No último dia 14 de agosto a Lei Geral de Proteção de Dados Pessoais ("LGPD") completou quatro anos de promulgação, embora só tenha entrado em vigor mais de dois anos depois, em 18 de setembro de 2020.
Diferentemente da General Data Protection Regulation – norma análoga da Comunidade Europeia que serviu de inspiração para o legislador pátrio –, que apenas consolidou regras de privacidade e proteção de dados dos países membros em vigor há pelo menos 50 anos, a LGPD é inovadora para o ordenamento jurídico brasileiro, que até então não continha regras específicas para o tratamento de dados pessoais.
A LGPD fixa princípios, obrigações e direitos inerentes à proteção de dados pessoais, que, em consonância com os avanços alcançados na era digital, foi reconhecida pelo Supremo Tribunal Federal e alçada a garantia fundamental pela Emenda Constitucional 115, de fevereiro deste ano, que incluiu o inciso LXXIX no artigo 5º da Carta Magna.
Na sequência da promulgação da LGPD, foi criada a Autoridade Nacional de Proteção de Dados ("ANPD"), inicialmente vinculada ao governo federal e, desde a edição da Medida Provisória 1.124/22, transformada em autarquia com funções de agência, assegurando-lhe o mesmo grau de autonomia administrativa e independência técnica de que desfrutam órgãos como o Banco Central, a Agência Nacional de Vigilância Sanitária – Anvisa e a Agência Nacional de Telecomunicações – Anatel.
Ademais, em agosto de 2021, foram nomeados os vinte e três membros do Conselho Nacional de Proteção de Dados ("CNPD"), constituindo formalmente o órgão que compõe a estrutura da ANPD e serve de mecanismo de participação da sociedade na autoridade, com competência para, entre outras coisas, propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade.
Esse microssistema normativo e organizacional colocou o tema em evidência, exigindo de todas as empresas a adequação de suas práticas e, com isso, acelerando significativamente o processo de aculturamento da sociedade acerca da importância dos dados pessoais enquanto bem jurídico integrante dos direitos da personalidade e diante do crescente valor da informação.
De forma semelhante com o que aconteceu com a entrada em vigor do Código de Defesa do Consumidor – mas de forma bem mais célere – a promulgação da LGPD vem conscientizando a população sobre o tratamento de dados pessoais por terceiros, disponibilizando ferramentas para o exercício do direito à sua proteção.
No entanto, ainda há um bom caminho a percorrer: em uma pesquisa realizada pelo Procon de São Paulo, entre maio e junho de 2021, com mais de sete mil pessoas1, não obstante quase 90% dos entrevistados tenham dito saber o que é dado pessoal, só 45% acertaram a definição do termo e apenas 35% afirmaram conhecer a LGPD.
Esses dados foram confirmados por pesquisa realizada na mesma época pela Federação Brasileira de Bancos – FEBRABAN em conjunto com o Instituto de Pesquisas Sociais, Políticas e Econômicas – IPESPE2, em que 60% dos entrevistados afirmaram conhecer “só de ouvir falar” ou não conhecer a LGPD.
Do lado dos controladores e operadores dos dados pessoais, houve a preocupação em adotar medidas tendentes à adequação aos ditames da lei, não apenas em razão do receio frente às pesadas sanções previstas na LGPD, mas também diante da percepção de que o respeito às regras de privacidade e proteção de dados representa uma vantagem competitiva junto à concorrência.
Todavia, assim como no caso dos titulares dos dados pessoais, ainda há muito a fazer: conforme estudo da RD Station de janeiro a abril de 2021, com quase mil empresas3, 30% já haviam começado o processo de adequação à LGPD. Entre as de grande porte o percentual foi um pouco maior, chegando a 39%.
O resultado foi corroborado por estudo da plataforma Capterra, realizado em junho do ano passado com mais de trezentos gerentes ou coordenadores de pequenas e médias empresas4, das quais apenas 37% consideraram estar totalmente adequadas à LGPD.
Como se vê, nesta ponta também há espaço para evolução, sendo certo que o ritmo de adequação deve acelerar assim que tivermos a divulgação, pela ANPD, da tão esperada metodologia de dosimetria das penas, possibilitando a aplicação das sanções administrativas, e do consequente início dos procedimentos de fiscalização pela autoridade. Por outro lado, também se aguarda regulamento que limite a obrigação de adequação, estabelecendo critérios de exclusão de empresas com baixo volume de tratamento de dados.
No cenário internacional, a LGPD vem promovendo o alinhamento do Brasil às melhores práticas de proteção de dados pessoais adotadas em todo o mundo, contribuindo assim para o desenvolvimento econômico e tecnológico do país.
Enfim, não obstante ainda tenhamos enormes desafios pela frente, os avanços nestes últimos quatro anos foram enormes e, a despeito do olhar cético de muitos quando da promulgação da LGPD, trouxeram a certeza de que a privacidade e a proteção dos dados pessoais é um direito que veio para ficar.
Portanto, àqueles que seguem apostando que a LGPD “não vai pegar”, basta acessar o Portal de Violações da Agência Nacional dos Profissionais de Privacidade de Dados5 e verificar as sanções já aplicadas pelo Poder Judiciário em decorrência da violação à privacidade e à proteção de dados pessoais.
Finalmente, merece registro estar em vias de aprovação no Senado Federal o Projeto de Lei 2.076/2022, para que o dia 14 de agosto seja reconhecido oficialmente como o “Dia Nacional da Proteção de Dados”, favorecendo ações educativas e de conscientização sobre o tema.
__________
1 Pesquisa disponível aqui.