A inteligência artificial tem se tornado um dos maiores desafios para a proteção de dados pessoais em escala global. Desde o treinamento de grandes modelos de linguagem até sistemas de reconhecimento facial, as tecnologias de IA estão gerando um novo cenário de violações de privacidade que desafia as estruturas regulatórias tradicionais. A Lei Geral de Proteção de Dados (LGPD) brasileira, assim como a General Data Protection Regulation (GDPR) europeia e outras legislações globais, ainda lutam para acompanhar a velocidade de inovação e os riscos reais apresentados por esses sistemas. Enquanto isso, multas recordes são impostas, dados pessoais são expostos em larga escala e a confiança dos cidadãos em organizações continua a ser abalada por violações flagrantes que combinam negligência técnica com ambição comercial desmedida.

O Cenário Global de Violações de Proteção de Dados

A onda de violações de dados envolvendo tecnologias de IA não é apenas um problema brasileiro ou europeu. Trata-se de um desafio sistêmico que permeia jurisdições e continentes. Em 2024, o número de incidentes de segurança envolvendo IA saltou 56,4% em relação ao ano anterior, com nearly half of all breaches envolvendo dados pessoais identificáveis (PII) de clientes. Essa aceleração não é coincidência: é resultado direto da explosão no uso de modelos de linguagem generativa, sistemas de recomendação baseados em IA e tecnologias de reconhecimento facial que dependem fundamentalmente do processamento de enormes volumes de dados pessoais.¹

Os maiores reguladores de dados do mundo, desde a Autoridade Nacional de Proteção de Dados (ANPD) do Brasil até a Comissão de Proteção de Dados da Irlanda, reconhecem que as estruturas regulatórias existentes não cobrem adequadamente os riscos emergentes da IA. A ANPD, em particular, realizou em 2025 um estudo preliminar sobre IA generativa que destacou lacunas críticas: questões sobre a legalidade do web scraping para treinar modelos, a responsabilidade quando sistemas de IA geram dados pessoais em seus resultados (conhecidos como “alucinações”), e o desafio de aplicar direitos de dados em contextos de processamento altamente automatizado.²

LGPD: O Cenário Brasileiro de Enforcement

A ANPD iniciou seu enforcement mais agressivo a partir de 2023, marcando uma mudança fundamental na abordagem regulatória. O primeiro caso de multa por violação da LGPD ocorreu em 2023, envolvendo a Telekall Infoservice, pequena empresa de telecomunicações que processava dados pessoais sem base legal, falhou em designar um Data Protection Officer (DPO) e obstruiu investigações. Embora a multa fosse pequena em termos absolutos – apenas BRL 14.400 (~$2.960) – seu valor simbólico foi enorme: sinalizava que nenhuma empresa, independentemente do tamanho, está imune ao enforcement regulatório.³

Desde então, a ANPD aplicou multas totalizando BRL 98 milhões (~$20 milhões) entre 2023 e 2025. Estruturalmente, as penalidades sob a LGPD podem atingir até 2% da receita anual de uma empresa no Brasil, com teto de BRL 50 milhões por violação. As sanções não-pecuniárias podem ser ainda mais severas: bloqueio de dados, exclusão permanente de informações coletadas, e divulgação pública da violação – o que causa dano reputacional muitas vezes maior que qualquer multa.⁴⁵³

Setores como saúde, finanças e empresas de tecnologia com foco em IA têm sido os principais alvos da ANPD. Isso ocorre porque essas organizações típicamente processam grandes volumes de dados sensíveis e, frequentemente, utilizam essas informações para treinar sistemas de inteligência artificial. A autoridade brasileira reconhece que, enquanto a LGPD oferece princípios fundamentais como finalidade, necessidade e segurança, aplicá-los a sistemas de IA generativa requer interpretação cuidadosa e orientações específicas ainda em desenvolvimento.⁶³

IA Generativa e LGPD: O Caso do ChatGPT

O caso mais emblemático de tensão entre IA e proteção de dados envolve a OpenAI e seu ChatGPT. Em julho de 2023, a ANPD abriu investigação formal sobre como o ChatGPT cumpria as obrigações da LGPD após receber reclamações públicas. Os problemas identificados eram numerosos e sistêmicos: a falta de base legal clara para processar dados de usuários europeus durante o treinamento do modelo, ausência de transparência sobre quais dados pessoais foram utilizados, impossibilidade de exercer direitos de acesso e exclusão, e a incapacidade do usuário de corrigir informações imprecisas geradas pelo sistema.⁷⁸

Pesquisadores brasileiros e internacionais apontaram que o ChatGPT viola múltiplos artigos da LGPD. O Princípio da Transparência (Art. 6, IV da LGPD) exige que os titulares de dados recebam “informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento”. Porém, a OpenAI não fornecia sequer informações básicas sobre quais dados pessoais eram coletados, como eram armazenados, com quem eram compartilhados ou por quanto tempo seriam retidos.⁸⁹

A situação se tornou tão preocupante que a Itália, cujo regulador Garante tem sido historicamente mais agressivo que a ANPD, bloqueou temporariamente o acesso ao ChatGPT em março de 2023, citando violações de GDPR. Embora o bloqueio tenha sido levantado após negociações, investigações subsequentes resultaram em uma multa de €15 milhões contra a OpenAI em dezembro de 2024, justificada pela falta de base legal para processamento de dados europeus, ausência de verificação real de idade de menores e insuficiência nas medidas de transparência.¹⁰¹¹⁷

Estudo Preliminar da ANPD sobre IA Generativa

Reconhecendo a urgência da questão, a ANPD publicou em 2025 um estudo preliminar que busca estabelecer marcos para conformidade com a LGPD em sistemas de IA generativa. O documento identifica quatro cenários críticos de processamento de dados:²

1. Treinamento de modelos com dados coletados da web: A ANPD confirma que dados pessoais publicamente disponíveis continuam protegidos pela LGPD. Operações de web scraping devem ter base legal específica (consentimento ou uma das hipóteses dos artigos 7 ou 11) e devem respeitar os princípios de boa fé, limitação de finalidade, adequação e necessidade. Muitas empresas que desenvolvem IA argumentam que dados “públicos” não merecem proteção, mas a ANPD refuta firmemente essa posição.²

2. Processamento de dados durante a interação do usuário com o modelo: Quando um usuário interage com um chatbot generativo fornecendo seus dados (mesmo em prompts), esses dados são processados e frequentemente armazenados para melhorar o sistema. A ANPD destaca a necessidade de transparência clara e direitos exercitáveis nesse contexto.²

3. Geração de dados pessoais na saída do modelo: Um dos cenários mais complexos envolve quando o sistema de IA gera ou infere informações pessoais em suas respostas. Se um usuário pergunta “quem é João Silva?” e o sistema gera informações sobre múltiplas pessoas com esse nome, incluindo dados potencialmente imprecisos ou sensíveis, uma cadeia de responsabilidade deve ser estabelecida entre o desenvolvedor da IA, a plataforma que oferece o serviço e o usuário que fez a consulta.²

4. Alucinações prejudiciais de IA: Quando modelos criam informações falsas mas específicas sobre indivíduos (por exemplo, atribuindo crimes ou condutas desonestas inexistentes a uma pessoa), isso pode violar direitos à dignidade e personalidade, gerando potencial responsabilidade civil e regulatória.²

Violações de GDPR e Multas Recordes na Europa

Enquanto isso, a Europa continua a ser o epicentro da aplicação rigorosa de proteção de dados. Em 2024, as autoridades de proteção de dados da UE emitiram €1,2 bilhões em multas por violações de GDPR, com muitos casos envolvendo diretamente tecnologias de IA ou seus usos indevidos.¹²

O caso Meta/Facebook: A Meta Platforms enfrentou a maior multa de proteção de dados da história: €1,2 bilhão em maio de 2023 por transferências ilegais de dados de usuários europeus para os EUA sem salvaguardas adequadas. Separadamente, em janeiro de 2023, foi multada em €390 milhões por exigir que usuários aceitassem publicidade personalizada baseada em IA como condição para usar o Facebook e Instagram, quando na verdade tal publicidade não era essencial aos serviços básicos de rede social. Mais recentemente, em setembro de 2024, foi novamente multada em €91 milhões por armazenar senhas de usuários em texto sem encriptação, uma falha de segurança elementar que viola o Art. 32 da GDPR sobre medidas técnicas e organizacionais adequadas.¹³¹⁴

O caso Clearview AI: Talvez nenhum caso melhor ilustre os perigos da IA sem regulação que o Clearview AI, uma empresa que criou uma base de dados de reconhecimento facial com mais de 40 bilhões de imagens coletadas ilegalmente da web. O Clearview realizava “scraping” de fotos de perfil de redes sociais, sites de notícias e outras fontes públicas sem consentimento, depois vendo acesso a essa base de dados a agências de aplicação da lei. Em maio de 2022, a autoridade de proteção de dados do Reino Unido multou Clearview em USD 9 milhões. A Holanda, em setembro de 2024, impôs a multa maior: €30,5 milhões, proibindo empresas holandesas de usar os serviços de Clearview. Investigações similares em França, Itália, Grécia e Austrália resultaram em multas adicionais e proibições.^15111612

O Clearview AI também violava gravemente a lei de privacidade da Califórnia (CCPA). Uma análise realizada por Consumer Watchdog demonstrou que o Clearview era incapaz de honrar solicitações de opt-out porque seus sistemas automaticamente re-coletavam imagens de indivíduos que já tinham ordenado exclusão. Além disso, como o Clearview nunca verificava a idade dos indivíduos nas imagens que colecionava, estava de fato construindo um banco de dados de crianças sem consentimento dos pais, violando proteções federais e estaduais específicas para menores.¹⁶

O caso OpenAI/ChatGPT na Itália: Além da investigação brasileira, a Itália multou OpenAI em €15 milhões em dezembro de 2024. A multa específica foi por falta de transparência sobre como dados eram coletados e usados para treinar o ChatGPT, ausência de verificação real de idade de menores (permitindo que crianças criassem contas), e falta de base legal adequada para o processamento de dados de cidadãos europeus.¹¹¹⁰

Regulações Globais: GDPR, CCPA, PIPL e DPDPA

Enquanto a LGPD brasileira ainda desenvolve sua jurisprudência e enforcement sobre IA, outras regiões implementam marcos regulatórios complementares. O GDPR europeu permanece o modelo mais rigoroso e influente globalmente. A GDPR estabeleceu o precedente de multas colosais e de aplicação consistente que incentiva conformidade genuína. Suas exigências sobre consentimento explícito, bases legais claras, direitos de dados e avaliações de impacto de privacidade tornaram-se o padrão internacional.¹⁷¹⁸

Nos Estados Unidos, a Califórnia liderou com a CCPA em 2018, que protege residentes californianos com direitos de conhecer, deletar e optar por não participar do compartilhamento de dados pessoais. A lei incluiu proteções especiais para dados biométricos, diretamente relevantes para tecnologias de reconhecimento facial baseadas em IA. Porém, a aplicação da CCPA tem sido desigual; muitos aplicativos móveis continuam violando suas disposições. Um estudo demonstrou que 80% dos aplicativos analisados coletavam identificadores persistentes sem divulgação adequada, 30% coletavam dados de geolocalização e 26% coletavam dados sensoriais, tudo frequentemente sem consentimento claro.¹⁹²⁰²¹

A China promulgou a Lei de Proteção da Privacidade de Informações Pessoais (PIPL) em 2021, que, embora inspirada no GDPR, reflete prioridades diferentes. A PIPL exige rigorosa localização de dados especialmente para “operadores de infraestrutura crítica” e dados considerados sensíveis pelo governo. Enquanto o GDPR enfatiza direitos individuais dos titulares de dados, a PIPL prioriza segurança nacional e controle estatal, permitindo ao governo avaliar transferências de dados e impor restrições que vão além da privacidade. Para IA, essa abordagem significa que sistemas de IA chineses podem estar sujeitos a escrutínio governamental mais intenso, mas também podem ter menos liberdade para inovar em direções que o estado considere arriscadas.²²²³

A Índia, reconhecendo os desafios específicos de seus mercados, implementou a Lei de Proteção de Dados Digitais Pessoais (DPDPA) em 2023. Estudos iniciais apontam lacunas críticas da DPDPA em regular IA, especialmente quanto à transparência de algoritmos, correção de vieses em IA e responsabilidade por tomada de decisão automatizada.²⁴

Os Desafios Técnicos e Legais da IA e Proteção de Dados

Web Scraping e Treinamento de Modelos

Um dos maiores pontos de tensão envolve a coleta de dados para treinar modelos de IA. Empresas como Google, OpenAI e Meta argumentam que o web scraping de dados publicamente disponíveis é lícito e necessário para desenvolver sistemas de IA. Porém, reguladores globais discordam fundamentalmente.

Em agosto de 2023, 12 autoridades internacionais de proteção de dados e privacidade – incluindo a ANPD, ICO do Reino Unido e OAIC da Austrália – emitiram uma declaração conjunta criticando o web scraping em larga escala de plataformas sociais. Observaram que empresas estavam coletando dados pessoais em escala massiva para revender a terceiros (potencialmente atores maliciosos) com fins lucrativos, elevando risco de fraude de identidade, ataques cibernéticos direcionados e uso não autorizado de dados para fins políticos ou de inteligência estrangeira.²⁵

A questão legal é complexa: dados tecnicamente públicos (um perfil aberto no LinkedIn, uma foto compartilhada no Facebook) ainda são dados pessoais sob a LGPD e GDPR. Processá-los para fins de treinar IA requer base legal. Consentimento é raramente obtido explicitamente. A alternativa legal – “interesse legítimo” – é também contestável, pois tribunais e reguladores cada vez mais exigem demonstração clara de que o benefício para a empresa supera o direito à privacidade dos indivíduos.¹⁸²⁶²

Viés Algorítmico e Discriminação

Um segundo desafio emergente envolve viés e discriminação em sistemas de IA. A detecção de viés frequentemente requer análise de dados sensíveis especialmente protegidos sob a GDPR e LGPD (por exemplo, raça, gênero, religião, saúde). Porém, a GDPR Art. 9 proíbe explicitamente o processamento de tais dados sem consentimento explícito ou excepções muito restritas.²⁷

A UE AI Act, que entrou em vigor parcialmente em 2025, permite que desenvolvedores de sistemas de IA de alto risco processem dados especiais “na medida estritamente necessária para fins de garantir monitoramento, detecção e correção de vieses”. Contudo, essa permissão pode estar em tensão com a GDPR, deixando organizações em dilema: ou falham em testar adequadamente vieses (violando a AI Act) ou processam dados sensíveis (violando GDPR).²⁷

Casos reais ilustram as consequências práticas. Um algoritmo de contratação da Amazon foi descoberto discriminando mulheres porque foi treinado em dados históricos de um setor dominado por homens. Um sistema de detecção de fraude da State Farm foi processado por discriminar segurados negros, porque seus dados de treinamento funcionavam como proxy para raça. Algoritmos de policiamento preditivo foram documentados como desproporcionalmente direcionando comunidades de minorias.²⁸²⁹

Memorização e Vazamento de Dados em LLMs

Um terceiro desafio envolve a memorização involuntária de dados sensíveis por modelos de linguagem grandes. Pesquisas demonstram que LLMs memorizam strings únicos – emails, números de identidade, contas bancárias – particularmente quando esses dados aparecem raramente nos dados de treinamento. Esses dados podem então vazar através de prompts, outputs, ou rastros de execução de ferramentas em sistemas multi-agente.¹

A PROTECTO.AI, em seu relatório 2025 sobre privacidade de IA, identificou que 26% das organizações admitem que dados sensíveis chegam a sistemas públicos de IA, mas apenas 17% implementam controles técnicos para bloquear ou monitorar tal uso. Quando um gerente de atendimento ao cliente cola o número de seguro social de um cliente em um ChatGPT público, esse dado entra em servidores de terceiros, potencialmente é incorporado em dados de treinamento futuro, e pode vazar indefinidamente.¹

Multas, Conformidade e Tendências Futuras

Valor e Severidade das Multas

O GDPR estabeleceu precedente de multas devastadoramente altas. A multa de €1,2 bilhão contra Meta em 2023 foi histórica. Contudo, em 2024, o total de multas de GDPR caiu 33% em relação a 2023, atingindo €1,2 bilhões para todo o ano. Isso não significa diminuição em enforcement, mas possível consolidação: multas maiores, menos frequentes, mas mais consequentes.¹²¹³

O padrão emergente é também de “enforcement pessoal”. Após o caso Clearview AI, a autoridade holandesa começou a investigar se pode responsabilizar pessoalmente os diretores da empresa por violações. Isso sinaliza mudança importante: não apenas corporações, mas executivos individuais podem ser pessoalmente culpados. Em 2025, espera-se mais “naming and shaming” – identificação pública de indivíduos responsáveis – como ferramenta de enforcement.¹²

Custos Além das Multas

As consequências financeiras vão muito além das multas. Um estudo 2025 de Baker Donelson sobre custos de violações de dados mostrou que shadow AI (sistemas de IA não monitorados, frequentemente usado por funcionários) agregou USD 670.000 ao custo médio de uma violação. Quando AI não gerenciada está envolvida, violações tipicamente expõem mais dados pessoais identificáveis (65% vs. baseline) e propriedade intelectual (40% vs. baseline), frequentemente armazenados em múltiplos ambientes que amplificam o dano.³⁰

Custódio cibercriminoso estimou custos globais de criminalidade cibernética em USD 10,5 trilhões para 2025, com brechas alimentadas por IA entre as mais rápido crescendo.¹

Tendências de 2025 e Além

Várias tendências moldarão o enforcement e conformidade em 2025 e futuro:

1. Regulação horizontal da IA: Enquanto o GDPR é vertical (focado em proteção de dados), a UE AI Act é horizontal (focado em risco geral de IA). Ambas crescentemente se sobrepõem, exigindo que organizações naveguem dois frameworks regulatórios simultaneamente. Brasil provavelmente seguirá modelo similar, desenvolvendo legislação de IA complementar à LGPD.³¹⁶

2. Responsabilidade de terceiros: Conforme IA prolifera em cadeias de suprimento, responsabilidade por violações está fluindo a montante e jusante da cadeia. Quando publicidades da Suécia usam Facebook Pixel sem consentimento apropriado, a Suécia multa não apenas Meta, mas os site owners que implementaram a ferramenta. Terceirizadores e provedores de serviços em nuvem são igualmente responsáveis por conformidade.³²¹³

3. Pressão regulatória sobre modelos de linguagem generativa: À medida que investigações iniciais (Itália contra OpenAI, Brasil contra ChatGPT, Canadá contra múltiplas plataformas) amadurecem, espera-se onda de enforcement contra provedores de LLM generativa. Questões de transparência, consentimento e acesso a direitos permanecerão prioritárias.

4. Conformidade de IA para pequenas e médias empresas: Enquanto grandes corporações foram alvos de multas, reguladores como ANPD estão claro sinalizando que nenhuma organização está acima da lei. Telekall Infoservice, pequena empresa de telecomunicações, recebeu primeira multa LGPD. Pequenos desenvolvedores de IA, freelancers que trenam modelos e startups precisarão demonstrar conformidade ou enfrentar sanções.

Conclusão: O Caminho para Frente

As violações da LGPD e proteção de dados globais envolvendo inteligência artificial não são anomalias – são manifestações de um descompasso fundamental entre a velocidade da inovação tecnológica e a capacidade de reguladores de acompanhá-la. Empresas que constroem sistemas de IA estão operando frequentemente em zonas cinzentas regulatórias, e algumas evidentemente em violação clara de leis de proteção de dados.

A boa notícia é que reguladores globais – de Brasil a Europa a China – estão se mobilizando. A ANPD publicou orientações preliminares sobre IA. A UE implementou a AI Act. Multas recordes sinalizaram que conformidade não é opcional.

Para organizações que desenvolvem ou usam IA, a conformidade com LGPD, GDPR, CCPA, PIPL e outras leis requer:

• Auditorias rigorosas de dados: Mapear exatamente quais dados pessoais são coletados, processados e compartilhados em cada estágio do ciclo de vida de IA (treino, operação, refinamento).
• Bases legais defensíveis: Não confiar em “interesse legítimo” vago; documentar consentimento explícito ou excepção legal clara.
• Transparência radical: Divulgar claramente a usuários e titulares de dados como IA funciona, quais dados são utilizados, e como podem exercer direitos.
• Testes de viés e discriminação: Mesmo em tensão com GDPR, implementar testes robustos de viés, idealmente envolvendo dados real-worldmente representativos.
• Redução de exposição: Minimizar dados pessoais processados através de técnicas como federated learning, privacidade diferencial e anonimização.
• Documentação: Manter trilhas de auditoria completas de todas as decisões sobre tratamento de dados, para demonstração de conformidade em investigações.

O futuro da IA será definido não apenas por inovação técnica, mas por capacidade de inovar de forma responsável, respeitando direitos humanos fundamentais à privacidade. Reguladores como a ANPD estão sinalizando que essa capacidade é não-negociável. ^{33343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101}

1. https://www.protecto.ai/blog/ai-data-privacy-concerns-risk-breaches ↩ ↩² ↩³ ↩⁴

2. https://fpf.org/blog/brazils-anpd-preliminary-study-on-generative-ai-highlights-the-dual-nature-of-data-protection-law-balancing-rights-with-technological-innovation/ ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷

3. https://www.compliancehub.wiki/breaches-and-fines-under-brazils-lei-geral-de-protecao-de-dados-lgpd-2/ ↩ ↩² ↩³

4. https://goadopt.io/en/blog/fines-in-LGPD/ ↩

5. https://usercentrics.com/knowledge-hub/brazil-lgpd-general-data-protection-law-overview/ ↩

6. https://iapp.org/news/a/what-brazil-s-anpd-expects-from-companies-using-generative-ai ↩ ↩²

7. https://fpf.org/blog/how-data-protection-authorities-are-de-facto-regulating-generative-ai/ ↩ ↩²

8. https://www.medianama.com/2023/05/223-chatgpt-brazilian-data-protection-law-ai-regulation/ ↩ ↩²

9. https://pbcompliance.com.br/publicacao/lgpd-banimento-do-chatgpt-na-italia-e-os-reflexos-no-brasil/ ↩

10. https://data-privacy-office.eu/fines-for-gdpr-violations-in-ai-systems-and-how-to-avoid-them/ ↩ ↩²

11. https://vinciworks.com/blog/the-biggest-data-protection-gdpr-and-ai-stories-of-2024/ ↩ ↩² ↩³

12. https://www.infosecurity-magazine.com/news/gdpr-fines-total-2024/ ↩ ↩² ↩³ ↩⁴

13. https://www.adamigo.ai/blog/top-gdpr-fines-for-meta-ads-violations ↩ ↩² ↩³

14. https://www.statista.com/statistics/1192794/meta-fines-from-eu-and-dpc/ ↩

15. https://iapp.org/news/a/training-ai-on-personal-data-scraped-from-the-web ↩

16. https://consumerwatchdog.org/privacy/ca-attorney-general-and-leading-consumer-privacy-agency-urged-to-prevent-clear-and-present-danger-to-privacy-by-clearview-ai-facial-recognition-software/ ↩ ↩²

17. https://hstalks.com/doi/10.69554/XACT2373/ ↩

18. https://ieeexplore.ieee.org/document/10084347/ ↩ ↩²

19. https://petsymposium.org/popets/2023/popets-2023-0072.pdf ↩

20. https://oag.ca.gov/privacy/ccpa ↩

21. https://www.clarip.com/data-privacy/california-privacy-law-facial-recognition/ ↩

22. https://ipr.blogs.ie.edu/2025/01/27/how-do-the-european-unions-gdpr-and-chinas-pipl-regulate-cross-border-data-flows/ ↩

23. https://www.china-briefing.com/news/pipl-vs-gdpr-key-differences-and-implications-for-compliance-in-china/ ↩

24. https://rrijm.com/index.php/RRIJM/article/view/107 ↩

25. https://www.minterellison.com/articles/ai-and-scraped-data-data-protection-implications ↩

26. https://iapp.org/news/a/training-ai-on-personal-data-scraped-from-the-web/ ↩

27. https://data-privacy-office.eu/ai-bias-vs-data-privacy-can-the-eus-laws-find-balance/ ↩ ↩²

28. https://www.dataguard.com/blog/growing-data-privacy-concerns-ai/ ↩

29. https://www.quinnemanuel.com/the-firm/publications/when-machines-discriminate-the-rise-of-ai-bias-lawsuits/ ↩

30. https://www.bakerdonelson.com/webfiles/Publications/20250822_Cost-of-a-Data-Breach-Report-2025.pdf ↩

31. https://policyreview.info/pdf/policyreview-2024-3-1790.pdf ↩

32. https://secureprivacy.ai/blog/meta-consent-mode-explained-2025 ↩

33. https://arxiv.org/pdf/2205.09897.pdf ↩

34. https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2025/facial-recognition-and-privacy-concerns-and-solutions-in-the-age-of-ai ↩

35. http://dergipark.org.tr/en/doi/10.30561/sinopusd.1353944 ↩

36. https://ndujournal.ndu.edu.pk/site/article/view/229/164 ↩

37. https://ieeexplore.ieee.org/document/10775891/ ↩

38. https://belugyiszemlejournal.org/index.php/belugyiszemle/article/view/2055 ↩

39. https://ejurnal.politeknikpratama.ac.id/index.php/jhpis/article/view/3837 ↩

40. https://kuey.net/index.php/kuey/article/view/10320 ↩

41. https://djhr.revistas.deusto.es/article/view/3200 ↩

42. https://injurlens.bdproject.co.id/index.php/injurlens/article/view/104 ↩

43. https://conflictandhealth.biomedcentral.com/articles/10.1186/s13031-024-00604-6 ↩

44. https://economic-bulletin.com/index.php/journal/article/view/852 ↩

45. https://pmc.ncbi.nlm.nih.gov/articles/PMC10476881/ ↩

46. https://www.cambridge.org/core/services/aop-cambridge-core/content/view/3C143E501E0824C8F9F0C40925965F43/S1537592723002827a.pdf/div-class-title-a-global-analysis-of-transgender-rights-introducing-the-trans-rights-indicator-project-trip-div.pdf ↩

47. https://pmc.ncbi.nlm.nih.gov/articles/PMC10286185/ ↩

48. https://pmc.ncbi.nlm.nih.gov/articles/PMC9494011/ ↩

49. https://pmc.ncbi.nlm.nih.gov/articles/PMC5451102/ ↩

50. https://pmc.ncbi.nlm.nih.gov/articles/PMC9790938/ ↩

51. https://onlinelibrary.wiley.com/doi/10.1002/jia2.26311 ↩

52. https://esj.eastasouth-institute.com/index.php/eslhr/article/download/91/65 ↩

53. https://www.lickslegal.com/post/more-sanctions-applied-by-the-brazilian-data-protection-authority-signal-that-violations-of-the-lgpd-will-not-be-tolerated ↩

54. https://www12.senado.leg.br/ril/edicoes/59/233/ril_v59_n233_p201.pdf ↩

55. https://thunderbit.com/blog/key-ai-data-privacy-stats ↩

56. https://wpcdn.idp.edu.br/idpsiteportal/2022/04/International_Dialogue-_on_LGPD_-Implementation_in_the_context_of_Global_DataProtection_English.pdf ↩

57. https://breached.company/real-world-examples-of-lgpd-fines-and-enforcement-actions-in-brazil/ ↩

58. https://www.tandfonline.com/doi/pdf/10.1080/13600869.2024.2351671?needAccess=true ↩

59. https://periodicorease.pro.br/rease/article/download/17054/9549 ↩

60. https://www.scielo.br/j/csp/a/mwFQB7k87vNkS4cHgBWmy4P/?format=pdf\&lang=en ↩

61. https://www.scielo.br/j/emquestao/a/w3xQNy4bnytwK6MxzgyKgsy/?format=pdf\&lang=pt ↩

62. http://www.scielo.br/pdf/aabc/v90n2/0001-3765-aabc-90-02-01279.pdf ↩

63. https://www.nucleodoconhecimento.com.br/wp-content/uploads/2021/04/Lei-Geral-De-Protecao-De-Dados-Pessoais-8211-LGPD.pdf ↩

64. https://periodicorease.pro.br/rease/article/download/16492/9106 ↩

65. https://sol.sbc.org.br/journals/index.php/isys/article/download/1235/1784 ↩

66. https://cedpo.eu/wp-content/uploads/generative-ai-the-data-protection-implications-16-10-2023.pdf ↩

67. https://www.tauilchequer.com.br/en/insights/publications/2024/02/anpd-applies-first-sanctions-of-2024 ↩

68. https://seer.ucp.br/seer/index.php/LexHumana/article/view/3121 ↩

69. https://iapp.org/news/a/lessons-from-brazilian-dpa-sanctions-to-date ↩

70. https://vestnik.ku.edu.kz/jour/article/view/2287 ↩

71. https://www.mdpi.com/2227-9091/13/9/160 ↩

72. https://janesthanalgcritcare.biomedcentral.com/articles/10.1186/s44158-025-00278-3 ↩

73. https://fepbl.com/index.php/csitrj/article/view/2060 ↩

74. https://biss.pensoft.net/article/136839/ ↩

75. https://ieeexplore.ieee.org/document/11199026/ ↩

76. https://www.semanticscholar.org/paper/9c435c32bf903734d7b485043ae66857a2300f66 ↩

77. https://ieeexplore.ieee.org/document/9599471/ ↩

78. https://linkinghub.elsevier.com/retrieve/pii/S0306437921001009 ↩

79. http://arxiv.org/pdf/2409.13721.pdf ↩

80. https://www.tandfonline.com/doi/pdf/10.1080/13510347.2024.2353706?needAccess=true ↩

81. https://arxiv.org/pdf/2404.11476.pdf ↩

82. https://petsymposium.org/popets/2023/popets-2023-0088.pdf ↩

83. https://arxiv.org/pdf/1809.05762.pdf ↩

84. https://sciendo.com/pdf/10.2478/vjls-2022-0007 ↩

85. https://www.palqee.com/blog/2021/what-to-know-chinese-pipl/ ↩

86. https://www.cookieyes.com/blog/gdpr-fines/ ↩

87. https://ijsra.net/node/7048 ↩

88. https://c5k.com/12-6-68-article/HI240005 ↩

89. https://gjeta.com/node/1788 ↩

90. https://internationalpubls.com/index.php/pmj/article/view/4054 ↩

91. https://ijsrcseit.com/CSEIT2390683 ↩

92. https://www.ijfmr.com/research-paper.php?id=42672 ↩

93. https://cjc.utpjournals.press/doi/10.3138/cjc.2022-0030 ↩

94. https://wjarr.com/node/18774 ↩

95. https://www.sciendo.com/article/10.2478/eustu-2024-0019 ↩

96. http://arxiv.org/pdf/2403.10558.pdf ↩

97. https://arxiv.org/pdf/2502.10413.pdf ↩

98. https://arxiv.org/pdf/2304.00944.pdf ↩

99. https://arxiv.org/pdf/2412.15590.pdf ↩

100. http://arxiv.org/pdf/2410.03925.pdf ↩

101. http://arxiv.org/pdf/2112.07879.pdf ↩