Impressões Digitais

Cinco anos de LGPD: avanços e perspectivas da privacidade e da proteção de dados pessoais no Brasil

Na era digital, com avanços em big data, internet das coisas e inteligência artificial, dependentes do tratamento de dados pessoais, é crucial aprimorar regras que assegurem privacidade e segurança. Educação, fiscalização, sancionamento e a consolidação de jurisprudência são essenciais nesse contexto.

10/11/2023

Pouco mais de cinco anos atrás, mais precisamente em 14/8/18, era publicada a lei 13.709, a denominada Lei Geral de Proteção de Dados Pessoais – LGPD, inaugurando no Brasil um regramento específico sobre privacidade e proteção de dados pessoais.

Vista inicialmente com certo ceticismo – muitos apostavam que a lei “não ia pegar” – o tempo comprovou que a LGPD veio para ficar, se incorporando rapidamente às regras de governança das empresas e à cultura do brasileiro, seguindo tendência observada em âmbito mundial, especialmente entre os países integrantes da União Europeia, onde, embora a legislação de proteção de dados pessoais exista pelo menos desde a década de 1970, o tema ganhou enorme projeção a partir da entrada em vigor da General Data Protection Regulation – GDPR, também em 2018, consolidando as normas até então existentes sobre a matéria.

Prova maior da importância dada à privacidade foi a publicação da Emenda Constitucional 115, em 10/2/22, incluindo a proteção de dados pessoais no rol de direitos e garantias fundamentais do art. 5º da Carta da República.

Em paralelo, a maciça adesão das empresas à lei – apesar de majoritariamente atrasada, após a vacatio legis de 24 meses concedida pelo art. 65, II, da LGPD – deveu-se, em certa medida, à atuação da Agência Nacional de Proteção de Dados – ANPD, criada pela própria LGPD, originalmente como órgão da administração direta, integrante da Presidência da República, transformada, no dia 13/6/22, em autarquia de natureza especial pela Medida Provisória 1.124, convertida na lei 14.460, e posteriormente vinculada ao Ministério da Justiça e Segurança Pública.

Desde a sua constituição, a ANPD tem se mostrado proativa no exercício das diversas competências que lhe foram atribuídas pelo art. 55-J da LGPD, com destaque para as atividades de regulamentação, orientação, fiscalização e, mais recentemente, de sancionamento. Nas palavras de seu diretor-presidente, Waldemar Gonçalves Ortunho Junior, a ANPD “vem buscando instrumentos para seu fortalecimento institucional, como criação de quadro de servidores e carreira próprios, para que possa intensificar cada vez mais sua atuação na defesa do direito constitucional à proteção de dados pessoais1.

Com efeito, os números da ANPD impressionam: nestes três anos de atuação: (i) o quadro de servidores aumentou cerca de 140% – de 50 para 121 pessoas; (ii) foram recebidos 2.589 requerimentos, entre denúncias (1.676) e petições de titulares (913); (iii) foram submetidos a debate social 13 temas de relevância, com milhares de contribuições via tomada de subsídios, consultas públicas e audiências públicas; e (iv) após cerca de sete meses da publicação da norma de dosimetria da pena, foram emitidas sanções em três processos administrativos, sete estão em andamento e outros 16 foram concluídos.

Igualmente impressionante foi a atividade normativa e orientativa da ANPD, com a publicação de diversas resoluções2, guias3, documentos técnicos4  e enunciados, como o enunciado CD/ANPD 1/23, sobre as hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes.

Outro responsável pela popularização da LGPD foi o Poder Judiciário. O Supremo Tribunal Federal reconheceu, no âmbito das Ações Diretas de Inconstitucionalidade 6.387, 6.388, 6.389, 6.390 e 6.393, a proteção de dados pessoais como um direito fundamental autônomo.

Ademais, os diversos órgãos do Judiciário têm interpretado e aplicado a LGPD, apreciando temas importantes relacionados à privacidade e à proteção de dados pessoais. Consoante pesquisa do Painel LGPD nos Tribunais5, foram identificadas, até setembro de 2022, 629 decisões de nível 3 (debate importante, mas não central sobre a LGPD) e nível 4 (em que a LGPD é a questão central), com destaque para o Tribunal de Justiça de São Paulo, que proferiu mais de 80 decisões de nível 4.

De acordo com a professora Laura Schertel Mendes, coordenadora da pesquisa, “a proteção de dados no Brasil tem ganhado maior robustez por parte dos tribunais brasileiros. É nesses espaços que os conflitos da sociedade, as disputas entre as partes, e a administração da Justiça se interseccionam, e a cultura de proteção de dados passa a ganhar solidez e produzir efeitos. A construção de uma cultura de proteção de dados pessoais é fundamental em um ecossistema que leve a sério os desafios da efetividade da Lei Geral de Proteção de Dados6.

Por fim, percebe-se que as próprias empresas também tiveram um papel fundamental na difusão da LGPD. A percepção é de que os empresários passaram aos poucos a enxergar a adequação à lei não como um custo, mas como um investimento, identificando vantagem competitiva na proteção de dados pessoais, diante de uma preocupação crescente do consumidor/titular com a sua privacidade e a segurança da informação.

Na opinião de Betania Gattai, gerente da Unilever, adequar-se à LGPD “representa um importante passo das organizações no compromisso com a integridade e maturidade das relações entre as marcas e consumidores, respeitando a privacidade dos clientes e valorizando o seu papel social junto ao mercado7.

Como se vê, nestes últimos cinco anos os avanços na esfera da privacidade e da proteção de dados pessoais foram enormes, mas ainda há muito a fazer, com grandes desafios pela frente.

Em plena era digital, cujo desenvolvimento envolve conceitos como big data, internet das coisas e inteligência artificial, todos fortemente dependentes do tratamento de dados pessoais, o aprimoramento das regras que garantem a privacidade e a segurança da informação, a intensificação das atividades de educação, fiscalização e sancionamento, bem como a consolidação de uma jurisprudência em torno do tema, serão fundamentais.

Será necessário, também, um maior amadurecimento da população enquanto titular de dados pessoais, com maior conscientização acerca da importância e do valor da privacidade, passando a exigir e cobrar dos agentes de tratamento um comportamento ético, transparente e responsável no processamento de dados pessoais.

As empresas, por sua vez, deverão aperfeiçoar suas políticas de privacidade, investir cada vez mais em segurança da informação e capacitar continuamente seus colaboradores, de modo a assegurar um ambiente seguro e saudável para o tratamento dos dados pessoais de seus clientes.

Enfim, espera-se que a partir da atuação conjunta e colaborativa do Estado – através dos seus três poderes –, da sociedade e das empresas, o país siga no processo de evolução da privacidade e da proteção de dados pessoais, a fim de que possamos, num futuro próximo, alcançar um grau de maturação semelhante ao verificado na Europa.

_____________

1 Mensagem introdutória do Balanço de três anos de Atuação da Autoridade Nacional de Proteção de Dados, disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/anpd_balanco_tres_anos.pdf

2 Como a CD/ANPD nº 1/21, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador; CD/ANPD nº 2/22, que aprovou o Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte; e CD/ANPD nº 4/23, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.

3 Guias de definição dos agentes de tratamento de dados pessoais e encarregado; como proteger seus dados pessoais; segurança da informação para agentes de tratamento de pequeno porte; aplicação da LGPD por agentes de tratamento no contexto eleitoral; tratamento de dados pessoais pelo Poder Público; cookies e proteção de dados pessoais.

4 Nota Técnica nº 6/23, sobre o tratamento de dados pessoais no setor farmacêutico; Notas Técnicas nºs 19/21 e 49/22, sobre a atualização da política de privacidade do WhatsApp; Nota Técnica nº 68/22, sobre o tratamento de dados pessoais pela Receita Federal; Nota Técnica nº 6/23, sobre o tratamento de dados de crianças e adolescentes pela rede social Tik-Tok, entre outras.

5 Projeto desenvolvido em parceria pelo Centro de Direito, Internet e Sociedade (CEDIS) do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP) e o Jusbrasil, com análise das principais decisões judiciais em matéria de privacidade e proteção de dados pessoais.

6 Disponível em: https://painel.jusbrasil.com.br/

7 https://blog.publicidade.uol.com.br/brainstorm/lgpd-entra-em-vigor-adequacao-as-regras-e-vantagem-competitiva-para-marcas/

Veja mais no portal
cadastre-se, comente, saiba mais

Colunistas

Daniel Bittencourt Guariento é sócio da área contenciosa do Machado Meyer Sendacz e Opice Advogados, especialista em Direito Digital e tecnologia. Membro da Comissão Especial de Tecnologia e Informação da OAB, do Conselho de Tecnologia e Informação do IASP e do Comitê de Direito Digital do Centro de Estudos das Sociedades de Advogados (CESA). Ex-assessor de ministros do STJ, na sessão de Direito Privado.

Ricardo Maffeis Martins é advogado especialista no Contencioso Digital e de Proteção de Dados. Professor de Direito Processual Civil da Escola Paulista de Direito e do Curso Damásio. Foi assessor de ministros e coordenador da Segunda Seção do STJ. Certificado em Privacidade e Proteção de Dados pelo Data Privacy Brasil. Membro da Comissão de Direito, Inovação e Tecnologia do IASP.