Desde a aprovação da LGPD em 2018, o Brasil fortaleceu a cultura de proteção de dados, evidenciada pela crescente conscientização da população e aumento da judicialização sobre o tema.
Símbolo maior dessa judicialização, em 2024, o MPF e o Idec ajuizaram uma ação contra o WhatsApp pedindo indenização de R$ 1,7 bilhão por danos morais coletivos. O MPF argumenta que a política de privacidade de 2021 violou a LGPD ao ser pouco transparente com os usuários e permitir o compartilhamento abusivo de dados com outras plataformas da Meta. O caso é inédito também por incluir a Autoridade Nacional de Proteção de Dados (ANPD) no polo passivo, sob acusação de omissão na fiscalização. O caso ainda não foi julgado, mas em decisão liminar o WhatsApp foi proibido de compartilhar dados com outras plataformas.
Já a própria ANPD abriu em novembro um processo sancionador contra o TikTok para investigar possíveis usos irregulares de dados de crianças e adolescentes. No centro da investigação está o recurso “feed sem cadastro” que permite que menores acessem a rede sem fazer login, tendo seus dados coletados e tratados pela plataforma para fins publicitários.
Embora as grandes empresas de tecnologia ocupem os holofotes da fiscalização, a judicialização está se expandindo para outros setores – incluindo pequenas e médias empresas. Conforme dados do Relatório LGPD nos Tribunais 2023, do qual fiz parte, o número de decisões judiciais relacionadas à LGPD mais que quadruplicou em um ano, saltando de 1.789 decisões em 2022 para 7.503 em 2023. Setores bancário, financeiro, telecomunicações e serviços de internet, que lidam com grandes volumes de dados pessoais, são frequentemente alvo de disputas judiciais. Além disso, a LGPD tem sido aplicada em debates relevantes na justiça trabalhista, como em pedidos de uso de dados de geolocalização para comprovação de jornada de trabalho, e mesmo para decretação de demissão por justa causa devido ao vazamento de dados de clientes por empregados.
Brasileiros mais alertas à privacidade de dados – Esta judicialização, por sua vez, é consequência da maior atenção que os brasileiros dedicam ao tema, e especialmente a dados biométricos. Segundo pesquisa do Cetic.br, 86% dos entrevistados expressaram preocupação ao fornecer suas impressões digitais, enquanto 82% relataram o mesmo em relação ao reconhecimento facial. Além disso, 24% dos usuários de internet afirmaram ter recorrido a algum canal de atendimento para fazer denúncias relacionadas a seus dados pessoais. Desses, 77% buscaram diretamente a empresa ou o órgão responsável, 69% utilizaram plataformas online de reclamação, 51% acionaram órgãos de defesa do consumidor, e 35% recorreram à ANPD.
Não é surpresa, portanto, que a pesquisa também tenha detectado pequenos avanços na adequação das empresas à LGPD, com aumento da conformidade tanto em pequenas (de 24% para 31%) quanto em grandes empresas (de 61% para 67%) entre 2021 e 2023. Com os brasileiros cada vez mais conscientes de seus direitos, os riscos para as empresas que não se adequarem vão além das sanções regulatórias, envolvendo também perdas reputacionais e custos associados a litígios judiciais.
Inteligência Artificial é o desafio da vez – A regulação da IA está estreitamente ligada à proteção de dados pessoais. Sistemas de IA são alimentados e treinados com grandes volumes de informações, incluindo dados pessoais, e podem afetar diretamente a privacidade dos cidadãos, como ocorre em situações de monitoramento remoto ao vivo por meio de reconhecimento facial.
O debate jurídico sobre IA se intensificou após o lançamento do ChatGPT para o público em geral, em 2022, culminando na aprovação em 2024 do Regulamento de Inteligência Artificial da União Europeia (IA Act). Lei de maior impacto até o momento a regular o uso de IA de forma abrangente, o IA Act estabelece regras mais rígidas, conforme o risco oferecido aos usuários do sistema de IA em questão. Alguns riscos, como manipulação comportamental, pontuação social (classificação de pessoas com base no comportamento ou características pessoais, como na China) e policiamento preditivo (análise de risco criminal com base em perfis ou traços pessoais) são considerados inaceitáveis e, por isso, banidos.
Veremos o verdadeiro impacto do IA Act a partir de 2025, embora haja preocupações de que a rigidez de suas regras possa comprometer a inovação – um dilema que o Brasil terá de enfrentar no debate do PL n° 2338/2023, que dispõe sobre o uso da IA no país. Nesse contexto, a ANPD recentemente abriu uma busca por parceiros que a ajudem a implementar um “sandbox regulatório” em IA, projeto de experimentação colaborativa entre o regulador (ANPD) e as empresas que busca promover inovação de forma segura dentro de um ambiente regulatório especial.
Regulamentação avança no Brasil – Por falar na ANPD, a autoridade deu passos importantes para consolidar o marco regulatório de proteção de dados no Brasil. Entre as principais iniciativas, destacam-se a emissão de três regulamentos que trouxeram mais segurança jurídica e transparência sobre incidentes de segurança (como vazamentos de dados), o papel do encarregado de dados e a transferência internacional de dados pessoais.
O primeiro regulamento (15/2024) tem como objetivo minimizar os danos causados por vazamentos, estabelecendo critérios para avaliar a gravidade dos incidentes e os deveres de comunicação das empresas envolvidas. O segundo (18/2024) detalha as responsabilidades do encarregado de dados, profissional criado pela LGPD que atua como intermediário entre os titulares dos dados, os responsáveis pelo tratamento e a ANPD. A nova norma trata das competências do cargo e da prevenção de conflitos de interesse, promovendo mais transparência e segurança no tratamento de dados.
Por fim, o terceiro regulamento (19/2024) estabelece regras para a transferência internacional de dados pessoais, trazendo maior segurança jurídica para as empresas e garantindo maior proteção aos direitos dos titulares. Sua relevância vai além da esfera jurídica, com impactos também na área econômica, pois, em uma economia cada vez mais globalizada, ele facilita a inserção do Brasil nos fluxos globais de dados. Nesse contexto, a Comissão Europeia está em discussões com o Brasil para incluir o país na lista de países adequados, o que permitiria a transferência de dados pessoais sem a necessidade de medidas adicionais, reduzindo custos de transação.
Essas iniciativas demonstram o esforço contínuo da ANPD em consolidar um ambiente regulatório robusto, promovendo a proteção de dados pessoais e alinhando o Brasil às melhores práticas internacionais.
Para 2025 e além, podemos esperar regulamentações sobre temas que ainda carecem de atenção, como a proteção de dados pessoais de crianças e adolescentes na internet, especialmente em um contexto de superexposição desse público (como fenômenos de influencers mirins e a coleta massiva de dados de menores por plataformas online). Será igualmente necessário um maior foco na regulação do uso de dados pessoais (incluindo dados genéticos e biométricos) nos setores de saúde e segurança pública.
À medida que a IA se torna cada vez mais central nos negócios, a governança e a responsabilização ganham urgência. Com o surgimento de novas ameaças e riscos cibernéticos, a legislação de proteção de dados precisará evoluir para garantir os direitos fundamentais das pessoas, sem restringir a inovação necessária.