50 Turmas depois: como o Curso PPD evoluiu junto com a Proteção de Dados no Brasil

Chegar à Turma 50 não é apenas um marco para o Curso Privacidade e Proteção de Dados: Teoria e Prática (PPD). É também uma oportunidade para olhar para trás e compreender como o próprio percurso da proteção de dados no Brasil foi se entrelaçando à trajetória do curso.

Desde sua criação, o PPD se propôs a ser mais do que uma formação: um espaço de acompanhamento e atualização contínua das transformações legislativas, institucionais e tecnológicas que moldam o campo da governança de dados no país. Tudo isso para fazer o que faz de melhor: te formar para que você tenha raciocínio crítico e estratégico em proteção de dados indo além da LGPD.

A cada nova turma, o curso incorporou os aprendizados que vinham de julgamentos históricos, regulamentações importantes e transformações em conceitos fundamentais. Para além de uma mera atualização de conteúdo, o PPD também se alterou para oferecer a melhor formação em proteção de dados do campo. 

Hoje te convidamos a entender um pouco dessa história que já formou mais de 2000 profissionais. 

Quando tudo era mato: a LGPD e os primeiros passos do PPD

O curso nasceu em um momento de construção institucional. A Lei Geral de Proteção de Dados (LGPD) havia sido sancionada em 2018. Foi nesse momento que as primeiras turmas do PPD aconteceram. Em modelo presencial, as primeiras edições ocorreram em São Paulo e foram um passo importante na construção de uma formação robusta em proteção de dados. Como a LGPD ainda não havia entrado em vigor, o curso focou em oferecer uma formação fundamental a partir da lei aprovada e seus conceitos essenciais. 

Nessas primeiras edições, o foco em direito comparado com o Regulamento Geral de Proteção de Dados europeu foi utilizado para ampliar os horizontes de interpretação dados pela LGPD. Contudo, o emprego de metodologias ativas e a linguagem sem juridiquês já era uma das marcas do curso. O PPD também sinaliza a fundação da Data Privacy Brasil com Bruno Bioni e Renato Leite Monteiro ministrando aulas no curso. 

Um dos destaques do curso era a sua atividade final: nela, os alunos eram levados a realizar um relatório de diagnóstico de um caso complexo. Assim, os alunos desenhavam o fluxo de dados de uma certa organização, identificavam os riscos do tratamento de dados e decidiam quais as medidas de mitigação ou solução de riscos deveriam ser adotadas, bem como da aplicação das bases legais, princípios e outras disposições da LGPD. Tudo isso para poderem desenvolver um raciocínio em proteção de dados.  

Em 2020, a emergência sanitária provocada pela pandemia de Covid-19 fez com que o formato do curso mudasse. Sai de cena o modelo presencial e entra o modelo de aulas online ao vivo. Tal período foi marcante para o aprimoramento do curso com metodologias ativas e promotoras de comunidade em um momento de isolamento social. 

Também foi um momento de uso massivo de dados para o combate à pandemia, o que ressalta a importância da proteção de dados. Um marco dessa característica é o julgamento da ADI 6.387 no STF que declarou a proteção de dados como direito fundamental autônomo. Na ocasião se discutiu a proporcionalidade da Medida Provisória (MP) nº 954/2020 que determinava o compartilhamento de dados entre empresas de telefonia e o Instituto Brasileiro de Geografia e Estatística (IBGE), para fins de realização de pesquisa. Na ocasião, o tribunal entendeu que tal compartilhamento sem finalidade devidamente especificada não cumpria com os requisitos de um direito à proteção de dados.

Em 18 de setembro de 2020 a Lei Geral de Proteção de Dados entra em vigor, sinalizando o começo de uma nova etapa para a proteção de dados no Brasil. No mesmo ano foi criada a estrutura da Autoridade Nacional de Proteção de Dados (Decreto nº 10.474) que passou a contar com sua primeira composição de diretores. As turmas iniciais (1 a 23) acompanharam esse cenário. O PPD passou de um curso de modelo presencial para o de aulas ao vivo e assumiu um papel essencial de formação e consolidação de conceitos para centenas de profissionais.

Consolidando o cenário e reestruturação do curso

A partir de 2021, o cenário da proteção de dados começou a consolidar o seu desenho fiscalizatório. Isso pode ser visto a partir da entrada em vigor das sanções da LGPD em 1° de agosto de 2021 e a publicação da Resolução CD/ANPD nº 1 sobre o processo de fiscalização e sanção pela ANPD. 

Nesse momento, o curso passou a lidar com um contexto rudimentar da fiscalização em proteção de dados e da importância da implementação da LGPD. Embora a aplicação de sanções estava pendente de um regulamento de dosimetria das sanções administrativas, a atuação da ANPD no caso da mudança nas políticas de privacidade do WhatsApp já mostravam a concretude da fiscalização. 

Em resumo, em janeiro de 2021, o WhatsApp anunciou mudanças em sua Política de Privacidade, prevendo o compartilhamento de dados com empresas do Facebook. A repercussão negativa levou a ANPD a intervir, em articulação com o Cade, o MPF e a Senacon, por meio de acordos de cooperação técnica.

No dia março de 2021, a ANPD apresentou a Nota Técnica nº 02/2021/CGTP/ANPD que continha recomendações à empresa e alertou sobre os riscos jurídicos. Em 7 de maio, o Cade, o MPF, a ANPD e a Senacon, emitiram uma Recomendação Conjunta pedindo o adiamento da nova política até análise conclusiva. Em seguida, o WhatsApp se comprometeu a cooperar e garantir que nenhum usuário brasileiro fosse prejudicado, mesmo se não aceitasse as novas políticas. A fiscalização se encerrou em 6 de maio de 2022 com a Nota Técnica nº 49/2022/CGF/ANPD onde se constatou que as recomendações foram atendidas e que as políticas do Whatsapp foram adequadas à LGPD.

O caráter dialogal da fiscalização já dava seus primeiros passos aqui. Durante esse período, o PPD visou destacar como o modelo de fiscalização da ANPD era diferente, oferecendo estratégias e materiais práticos para a devida adequação à LGPD.  Nesse sentido as aulas sobre Principais conceitos, Direitos dos titulares, Relatório de Impacto dentre outras tiveram mudanças substanciais.  

2022 – Constitucionalização e reforço institucional da proteção de dados

Em 2022, a promulgação da Emenda Constitucional 115 consolidou a proteção de dados como direito fundamental Em outubro do mesmo ano a ANPD se transformou em autarquia de natureza especial com a aprovação da Lei nº 14.460.

2022 Também contou com consolidação de entendimentos importantes. É o caso da ADI 6.649, que avaliou a constitucionalidade do compartilhamento de dados entre órgãos públicos no contexto do cadastro-base do cidadão. Na ocasião, o Supremo Tribunal Federal entendeu que órgãos e entidades da administração pública federal podem compartilhar dados pessoais entre si, com a observância de alguns critérios da proteção de dados como a definição de finalidade específica e outros princípios da LGPD.

No mesmo ano tivemos o julgamento do Recurso Repetitivo 243000-58.2013.5.13.0023 pelo Tribunal Superior do Trabalho (TST). Na ocasião, se decidiu que dados de crédito não podem ser exigidos de empregados e candidatos a emprego, mostrando como a proteção de dados não diz respeito a um segmento de direitos, mas que afeta outros direitos fundamentais como aqueles relacionados ao trabalho. 

Outro caso relevante foi o dos microdados do INEP. Em fevereiro de 2022, O Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) tirou do ar toda a série histórica com dados sobre o Censo Escolar da Educação Básica. À época, a autarquia alegou que seria preciso adequar a divulgação dos dados para evitar o risco de identificação de estudantes cumprindo com a LGPD e fornecer o devido acesso à informação pública conforme a Lei de Acesso à Informação ( Lei n° 12.527, de 18 de novembro de 2011).

Nesse processo, a tensão entre Proteção de Dados e transparência traçaram foi conduzida para um cenário de harmonia. Após recomendações emitidas em nota técnica pela ANPD, o Inep ajustou a divulgação dos dados. Esse é um caso interessante pois mostra como a proteção de dados tem um caráter criativo. O Inep pôde inovar em maneiras de oferecer os dados para pesquisadores de modo individualizado e demais dados para população em geral sem o risco de identificar milhões de crianças e adolescentes. 

Neste ano, a expansão do escopo da proteção de dados foi marcante e o PPD também refletiu tais mudanças: o curso passou a abordar tais intersecções da proteção de dados em eixos de formação como proteção de dados no setor público, Direitos dos titulares, Relatório de Impacto à Proteção de Dados (RIPD). Em outras palavras, o PPD pôde mostrar como ir além da LGPD para nossos alunos.

Imagem: Material da aula proteção de dados no setor público em que se esclarece o papel da LAI e da LGPD

2023-2024: novas demandas, nova estrutura

Os anos de 2023 e 2024 marcaram o aprofundamento de diálogos regulatórios travados em processos de fiscalização e de regulamentação da Autoridade Nacional de Proteção de Dados. 

Em fevereiro de 2023 a ANPD publica a Resolução CD/ANPD nº 4: o regulamento de dosimetria e aplicação de sanções administrativas. A partir do novo regulamento, a ANPD passou a contar com um conjunto de regras para sua atuação repressiva a partir de sanções e multas de até 50 milhões de reais. Por conta desse marco, a aula sobre Sistema de Enforcement e ANPD passou a contar com uma aula extra gravada exclusiva sobre o regulamento de dosimetria. 

Imagem : Material da aula Enforcement e ANPD sobre a dosimetria das sanções

No mesmo ano, a autoridade aplicou sua primeira sanção administrativa à Telekall Infoservice por disparos em massa de mensagens com publicidade eleitoral sem base legal para o tratamento. Em seguida, a autoridade também sancionou diversas entidades do setor público por conta da não comunicação de incidentes de segurança. 

Nesse sentido, o curso incorporou tais mudanças especialmente nas aulas sobre Principais Conceitos; Legítimo Interesse; Dados Sensíveis e Proteção de Dados de Crianças e Adolescentes; Direitos dos Titulares e Sistema de Enforcement e ANPD. O caso é tão impactante pois mobilizou praticamente uma série de conceitos fundamentais da LGPD, algo que fizemos questão de demonstrar em nossas aulas

Em 2024, a autoridade também aprovou importantes resoluções que tratam de temas centrais para a proteção de dados pessoais no Brasil.

• 24 de abril de 2024: Foi publicada a Resolução CD/ANPD nº 15, que estabelece o Regulamento de Comunicação de Incidente de Segurança, trazendo diretrizes para a notificação de violações de dados pessoais.
  
• 16 de julho de 2024: A Resolução CD/ANPD nº 18 aprovou o Regulamento sobre a Atuação do Encarregado, detalhando responsabilidades e práticas esperadas desse profissional fundamental na governança de dados.
  
• 23 de agosto de 2024: A Resolução CD/ANPD nº 19 instituiu o Regulamento de Transferência Internacional de Dados, passo essencial para assegurar que dados pessoais transferidos a outros países estejam protegidos em conformidade com a LGPD.
  

Essas normas representam avanços significativos em três frentes estratégicas: segurança da informação, atuação do encarregado e transferência internacional de dados, esta última crucial para garantir a continuidade de fluxos globais com responsabilidade e segurança.

Imagem : Material da aula segurança da Informação sobre as disposições do regulamento de comunicação de incidentes de segurança

As aulas de Segurança da Informação; Desenvolvimento e Implementação de Programas de Adequação e Governança de Proteção de Dados foram as mais impactadas pela mudança. Inclusive, incluímos uma aula gravada extra só sobre Transferência Internacional de Dados 

2024 também foi o ano em que a inteligência artificial foi alvo da fiscalização em proteção de dados. O exemplo mais emblemático vem em 2 de julho do mesmo ano onde a ANPD determinou medida cautelar contra a Meta para suspender o tratamento de dados públicos de seus usuários que iriam ser utilizados no treinamento de sua aplicação de IA generativa, a Meta AI. O caso é importante pois mostra a abrangência da proteção de dados frente a novas tecnologias, deslocando o objeto da regulação para o indivíduo e seus dados pessoais. 

Nesse sentido, a aula sobre principais conceitos, legítimo interesse e enforcement passaram por uma atualização relevante diante a partir dessa decisão, mostrando como o conceito de dado pessoal poderia ser articulado em outros contextos, inclusive a partir de entendimentos de outras autoridades

Imagem : Material da aula Legítimo Interesse em que se avalia a relação entre proteção de dados e IA generativa

Diante desse cenário de fiscalização intensa e de soluções baseadas em proteção de dados para diferentes tipos de organizações. O PPD passou por mais uma reformulação com 4 principais mudanças

1. Adição de aula Enforcement e ANPD focada na atuação regulatória da autoridade, seus  guias, normas e regulamentos, outros agentes de enforcement e sanções administrativas.

.

2. Além das aulas ao vivo, disponibilizamos aulas complementares gravadas para aprofundamento nos assuntos como:
   • Consentimento e Cookies
   • Processo de adequação à LGPD
   • Bases legais
   • Segurança da informação
   • Transferência internacional de dados

3. Aumento substancial da carga horária: o curso passou de cerca de 50 para 70 horas de curso. Incluíndo aulas extras, aprofundamento de temas e separação de aulas cujos temas eram ministrados juntos.

4. Atividade Final remodelada

A tradicional atividade final foi alterada para refletir os principais cenários de atuação em proteção de dados, ao mesmo tempo que privilegia o aprendizado contínuo.  Para além de realizarem um relatório de diagnóstico onde os alunos mapeiam riscos e definem solução a partir da LGPD e outras normas aplicáveis, agora a atividade também conta com um trecho de simulação de resposta à fiscalização, capacitando também para esse tipo de atividade.

Imagem: material produzido pelos alunos na atividade final: Caso Setor Público:

Outra grande mudança foi a adaptação dos casos. Nas primeiras edições, os casos eram sobre organizações do setor privado com diferentes demandas de proteção de dados. Agora, a atividade conta com um caso simulado exclusivo para o setor público. Dessa forma, a atividade conta com situações que envolvem operações comuns como a do E-commerce, mais complexas como o setor de seguros ou de inteligência artificial e do setor público.

Imagem: Fluxo de dados detalhado produzido pelos alunos na atividade final: Caso Setor Privado E-commerce

Essa variedade de situações simuladas, permite com que os alunos adaptem o aprendizado à sua área de atuação. Essa adaptação permitiu ao PPD manter-se na vanguarda da formação sobre privacidade e proteção de dados no Brasil, sendo um dos poucos cursos que evolui junto com a regulação.

Imagem: Ofício de resposta à ANPD produzido pelos alunos na atividade final: Caso Setor Privado: Setor de seguros

Turma 50: um marco de continuidade e renovação

Em 2025, com a proteção de dados cada vez mais presente no cotidiano das organizações e com o surgimento de novos desafios, o PPD reafirma seu papel como referência nacional em formação crítica e aplicada no campo da governança de dados.

Mas ainda que o ano não tenha acabado já existem situações que exigem atenção: 

• Em março de 2025, o Tribunal de Contas da União (TCU) divulgou uma auditoria que analisou como os órgãos públicos estão equilibrando as exigências da Lei de Acesso à Informação (LAI) com as obrigações impostas pela Lei Geral de Proteção de Dados Pessoais (LGPD). O levantamento mostrou que a falta de capacitação conjunta e guias orientativos sobre a aplicação das duas leis podem ter levado à interpretações errôneas das duas leis.
• Antes disso, em janeiro de 2025, a ANPD tornou pública a Nota Técnica nº 4/2025/FIS/CGF/ANPD, na qual analisou o tratamento de dados biométricos de usuários do Protocolo World ID. O documento concluiu pela necessidade de adoção de medida preventiva, determinando a suspensão da compensação financeira relacionada à coleta de íris realizada pela empresa Tools For Humanity. A nota também exigiu a indicação formal do encarregado pelo tratamento de dados pessoais por parte da organização.
• Em fevereiro de 2025, a ANPD concluiu processo de fiscalização de redes de farmácias e determinou ajustes de conduta no tratamento de dados pessoais. A Nota Técnica nº 6/2025/FIS/CGF/ANPD investigou tratamentos de dados por redes de drogarias e operadores de programas de fidelização e benefícios, principalmente da RaiaDrogasil, Stix e Febrafar. O documento determinou, dentre outras coisas, a adoção de meios alternativos da biometria para autenticar usuários, bem como medidas de transparência em um esforço que combinou a proteção do consumidor e a proteção de dados.
• Em maio de 2025, a Câmara dos Deputados instalou uma comissão especial destinada a debater um projeto de lei sobre o uso de inteligência artificial no Brasil. A iniciativa demonstra a crescente preocupação do Legislativo em regulamentar tecnologias emergentes, considerando os impactos éticos, sociais e jurídicos de sua aplicação. O projeto é relevante pois muitos dos conceitos e sistemáticas da lei de IA são semelhantes aos empregados pela LGPD

Esses e outros marcos da Proteção de Dados no Brasil se conectam em um só lugar, o Curso Privacidade e Proteção de Dados Teoria e Prática. A Turma 50 representa não só um número simbólico, mas também o reconhecimento de que é preciso manter o curso vivo, atual e conectado com a realidade para lidar com um campo em constante transformação.

Fazer o PPD está para além de uma mera formação ou certificado, é fazer parte da história da proteção de dados no Brasil. A edição 50 consolida 5 anos de muitas mudanças e pode ser o seu início ou sua consolidação no campo da governança de dados. Entre para a história. Inscreva-se na turma 50 do Curso Privacidade e Proteção de Dados!