Novo padrão de proteção de dados na China: lições para a lacuna de enforcement da LGPD no Brasil

A iminente vigência, em 1º de Novembro de 2025, do novo padrão GB/T 45574-2025 para o processamento de Dados Pessoais Sensíveis na China reforça como a ascensão da economia de dados elevou a proteção de informações pessoais ao status de pilar regulatório global, levando países como a China e o Brasil a estabelecer quadros legais abrangentes. No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, foi promulgada para proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade, aplicando-se ao tratamento de dados em todos os meios, inclusive digitais. Na China, a Lei de Proteção de Informações Pessoais (PIPL) estabelece o mesmo objetivo.

No entanto, as abordagens de compliance dessas duas jurisdições divergem profundamente em seus mecanismos de aplicação, expondo modelos regulatórios contrastantes. A China, através da norma técnica TC260 (Comitê de Padronização de Cibersegurança), impõe um rigor técnico e fiscalizatório objetivo, tratando a proteção de dados como um imperativo de Soberania Digital. Esse rigor regulatório encontra paralelo em uma postura cultural de autoproteção e sigilo pessoal por parte dos indivíduos, evidenciada pela hesitação em compartilhar informações básicas e pelo uso de pseudônimos online. Em contrapartida, o Brasil, embora ancorado no Direito Fundamental à privacidade, enfrenta um persistente desafio de maturidade cultural e institucional em sua aplicação. Este artigo visa analisar a eficácia da implementação chinesa e a lacuna de enforcement brasileira, evidenciada pela baixa taxa de condenações judiciais pelas violações às proteções de dados.

1. O MODELO CHINÊS: A IMPOSIÇÃO TÉCNICA E A CULTURA DE SIGILO

A estratégia chinesa para a proteção de dados não se limita ao texto da PIPL, mas reside na sua rigorosa operacionalização cibernética e na governança detalhada de processos. A lei estabelece um amplo escopo de aplicação, cobrindo o processamento de dados dentro da China e, de forma extraterritorial, quando visa fornecer produtos/serviços ou analisar o comportamento de pessoas naturais no país (Artigo 3º).

1.1 O Acelerador de Compliance: As Especificações Técnicas de Segurança Digital do TC260

A materialização técnica do rigor da PIPL ocorre por meio de normas detalhadas desenvolvidas pelo Comitê Técnico TC260. O arcabouço central inclui a norma GB/T 35273—2020 e o novo padrão GB/T 45574-2025 (Requisitos Técnicos de Segurança de Dados para o Processamento de Informações Pessoais Sensíveis), que entra em vigor em 1º de Novembro de 2025. Embora o GB/T 45574-2025 seja um padrão nacional recomendado e não legalmente obrigatório, ele fornece um guia operacional detalhado para o manuseio de DPS em linha com a PIPL. O padrão é crucial porque traduz amplos princípios legais em requisitos práticos de segurança cibernética, ajudando as organizações a entender e implementar os níveis de proteção esperados.

Em termos de enforcement, autoridades regulatórias como a Administração do Ciberespaço da China (CAC) realizam inspeções aleatórias nas práticas de informação pessoal das empresas. Companhias que alinham suas políticas e salvaguardas com as especificações detalhadas nos padrões do TC260 estão melhor posicionadas para demonstrar compliance de boa-fé com a PIPL e regulamentações relacionadas, o que, na prática, confere força de facto aos documentos técnicos.

1.1.1 Requisitos de Proteção de Segurança e Governança

Antes mesmo do processamento, as empresas devem identificar, classificar e manter um diretório dedicado aos Dados Pessoais Sensíveis (DPS), aplicando procedimentos de gestão específicos. O DPS na China abrange dados que, se vazados ou utilizados indevidamente, podem "infringir a dignidade de uma pessoa ou pôr em risco sua segurança pessoal ou patrimonial", incluindo dados biométricos, religiosos, financeiros e informações de menores de 14 anos.

As novas diretrizes detalham o que constitui DPS em várias categorias e estabelecem requisitos de compliance específicos em todo o ciclo de vida do dado. Isso exige que as empresas:

-Implementem mecanismos de segurança obrigatórios em seus sistemas, como criptografia, controle de acesso rigoroso, registro de atividades (logging) e auditorias regulares;

-Assegurem que o DPS seja armazenado de forma segura e separada de informações que possam identificar o indivíduo;

-Forneçam mecanismos para exclusão segura ou anonimização dos dados quando não forem mais necessários;

-Estabeleçam procedimentos claros de autorização para operações críticas, como compartilhamento, exportação ou divulgação pública do DPS;

-Além dos requisitos de segurança técnica, a norma reforça a governança ao exigir que empresas que processam dados sensíveis de mais de 100.000 indivíduos nomeiem um responsável pela proteção de dados com conhecimento profissional e que seja membro da gestão do processador, devendo ainda passar por uma verificação de antecedentes de segurança.

Esta imposição técnica Top-Down atua como um acelerador de compliance e garante a primazia do controle estatal e da Soberania Digital.

1.2 A Cultura Defensiva de Privacidade Individual

O rigor regulatório chinês encontra paralelo em uma postura cultural de autoproteção. Sob uma perspectiva cultural, a proteção de dados manifesta-se em um profundo senso de sigilo e cautela pessoal. Essa postura é frequentemente observada não só no comportamento online dos chineses, que preferem o uso de pseudônimos (apelidos) nas redes sociais em vez de revelar seus nomes verdadeiros, mas também em seu próprio comportamento offline, demonstrando hesitação ao compartilhar informações básicas, como suas cidades natais. Essa preocupação generalizada com a autoproteção da identidade é uma resposta adaptativa à intensa coleta de informações tanto estatal quanto corporativa, criando uma cultura defensiva de privacidade no nível individual.

2 O CENÁRIO BRASILEIRO: A LGPD E O DESAFIO DA CULTURA DE IMPLEMENTAÇÃO

No Brasil, a LGPD ancorou-se no Direito Fundamental, mas a sua aplicação prática é marcada por uma lacuna de maturidade que tem dificultado o enforcement pleno.

2.1 O Desafio do Fomento Cultural e a Burocracia

O principal obstáculo reside no Fomento Cultural. Conforme alertado por diretores da Autoridade Nacional de Proteção de Dados (ANPD), muitas empresas, sobretudo PMEs, ainda percebem a LGPD como uma barreira burocrática ou um custo marginal, e não como um componente estratégico de governança. Essa resistência à transformação cultural contrasta com a cautela defensiva observada no comportamento individual chinês, indicando que o senso de valor da privacidade ainda não está plenamente enraizado no ambiente corporativo brasileiro. A ANPD tem priorizado a orientação para estimular a absorção dessa nova cultura de privacidade, o que prolonga a fase de consolidação do rigor.

2.2 A Fragilidade do Enforcement Judicial

A efetividade do enforcement da LGPD ainda está em consolidação. Análises de dados judiciais (conforme reportado pelo JOTA) indicam que uma parte significativa dos casos que citam a LGPD não resultou em condenação das empresas. Este cenário possui duas implicações: primeiramente, sugere que as organizações que conseguem demonstrar diligência ou a existência de programas de compliance (mesmo que básicos) têm sido capazes de mitigar sua responsabilidade civil em juízo. Em segundo lugar, isso revela que o Brasil ainda está na fase de amadurecimento institucional para fiscalizar e punir consistentemente. A ausência de um "manual técnico" cogente e detalhado, equivalente ao padrão de cibersegurança do TC260, torna o compliance mais subjetivo e dependente da interpretação judicial e da prova de boa-fé.

3. COMPARATIVO DE ABORDAGENS E DESAFIOS DE COMPLIANCE

O contraste entre a China e o Brasil reside fundamentalmente no mecanismo de compliance e na velocidade de maturidade. Na China, a estratégia é de imposição técnica Top-Down, onde o compliance é uma questão de aderência objetiva às especificações rigorosas da norma TC260, que atua em conjunto com uma cultura individual de sigilo para criar um ambiente altamente defensivo. O foco primário é o Controle Estatal e a Segurança Nacional, e o rigor prático é alto, facilitando a auditoria precisa pela CAC, mesmo que as normas sejam formalmente não obrigatórias.

Já no Brasil, a LGPD é regida pela Transformação Cultural e pelo Enforcement Judicial gradual, com foco primário nos Direitos Fundamentais Individuais. O rigor prático é variável, pois depende em grande parte da maturidade de cada empresa e da interpretação do Judiciário sobre o conceito de "diligência" ou "boa-fé". Enquanto o principal desafio da China é garantir que seus padrões técnicos de cibersegurança sejam universalmente aplicados em um país de dimensões continentais, o desafio central do Brasil é superar a visão da LGPD como burocracia, consolidando o enforcement da ANPD para elevar o nível de proteção em toda a economia. A ausência de um padrão técnico cogente e auditável, como o TC260, mantém o compliance brasileiro em um estágio de desenvolvimento mais lento e subjetivo.

4. CONCLUSÃO

A diferença central na proteção de dados reside na natureza da implementação e na velocidade de maturidade. A China utilizou a prescrição técnica objetiva (de cibersegurança) do TC260 como uma ferramenta estatal para impor um alto rigor de compliance, garantindo que a PIPL seja efetivamente aplicada e fiscalizada por parâmetros claros, o que confere ao país um avanço técnico significativo.

O Brasil, por sua vez, embora dotado de uma lei robusta e constitucionalmente fundamentada (LGPD), enfrenta o desafio de transpor a lei para a prática em um ambiente de imaturidade cultural. Para fechar a lacuna de maturidade exposta pelo avanço chinês, a LGPD deve transcender o mero debate legal, e a ANPD precisa intensificar o enforcement para transformar a preocupação legal em uma rotina de segurança cibernética operacional rigorosa e inegociável para todas as empresas. Enquanto o Judiciário e a ANPD dependerem da "prova de diligência" para determinar a responsabilidade, o nível de proteção de dados no Brasil permanecerá em uma lacuna de maturidade quando comparado ao modelo chinês de controle técnico e imposição normativa, que se beneficia de uma cultura individual já tendente ao sigilo.

imagem gerada com IA

REFERÊNCIAS:

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, [2018]. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 25 out. 2025.

CHINA. Cyberspace Administration of China (CAC). [Título em Chinês e tradução: PIPL – Lei de Proteção de Informações Pessoais]. Publicado em 20 ago. 2021. Disponível em: https://www.cac.gov.cn/2021-08/20/c_1631050028355286.htm. Acesso em: 25 out. 2025.

CHINA. National Information Security Standardization Technical Committee (TC260). Data Security Technology—Security Requirements for Processing of Sensitive Personal Information. Norma GB/T 45574-2025. China, 2025. Disponível em: https://www.tc260.org.cn/upload/2025-06-17/1750126302878095198.pdf. Acesso em: 25 out. 2025.