A LGPD completou meia década. De sua aprovação para cá, alguns fatos importantes figuram a trajetória da legislação: a pandemia da Covid -19, que atrasou a vigência plena da Lei após ter sido promulgada; a inserção de inciso na Constituição Federal sobre o direito à proteção dos dados pessoais, que se tornou proposta de emenda em 2019 e foi promulgada em 2022; a criação da ANPD, em 2020, que funcionou submetida à presidência da República e se tornou independente apenas em 2022; e, por fim, a primeira multa aplicada a uma empresa, neste ano.
Para Alexandra Krastins Lopes, advogada especialista em Direito Digital do PG Advogados, a LGPD ainda pode ser considerada nova, além de ter sido instituída em um país sem cultura de proteção de dados. “O crescente uso de dados pessoais, serviços e tecnologias para mapeamento de perfis comportamentais para vários fins, inclusive comerciais e eleitorais, acenderam um alerta sobre como é feito o uso de nossos dados pessoais. Após a LGPD essa preocupação se mostrou mais relevante no Brasil”, analisou.
A especialista acredita que empresas e cidadãos carecem de aculturamento sobre proteção de dados e, embora a legislação estabeleça regras claras para o uso de dados pessoais e de um verdadeiro ecossistema de direitos e obrigações, é esperado que ainda haja uma série de dúvidas sobre a matéria. “Essa cultura está sendo construída junto com o nascimento da legislação. Contudo, é preciso avançar nesse sentido, tanto por parte das organizações - públicas e privadas -, quanto pelos cidadãos, a fim de que todos saibam quais são os seus direitos, obrigações e como eles podem ser exigidos”, explicou.
Movimento por consultoria cresce
A especialista já observa o movimento crescente por parte de empresas que procuram consultoria com o objetivo de se adequar às regras, principalmente após a aplicação da primeira multa pela ANPD, em julho deste ano, e a divulgação de nova lista de processos sancionatórios. “Para além das multas e sanções, a tendência é que, assim como organizações com melhores processos de compliance e práticas anticorrupção têm mais confiabilidade no mercado, isso ocorra também com o cumprimento da LGPD e o investimento em uma governança de proteção de dados”, destacou a especialista.
A ANPD tem assumido um grande papel nesse processo. Desde o início de sua atuação, além de desenvolver sua própria estrutura, emitiu diversos guias orientativos, como os que explicam sobre os agentes de tratamento, sobre proteção de dados para fins eleitorais e sobre o uso de cookies.
Um caso emblemático no país foi a emissão de recomendações para o aplicativo de mensagens instantâneas WhatsApp com relação à vigência de alterações na sua política de privacidade, em especial sobre o compartilhamento com outras redes sociais, em 2021. As recomendações foram realizadas em conjunto com outras instituições, como a Senacon - Secretaria Nacional do Consumidor, o Ministério Público Federal e Cade - Conselho Administrativo de Defesa Econômica , cada uma atuando dentro de suas competências. Como resultado, a empresa do aplicativo, depois de uma série de reuniões, acatou as recomendações sobre a transparência, legitimando a seriedade do tema.
O que é preciso ter em mente é que a legislação é ampla, profunda e já pegou. Por isso mesmo, é imprescindível que as instituições reconheçam a importância de constituir programas específicos para esse fim. “As instituições já começaram a fazer sua lição de casa, mas ainda é possível notar uma série de pontos vulneráveis até que a cultura de proteção de dados seja, de fato, implementada. Um projeto de governança permite à empresa conhecer os seus fluxos de tratamento que envolvem dados pessoais, enquadrar-se nas hipóteses legais permitidas e elaborar os documentos necessários, como avisos e políticas de privacidade ou de cookies”, ponderou.
De olho em Práticas Abusivas
A LGPD existe não só para criar regras sobre os tratamentos de dados, mas também veda práticas abusivas que continuam sendo praticadas e muito em breve devem vir ainda mais à tona. Por exemplo, compartilhamento de dados indevido entre empresas ou envio de e-mails marketing sem o fundamento legal adequado. Isso significa que não basta ter um programa de governança, é preciso alterar suas práticas internas.
Nas últimas semanas, a ANPD publicou novos materiais que vão auxiliar as organizações na implementação da LGPD e trazem maior força na aplicação da Lei. “É o caso da publicação - ainda em fase de consulta pública - da norma de transferência internacional de dados para países estrangeiros ou organismos internacionais dos quais o Brasil seja membro, e os modelos de CPC - Cláusulas-Padrão Contratuais, que trará mais segurança jurídica para quem atua ou contrata empresas estrangeiras”, explicou Alexandra.
Consultas públicas a todo vapor
Até sexta-feira, 7, a ANPD manteve abertas as inscrições para a audiência pública sobre Transparência Internacional de Dados. O objetivo é receber contribuições da sociedade para a elaboração de instrumento normativo. Já os interessados em contribuir sobre hipótese legal de tratamento de dados pessoais do legítimo interesse devem acessar a plataforma Participa Mais Brasil até o dia 30 deste mês. As contribuições ajudarão a elaborar conteúdo orientativo sobre a matéria. Para
Últimas publicações da ANPD
Foram publicados documentos informativos como a política de comunicação social, que visa estabelecer regras de comunicação com a sociedade e dar mais transparência às ações do órgão, com clara priorização à comunicação com o titular de dados, e o relatório do ciclo de monitoramento emitido pela Coordenação-Geral de Fiscalização, que traz informações sobre os processos instaurados, requerimentos de titulares perante a ANPD e comunicações de incidentes realizadas pelos agentes de tratamento.
“O relatório demonstra a transparência da Autoridade na fiscalização e reflete a atuação de um órgão jovem, mas que já vem mostrando suas garras, com a publicação dos nomes das empresas investigadas e a prioridade que se estabelecerá nos processos, inclusive os critérios pelos quais as empresas poderão ser investigadas: quantidade de titulares, alcançados, tipos de titulares de dados - crianças e adolescentes, por exemplo-, tipos de dados tratados, como os sensíveis, e quantidade de requerimentos recebidos”, esclareceu a especialista do PG Advogados.
O relatório mostra, ainda, que os setores mais reclamados foram o financeiro e o de telecomunicações, e os temas frequentemente mais apontados foram os contatos indesejados, direito de eliminação dos dados, contratação desconhecida e compartilhamento indevido de dados pessoais.
Por outro lado, esse relatório também apresenta as ações de conformidade do setor público, que não fica de fora da incidência da LGPD e foi objeto de atenção da Autoridade desde a sua criação, inclusive com processos de fiscalização e emissão de recomendações, como no caso do INEP em 2022.
A lei já pegou
Para Alexandra, a lei pegou: “devagar, como se esperava em um contexto de pandemia, em que a prioridade do país era outra, a de sobrevivência. Mas até mesmo para fins de uma concorrência leal, o Brasil não voltará ao que já foi em tratamento de dados pessoais. A lei começa a ser exigida pelos parceiros comerciais e, em certa medida, pelos titulares de dados.”
Para finalizar, a especialista faz um alerta: o objetivo não é inviabilizar negócios, mas adequar a forma como os dados pessoais são tratados para atender a finalidade da legislação, resguardando direitos e obrigações. Nesse cenário, políticas de privacidade vazias não vão prevenir a ocorrência de advertências e multas.
“Documentos criados sem mapeamento prévio dos fluxos de dados e a falta de um DPO [nome dado ao profissional encarregado pelas atividades dessa área] e de uma cultura organizacional comprometida com a proteção de dados, incluindo a alta gestão, não têm mais espaço."