LGPD nos tribunais: citações crescem 30 vezes e art. 20 lidera

As citações à Lei Geral de Proteção de Dados (Lei 13.709/2018) no Judiciário brasileiro multiplicaram-se quase 30 vezes desde 2020, saltando de 854 para 24.634 documentos em cinco anos, segundo a 5ª edição do Painel LGPD nos Tribunais. O direito à revisão de decisões automatizadas, ancorado no art. 20 da norma, consolidou-se como o dispositivo mais invocado em 2025, evidenciando que a proteção de dados deixou de ser argumento periférico para virar fundamento decisório efetivo.

Contexto

A LGPD entrou em vigor em setembro de 2020, dois anos após sua promulgação, e instaurou no Brasil um regime jurídico transversal de tratamento de dados pessoais inspirado no Regulamento Geral de Proteção de Dados europeu (GDPR). Nos primeiros anos de vigência, a aplicação judicial foi marcadamente tímida: o estudo aponta que muitas decisões mencionavam genericamente a "proteção de dados" sem ancorar o raciocínio em dispositivos específicos da lei, o que indicava desconhecimento técnico e baixa internalização do diploma pelos operadores do Direito.

O Painel LGPD nos Tribunais, conduzido pelo Centro de Direito, Internet e Sociedade do IDP (CEDIS/IDP) em parceria com o Jusbrasil e com apoio do PNUD Brasil, mapeia anualmente esse cenário. A 5ª edição foi apresentada em Portugal, antecedendo o Fórum de Lisboa, e cobre todas as citações identificadas em tribunais brasileiros. Dos mais de 20 mil casos rastreados, cerca de 5 mil foram classificados como juridicamente relevantes — aqueles em que a LGPD foi determinante para o desfecho — e submetidos a análise qualitativa, com auxílio de ferramenta de inteligência artificial e amostragem de controle para validar o desempenho do modelo.

O que foi decidido

O estudo não é uma decisão judicial, mas um diagnóstico jurisprudencial. Suas conclusões centrais: (i) o volume de citações à LGPD cresceu em ritmo exponencial; (ii) o art. 20 — que assegura ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses — tornou-se o dispositivo líder de invocação; (iii) a jurisprudência ganha densidade técnica, com referência precisa a princípios (art. 6º), hipóteses de tratamento (arts. 7º e 11) e direitos do titular (art. 18).

Na abertura do evento, o ministro Gilmar Mendes (STF) afirmou que a LGPD "deixou de ser invocada como mera referência retórica para tornar-se fundamento decisório efetivo", com indicação precisa de dispositivos. O ministro Luis Felipe Salomão (STJ) ponderou, em painel sobre soberania digital, que "eficiência tecnológica não substitui legitimidade", alertando para os riscos de algoritmização indiscriminada no próprio Judiciário.

Base normativa e precedentes

• Art. 20 da LGPD (Lei 13.709/2018) — assegura ao titular o direito à revisão de decisões automatizadas que afetem seus interesses, inclusive perfis de consumo, crédito e personalidade. É a porta de entrada típica para discussões sobre exclusão de motoristas de aplicativos, bloqueio de contas em redes sociais e negativa de crédito por escore algorítmico.
• Art. 5º, X e XII, da CF/88 — fundamenta a proteção à intimidade, vida privada e sigilo de dados, base constitucional da LGPD.
• Art. 5º, LXXIX, da CF/88 — incluído pela EC 115/2022, eleva a proteção de dados pessoais a direito fundamental autônomo.
• Arts. 6º, 7º e 11 da LGPD — princípios (finalidade, adequação, necessidade, transparência) e hipóteses legais de tratamento de dados pessoais e sensíveis.
• Art. 42 da LGPD — responsabilidade civil do controlador e operador por danos patrimoniais, morais, individuais ou coletivos.
• Marco Civil da Internet (Lei 12.965/2014) — convive com a LGPD na regulação de provedores e tratamento de registros.

Impacto prático

O crescimento de 854 para 24.634 citações repercute em frentes concretas:

• Plataformas digitais e gig economy: aumentam as ações de motoristas e entregadores desligados por algoritmos, exigindo das empresas estruturas formais de revisão humana, registros de operações de tratamento (art. 37) e relatórios de impacto (art. 38).
• Instituições financeiras e bureaus de crédito: decisões automatizadas de concessão de crédito, scoring e antifraude passam a ser questionadas com fundamento expresso no art. 20.
• Setor público: a aplicação da LGPD na administração (Capítulo IV) ganha tração, com cobrança de transparência em sistemas automatizados de benefícios, licitações e fiscalização.
• Compliance e contencioso: escritórios precisam ajustar petições e defesas para invocar dispositivos específicos, não mais a lei "em bloco".
• Indenizações: cresce a discussão sobre dano moral in re ipsa em vazamentos, ainda sem pacificação no STJ.

O que observar

A ANPD segue regulamentando temas sensíveis — transferência internacional, agentes de tratamento e, especialmente, inteligência artificial em diálogo com o PL 2.338/2023 (marco da IA). Profissionais devem acompanhar: (i) eventual consolidação de tese pelo STJ sobre dano moral por incidente de segurança; (ii) a interação entre o art. 20 da LGPD e o futuro marco regulatório da IA, sobretudo quanto à explicabilidade algorítmica; (iii) o avanço de ações coletivas pelo Ministério Público e Defensoria, que tendem a ampliar o repertório jurisprudencial; e (iv) o uso da própria IA pelo Judiciário, cuja governança precisará compatibilizar produtividade com contraditório, transparência e fundamentação adequada das decisões — sob pena de o remédio repetir o problema que pretende controlar.