A Lei Geral de Proteção de Dados (LGPD) completou seu 3º aniversário de vigência no último dia 18. Aderindo ao contexto global, que já caminha no sentido da estabilização do ambiente protetor de dados pessoais, o Brasil ainda engatinha nesse terreno. Não há dúvidas, porém, quanto aos pequenos passos que vêm sendo dados no sentido de viabilizar um ambiente favorável e propulsor da proteção de dados pessoais no Brasil.
Em comemoração ao marco dos 5 anos de existência e 3 anos de vigência da LGPD, destacam-se alguns eventos de relevo substancial, os quais serão pontuados neste breve texto.
Importante contextualizar que, inicialmente, o caminho até a implementação foi precedido pelo entendimento da importância da privacidade na era tecnológica. Praticamente todos os brasileiros estão diariamente conectados com a internet e, consequentemente, com plataformas que tratam seus dados pessoais com frequência.
Vêm crescendo, no Brasil, as notificações de vazamentos de dados por parte de empresas, repartições e entidades em geral. Isso ocorre porque a LGPD determina que o portador de dados de terceiros faça um Comunicado de Incidentes de Segurança (CIS) à Autoridade Nacional de Proteção de Dados (ANPD), e ao titular das informações, sempre que houver vazamento capaz de acarretar risco ou danos relevantes ao cidadão. Entre 2021 e 2022, por exemplo, o crescimento nas notificações foi de 54,3%.
A ANPD, já mencionada, é a Autarquia vinculada ao Ministério da Justiça e Segurança Pública responsável por zelar pela proteção de dados pessoais e regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil. Cumpre salientar que a agência ainda está se estruturando e formando seus quadros, tendo promovido seu primeiro concurso em janeiro deste ano. Muitos processos, portanto, ainda estão na fase administrativa, a maioria ligados a instituições da administração pública e empresas dos setores de saúde, educação, financeiro e tecnologia da informação.
Nesse sentido, as sanções só foram regulamentadas no último mês de fevereiro do ano em curso pela ANPD, com a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, estabelecendo parâmetros e critérios para aplicação de penalidades, levando em consideração a gravidade e a natureza da infração, os danos causados aos titulares dos dados, a vantagem auferida/pretendida, a reincidência e, também, o porte econômico do infrator, visando garantir a proporcionalidade da penalidade de acordo com o caso concreto e suas particularidades.
A primeira multa foi aplicada apenas em julho de 2023, à uma microempresa de telecomunicações de Vila Velha/ES. Após uma advertência, aplicou-se a multa total de R$ 14,4 mil, em decorrência da falta de indicação do encarregado pelo tratamento de dados pessoais. Apesar do valor baixo, a sanção carrega consigo o simbolismo de transmitir a mensagem de que a proteção de dados pessoais é uma prioridade e deve ser tratada com cuidado e responsabilidade.
Para além das iniciativas encampadas pela ANPD, uma série de acontecimentos se destacam, no que pertine evidenciar a evolução do ambiente de proteção de dados. Um dos principais foi a inclusão, por meio da Emenda Constitucional 115, em março de 2022, da proteção de dados pessoais no rol de direitos fundamentais do cidadão, atribuindo à União a competência de legislar, organizar e fiscalizar a proteção e o tratamento desses dados.
O direito fundamental à proteção de dados assume particular relevância diante da existência de uma série de lacunas regulatórias, posto que a LGPD não contempla os setores da segurança nacional, segurança pública, investigação criminal e execução penal, dentre os mais relevantes. Por tal motivo, finda-se uma “zona livre” de proteção dos dados pessoais no ordenamento jurídico nacional. Acrescente-se que, a teor do artigo 5º, §§ 2º e 3º, CF, o marco normativo que concretiza e formata o âmbito de proteção e as funções e dimensões do direito à proteção de dados é também integrado pelos tratados internacionais de direitos humanos ratificados pelo Brasil.
Outro marco importante ocorreu em novembro do ano de 2021, quando a Comissão de Fiscalização Financeira e Controle realizou audiência pública sobre o tema, e o deputado Elias Vaz (PSB-GO), que pediu o debate, afirmou que cidadãos e parlamentares têm requisitado informações do governo com base na Lei de Acesso à Informação (LAI) e estão tendo negativas, em função da LGPD. As autoridades ouvidas garantiram que não há conflitos entre as leis e afirmaram que o acesso a informações de órgãos públicos e de agentes públicos não pode ser prejudicado por interpretações equivocadas da LGPD. Na ocasião, a então diretora da Autoridade Nacional de Proteção de Dados, Miriam Wimmer, ressaltou que a transparência era a regra, e o sigilo, a exceção.
No último mês de março, representantes de 60 municípios estiveram em Porto Alegre/RS para o 2° Fórum de Proteção de Dados Pessoais dos Municípios. Em pauta, uma discussão sobre a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), realizado em parceria com prefeitura da capital gaúcha e a Frente Nacional de Prefeitos (FNP), reunindo mais de 200 participantes e demonstrando, na prática, o dever do Poder Público como um dos agentes implementadores do aculturamento tão desejado.
Já no âmbito judicial, mais recentemente, duas ações coletivas diferentes protocoladas pelo Instituto Defesa Coletiva levaram à uma decisão da Justiça mineira que determinou o pagamento de danos morais coletivos no valor de R$ 20 milhões, pelo Facebook, em decorrência de vazamentos de dados ocorridos em 2018 e 2019, quando hackers conseguiram burlar a segurança do Facebook e acessar dados de milhões de pessoas.
Há previsão, ainda, de que R$5 mil devem ser desembolsados para indenizar individualmente cada usuário afetado que entrar com ação contra a empresa. Trata-se de importante decisão judicial com base na LGPD, o que abre margem para mais demandas do tipo e a potencialização da conscientização quanto aos cuidados a serem tomados pelos tratadores de dados.
Por fim, importante pontuar que, neste ano, a Confederação Nacional da Indústria (CNI) lançou o Guia de Boas Práticas de Proteção de Dados para a Indústria, bem como que a ANPD divulgou, em agosto, seu Relatório de Acompanhamento Semestral da Agenda Regulatória 2023-2024, constatando avanços da participação social no processo de regulamentação e elaboração de guias orientativos, como a consulta e audiência pública, por meio das quais a Autoridade recebeu 4.256 contribuições da sociedade.
Pois bem.
Entende-se que o processo agora é de amadurecimento. Era sabido que, nos primeiros anos, a insegurança do mercado e o desconhecimento por parte da sociedade civil ainda perdurariam. Aos poucos, certamente, a população e as empresas têm se conscientizado a respeito de seus direitos e da necessidade de proteção dos dados pessoais, e um indício desse esclarecimento é a alta de mais de 500% no número de ações judiciais que discutem a aplicação da LGPD, conforme levantamento realizado pelo escritório Mattos Filho. A maioria das demandas ao longo dos anos foi ajuizada por titulares de dados, representando mais de 90% no universo analisado.
Ademais, segundo a Associação Brasileira das Empresas de Software (Abes), em relatório publicado, 86% das grandes empresas brasileiras alegam manter monitoramento e tratamento da privacidade de dados perante à LGPD mas, entre elas, a restrição orçamentária e o balanceamento das prioridades de oportunidades, apontados por, respectivamente, 72% e 50% das empresas, o que, evidentemente, resulta na limitação dos investimentos de segurança e TI.
Conclui-se, diante dos pontos aduzidos, que a regulação, por meio da ANPD, vai mais no sentido da orientação e prevenção do que propriamente de repressão por multas, deixando claro que penalizar não é uma prioridade agora. A organização social e o aculturamento da proteção de dados no Brasil é, indiscutivelmente, a pauta principal. O caminho é longo e, como demonstrado, a proteção de dados ainda não atingiu o status prioritário em todos os setores econômicos, porém, os marcos aqui destacados dão bons sinais de que a perspectiva adiante é positiva, tornando a segurança da informação ainda mais importante para a adequação ao mercado atual.
Por: André Garcia Filho
