Às vezes penso que parece que foi outro dia, parece que nada evoluiu, parece ninguém sabe o que é a LGPD (Lei Geral de Proteção de Dados), mas não é verdade. Esses 5 anos, desde a promulgação da lei, passaram rápido e mudar a cultura de um país é um desafio hercúleo, ainda mais em um tema tão inovador que poucos compreendem. A maior parte daqueles que já ouviram falar na lei ainda pensam nela como uma “chatice” a mais para o compliance da empresa, mas a LGPD é muito mais do que isso, trata-se de uma oportunidade de transformação dos negócios para o mundo digital.
Antes de falarmos sobre isso, vou fazer uma breve retrospectiva das intensas modificações legislativas ocorridas nesse período para mostrar como tivemos um grande progresso, embora ainda estejamos muito longe do que seria adequado para o Brasil.
A LGPD - Lei 13.709 é publicada em 14 de agosto de 2018, estabelecendo um prazo inicial de 18 meses de vacatio legis, que após modificações de duas Medidas Provisórias transformadas em leis (Lei 13.853/19 e Lei 14.058/20) e um imbróglio de regras de vigência, passa a viger a partir de 18 de setembro de 2020.
Em paralelo, tivemos a definição do início das sanções aplicáveis ao descumprimento da LGPD, com a lei 14.010/20 estabelecendo a possibilidade de aplicação das penalidades da LGPD a partir de 1º de agosto de 2021. O que evidentemente não se concretizou até 28 de fevereiro de 2023, após a publicação das Resoluções CD/ANPD No 1/21 do Processo de Fiscalização e do Processo Administrativo Sancionador e No 4/23 do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, tendo em vista que os agentes públicos não dispunham das ferramentas orientativas e procedimentais para aplicar as sanções, o que colocava em grande risco qualquer aplicação de penalidades nesse período.
Obviamente, como a LGPD já estava em vigor desde setembro de 2020, nesse meio tempo as diversas Justiças Estaduais e Federais já vêm aplicando a LGPD em suas decisões, seguramente temos algumas centenas de decisões pelo país a fora, instituindo indenizações, determinando obrigações de fazer, regulando demissões por ou sem justa causa, dentre outras.
O outro elemento chave era a criação da ANPD – Autoridade Nacional de Proteção de Dados, ocorrida ainda em 2020, inicialmente pela MPV 869/18 transformada na lei 13.853/19 e regulamentada pelo decreto 10.474/20. A ANPD posteriormente ganha status de autarquia de natureza especial, com autonomia administrativa e financeira, preservando as suas competências e descentralizando a gestão, através da publicação da lei 14.460/22, mas ainda vinculada à Presidência da República. Finalmente, em 1º de janeiro de 2023 a ANPD passa a ser vinculada ao Ministério da Justiça e Segurança Pública, por meio do decreto 11.348/23.
No meio dessa jornada, tivemos ainda a emblemática decisão do STF na ADIn 6390 MC-REF/DF de 07 de maio de 2020, que suspendeu a eficácia da Medida Provisória 954/20, impedindo o compartilhamento de dados dos usuários de empresas de telecomunicações com o IBGE - Instituto Brasileiro de Geografia e Estatística. A qual representou um marco histórico sobre a importância da privacidade como um valor fundamental do ser humano no Brasil e abriu caminho para a Emenda Constitucional 115, de 10 de fevereiro de 2022, que incluiu a proteção de dados pessoais entre os direitos e garantias fundamentais na Constituição Federal.
Sem contar os diversos outros normativos infralegais e medidas tomadas pela ANPD durante esse período, enquanto se estruturava, como a produção de artigos, formulários, portal de denúncias, portal para reportar incidentes de segurança, portarias, resoluções, guias orientativos, notas técnicas, Relatórios de Análise de Impacto Regulatório – AIR, tomadas de subsídios, consultas públicas, documentos institucionais e estudos técnicos, dentre outros.
Culminando toda essa saga na primeira multa aplicada, em 06 de julho de 2023, pela ANPD em uma microempresa que descumpriu a LGPD, após denúncia do Ministério Público sobre a oferta de listagem de contatos de eleitores de Ubatuba, São Paulo. A empresa não apresentou respostas suficientes às solicitações da ANPD violando o artigo 5 da Resolução CD/ANPD 1/21, não indicou um Encarregado em prazo hábil e não apresentou as bases legais para realizar o tratamento de dados, infringindo o artigo 7 da LGPD.
Na histórica decisão, a ANPD considerou a empresa responsável pelas decisões relativas ao tratamento dos dados pessoais, e também foi considerada inerte frente aos pedidos da autoridade e utilizou dados públicos sem base legal apropriada para o tratamento. Como consequência, a ANPD aplicou uma advertência e duas multas simples. O total das multas soma R$14.400,00, valor que respeita o limite de 2% do faturamento de uma microempresa.
Como vemos, não foram poucos os eventos legislativos e medidas tomadas em diversos órgãos ocorridos nesses 5 anos, então sim, temos que comemorar essa jornada até aqui, pois trata-se de uma lei importante inclusive para inserção do país no cenário econômico mundial. Assim como mais de 150 países já possuem leis de proteção de dados, a LGPD veio como um dos requisitos de inserção do Brasil na OCDE - Organização para a Cooperação e Desenvolvimento Econômico, trazendo oportunidades de negócios nos compartilhamentos de dados internacionais e tornando o país seguro juridicamente para fazer negócios envolvendo dados pessoais.
Cada vez mais gente conhece o tema, nós formamos dezenas de advogados, certificamos profissionais, nos credenciamos em novas certificações, desenvolvemos metodologias, projetos, artigos, palestras, cursos, implementamos projetos de LGPD em mais de 200 clientes, nos mais variados setores e tamanhos de empresas, desde pequenas startups de tecnologias até grandes redes de fast food e bancos, passando por todo o ecossistema de saúde, que requer atenção primária ao tema. Assim como nós, diversos outros profissionais embarcaram nessa jornada, escreveram livros, lembro bem a escassez de material no início, tínhamos apenas os importados da GDPR – General Data Protection Regulation, agora temos farto material para todas as áreas de negócio aplicando a LGPD.
É verdade que muitos DPOs ainda sofrem com a falta de apoio nas empresas, apoiamos vários deles e comungamos das suas angústias com a falta de compromisso de algumas empresas em cumprir o próprio programa de privacidade. Não esmoreçam DPOs, os compliance officers também já passaram, e ainda passam, pelos desafios de mudar a cultura das empresas, acredito que quanto mais os negócios se digitalizarem maiores serão as necessidades de ter uma governança de dados bem estruturada, o que valorizará o papel do DPO, como guardião deste ativo, para evitar que os dados se transformem em risco.
É importante entender que a LGPD vai muito além de estruturar a sua empresa para fazer o compliance de uma nova lei, ela faz parte de uma transformação digital da sociedade da informação que estamos vivendo, em que as informações serão peças chaves em todos os negócios. Os negócios serão digitais e a LGPD pode te catapultar para o futuro, te fazendo abandonar a vaca leiteira baseada em modelos arcaicos de compras de bases de dados, e te fazendo repensar os modelos de negócios a partir dos dados, para buscar um engajamento verdadeiro com seus clientes, mas de acordo com as responsabilidades determinadas na LGPD.
Ainda falta muito para ser feito, seja pelos órgãos públicos em geral e pela ANPD, mas também pelas empresas, o nível de falta de compromisso das pequenas e médias empresas ainda é muito grande. É claro que estas têm diversos outros desafios, inclusive em um cenário recente de pandemia, mas o tema precisará ser trabalhado com brevidade, basta ver que a primeira multa aplicada pela ANPD foi a uma microempresa. Também nas grandes empresas, ouso dizer que o privacywashing ainda é grande, muitas delas tem um programa de governança em privacidade apenas para defesa perante as autoridades, os DPOs não têm voz ativa, poucas cumprem efetivamente a governança que a LGPD exige, e a maioria nem enxergou a oportunidade de transformação digital propiciada pela lei.
Então vamos comemorar os 5 anos da LGPD, mas cientes de que a jornada está apenas começando, há muito a ser feito e as empresas precisam buscar ajuda, dar a devida importância ao tema, assim como formar equipes para lidar com a privacidade e a proteção de dados, que veio para ficar.