produto, serviço ou sistema. Essa abordagem é conhecida como privacy by design — ou privacidade desde a origem.
Na prática, isso significa que os princípios de privacidade devem ser incorporados ao projeto desde a fase de planejamento, e não apenas implementados após o lançamento.
“Para que a empresa comprove que adota o privacy by design, é essencial manter relatórios de impacto, documentação de segurança, políticas internas atualizadas e auditorias periódicas”, explica a advogada Sandra Sales. “São essas evidências que demonstram à ANPD que a proteção de dados é tratada como prioridade na organização”.
A aplicação desse princípio é especialmente relevante no contexto da Internet das Coisas, onde dispositivos muitas vezes são lançados no mercado com pouca ou nenhuma preocupação com a privacidade do usuário. Incorporar a proteção de dados desde o início é, portanto, mais do que uma boa prática: é uma obrigação legal.
O Direito de apagar dados e à portabilidade
A LGPD garante ao titular o direito à eliminação e à portabilidade de seus dados pessoais. Em especial, o direito à portabilidade ainda depende da regulação da própria ANPD que vai trazer as regras de como essas portabilidades poderão acontecer de um fornecedor para o outro.
Já em relação à eliminação dos dados, o titular já consegue exercer esse direito mediante requisição expressa. “Toda empresa precisa fornecer esse acesso para o titular fazer uma requisição dos seus direitos, o que se aplica também aos sistemas IoT”, diz Sandra.
No entanto, quando se trata de dispositivos conectados à Internet das Coisas (IoT), exercer esses direitos esbarra em obstáculos técnicos e operacionais.
“Isso porque muitos dispositivos foram desenvolvidos sem mecanismos nativos para exclusão total dos dados ou para sua exportação em formato interoperável, o que dificulta e retarda o atendimento aos direitos dos titulares”, explica Larissa Pigão. “Mas apesar dessas limitações, a obrigação legal das empresas permanece”, salienta.
Um ponto sensível nesse cenário é o equilíbrio entre o direito do titular e a proteção do segredo comercial. No caso da portabilidade, por exemplo, a empresa não é obrigada a revelar algoritmos proprietários, estruturas de banco de dados ou informações que componham seu diferencial competitivo e know-how.
“A própria LGPD reconhece a possibilidade de restringir o acesso à lógica das decisões automatizadas quando houver risco ao segredo comercial”, afirma Larissa.
Isso significa que a portabilidade deve ser feita dentro dos limites do que é tecnicamente viável e legalmente permitido, protegendo informações estratégicas da empresa.
O mesmo vale para a exclusão de dados, quando sua retenção for necessária para preservar a integridade do sistema ou garantir a segurança dos processos industriais.
Na teoria, várias empresas podem ser responsabilizadas. Na prática, porém, o consumidor corre o risco de cair em um jogo de empurra-empurra ao tentar fazer valer seus direitos.
Transferência internacional: cuidados e critérios
A transferência de dados para fora do Brasil é permitida pela LGPD, mas precisa obedecer a critérios rígidos previstos na legislação e nos termos da resolução 19 de 2024 emitida pela ANPD.
Entre eles, cláusulas contratuais padrão já aprovadas pela Autoridade, normas corporativas globais e certificações. Cabe a ANPD também observar a verificação de destino do país para onde será feita a transferência de dados.
“Além de instrumentos legais, é essencial manter registros dessas transferências e avaliar os riscos do país de destino”, ressalta Larissa Pigão.
“A empresa também poderá ter normas corporativas globais que também estarão sujeitas à aprovação da ANPD. Além disso, a empresa deve garantir transparência com relação a essa transferência internacional”, destaca Sandra Sales.
Glossário da LGPD
• Dado pessoal: qualquer informação que identifique ou possa identificar uma pessoa (ex: nome, CPF, e-mail).
• Dado pessoal sensível: informações mais delicadas, como origem racial, religião, opinião política, dados de saúde, genéticos ou biométricos.
• Titular: a pessoa a quem os dados pertencem.
• Controlador: quem decide como e por que os dados serão usados.
• Operador: quem realiza o tratamento dos dados seguindo as instruções do controlador.
• Encarregado (DPO): a ponte de contato entre empresa, titulares dos dados e a ANPD.
• Agentes de tratamento: são o controlador e o operador.
• Tratamento: qualquer ação feita com os dados, como coletar, armazenar, usar, compartilhar ou excluir.
