A Lei Geral de Proteção de Dados Pessoais (LGPD) mudou completamente o mercado. Desde que foi aprovada, e posteriormente com a sua entrada em vigor, a lei trouxe ampla visibilidade aos temas privacidade e proteção de dados, e fez com que as empresas precisassem mudar suas práticas para se adequar aos requisitos estipulados pela legislação.
Antes da LGPD era comum que as organizações coletassem todos os dados possíveis, armazenando-os indefinitivamente, sem qualquer finalidade clara para tanto, com base numa suposta expectativa de que aquelas informações pudessem se tornar relevantes em algum momento do futuro.
Depois que a lei entrou em vigor, em 18 de setembro de 2020, os agentes econômicos passaram a tomar diversos cuidados adicionais na hora de coletar dados de seus clientes e empregados, realizando uma avaliação prévia se há real necessidade para essa coleta, o que será feito com essas informações e por quanto tempo esses dados serão guardados.
Essa mudança também foi paradigmática na própria relevância que passou a ser dada pelas pessoas ao assunto. Passados 3 anos desde a entrada em vigor da LGPD, período de tempo até curto para uma alteração drástica em práticas sociais, tem sido cada vez mais comum observar pessoas questionando empresas por qual razão seus dados pessoais estão sendo solicitados em determinados cenários, como, por exemplo, no momento de se realizar um cadastro na portaria de um prédio comercial.
Em aspectos de fiscalização, a LGPD também trouxe repercussões para vários órgãos. Embora a Autoridade Nacional de Proteção de Dados seja o órgão central de fiscalização da lei, antes do início de suas atividades houve vasta movimentação de órgãos de defesa do consumidor, como Ministérios Públicos e PROCONs, investigando práticas relativas ao tratamento de dados pessoais. Da mesma forma, surgiram diversas demandas judiciais ao redor do país, ajuizadas por titulares de dados, exigindo indenizações por eventuais violações à legislação, especialmente em casos de vazamentos de dados.
Dentre as obrigações previstas na LGPD, a que provavelmente foi mais significativa está relacionada à necessidade de transparência por parte dos agentes de tratamento, o que se reflete nos números de comunicações de incidentes de segurança recebidas pela ANPD nesse período.
De acordo com a legislação, quando uma empresa sofre um incidente de segurança (como um vazamento de dados) que possa ocasionar risco ou dano relevante aos titulares, ela é obrigada a comunicar esse fato à ANPD e aos titulares de dados afetados. Por essa razão, tornou-se costumeiro recebermos notificações por e-mail ou em redes sociais anunciando que uma determinada empresa sofreu um ataque cibernético ou outro tipo de incidente.
Mesmo com todas essas mudanças, ainda estamos muito aquém de termos no Brasil uma verdadeira cultura de privacidade, o que demanda ampla conscientização da população sobre o tema, uma das tarefas que precisará ser realizada em conjunto pela ANPD e pela sociedade.
Não há como negar que muita coisa mudou ao longo dos últimos 3 anos em aspectos de privacidade e proteção de dados. E, pelo andar da carruagem, os próximos anos devem marcar ainda mais a relevância da LGPD para o mercado.
*Felipe Palhares, sócio da área de Proteção de Dados e Cybersecurity do BMA Advogados
