A Lei Geral de Proteção de Dados Pessoais (Lei N.º 13.709), bastante conhecida como LGPD, completou recentemente 6 anos de vigência! Mesmo ainda em fase de evolução, a LGPD é, sem dúvida, um marco importante na história da proteção de dados no Brasil. O objetivo da LGPD é proteger os direitos fundamentais de privacidade e liberdade dos indivíduos, estabelecendo, assim, para empresas e organizações, públicas e privadas, independente do seu porte e atuação, diversas regras com relação ao tratamento de dados pessoais, que se entende como todo e qualquer tratamento (coleta, processamento, armazenamento, compartilhamento, transferência internacional, entre outros) de dados pessoais.
Os dados pessoais podem ser diretamente relacionados a um indivíduo (CPF, número do passaporte, dados bancários, fotos, biometria, placa do carro, entre outros) ou indiretamente a um indivíduo (preferências de consumo, filiação partidária, salário, cargo, dados de saúde, gênero, idade, informações de localização, convicção religiosa, dados que revelam origem racial ou étnica, entre outros).
Sob a ótica de titulares dos dados, precisamos celebrar este marco legislativo, eis que a proteção de dados é tida como um direito fundamental pela Constituição Federal e pelo Supremo Tribunal Federal. E, a partir desses marcos, passamos a ter uma conscientização maior sobre o valor dos nossos dados pessoais, bem como os nossos direitos em exigir o seu tratamento adequado e transparente pelas empresas. Para as organizações, o marco legislativo é de suma relevância, pois impulsionou essas organizações a repensarem a forma como vinham tratando os dados pessoais, a construírem uma governança de dados eficiente e uma cultura para proteção de dados mais robustas.
As empresas compreenderam melhor o fluxo de dados dentro da sua organização (funcionários, terceirizados, empregados) e fora dela (fornecedores, contratados, agentes regulatórios, parceiros), assim como a importância de adotar um robusto programa de conformidade de proteção de dados. Inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR – General Data Protection Regulation), a LGPD tem suas nuances e diferenças, começando pela sua história de proteção de dados.
Diferentemente da Europa, em que a cultura de proteção de dados já existia desde as Diretrizes Europeias de 1995 (antes do GDPR), no Brasil ainda temos um longo caminho de maturação sobre a cultura de proteção de dados e, apesar dos avanços e até de certa consciência de algumas empresas quanto às vantagens em adotar um projeto de conformidade com a LGPD, o certo é que ainda há muitas empresas que não deram a atenção ao tema ou que possuem um programa de proteção de dados ainda ineficiente. Vale destacar que o projeto de adequação à LGPD é fluído e deve ser revisto e atualizado constantemente.
Nesse terreno ainda árido por ausência de uma cultura sólida, precisamos lembrar que a LGPD também foi afetada pela pandemia. A necessidade de monitoramento e controle da disseminação do vírus e do aumento da conectividade e das atividades desempenhadas de forma on-line ressaltou a importância do tema. O mercado internacional exigiu que o Brasil também tivesse um nível de proteção de dados compatível com as normas internacionais e criasse um ambiente seguro e responsável quanto à proteção de dados. Porém, a pandemia também contribui para a LGPD adiar a sua entrada em vigor para agosto de 2020.
A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e fiscalizador, foi criado somente em novembro de 2020. E as sanções administrativas previstas pela LGPD foram adiadas para 1º de agosto de 2021. Inegável, portanto, que a pandemia e as dificuldades financeiras das empresas em investir em um projeto robusto de conformidade à LGPD, impactou na construção da cultura de proteção de dados no Brasil.
Somente a partir de 1º de agosto de 2021, a ANPD passou a aplicar sanções administrativas, que incluem advertência, multas que podem chegar a 2% do faturamento da empresa (limitada a R$ 50 milhões por infração), publicização da infração, bloqueio e eliminação dos dados pessoais, suspensão parcial ou total do funcionamento do banco de dados e até a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Além de ser um órgão regulador e fiscalizador da Lei Geral de Proteção de Dados Pessoais, a ANPD tem também um papel fundamental de disseminação de diretrizes e guias para orientar empresas e cidadãos sobre a aplicação da LGPD, buscando também conscientização e educação. Foram diversas as ações regulatórias da ANPD desde a sua constituição.
Todos esses avanços podem representar o copo meio cheio. Sob a ótica da fiscalização e aplicação de sanções para garantir o cumprimento da LGPD, porém, podemos ter o copo meio vazio, eis que a primeira multa só se deu em julho de 2023. Ainda há diversas lacunas e debates existentes, notadamente quanto a transferência internacional, relatório de impacto à proteção de dados pessoais, direitos dos titulares, detalhamento das hipóteses de tratamento de dados pessoais, tratamento de dados de crianças e adolescentes e a forma como a inteligência artificial (IA) vai interagir com a proteção de dados pessoais no Brasil – inclusive se a própria ANPD será o órgão responsável pela regulação e fiscalização da IA no país.
Os próximos anos prometem ainda muitos debates, regulações e uma necessidade de constante atenção das empresas, para que a sua conformidade, garantida nos inúmeros “projetos de adequação” realizados nos últimos anos, não se perca. A tendência é que o copo vá enchendo cada vez mais e que tenhamos, em pouco tempo, muito material de discussão, atenção na cultura de proteção de dados no Brasil e precedentes judiciais relevantes sobre o tema.
Convidado deste artigo
As informações e opiniões formadas neste artigo são de responsabilidade única do autor.
Este texto não reflete, necessariamente, a opinião do Estadão.
Os comentários são exclusivos para assinantes do Estadão.
