No dia 14 de agosto de 2023, o Brasil comemora o quinto aniversário da Lei Geral de Proteção de Dados (Lei n.º 13.709/18 – conhecida pela sigla “LGPD”). Após intensos debates, a LGPD foi publicada em 14 de agosto de 2018, e veio para proteger a privacidade e os dados pessoais de indivíduos que estejam no território nacional. Por dados pessoais, entendem-se todos aqueles capazes de tonar uma pessoa física identificada ou identificável, como nome, CPF, RG, e-mail, características físicas, entre outros. Sua entrada em vigor foi em setembro de 2020, mas as sanções por descumprimento dela passaram a valer apenas em agosto de 2021, pensando em um lapso temporal razoável para que os agentes de tratamento, ou seja, aqueles que tratam dados pessoais no dia a dia, tomassem as medidas de adequação.
Muito do que a LGPD regulamenta foi inspirado na General Data Protection Regulation (GDPR), que dispõe sobre o mesmo assunto para o território da União Europeia, e é aplicável desde 25 de maio de 2018.
Embora o cenário brasileiro ainda esteja engatinhando, em comparação ao cenário europeu, nesses cinco anos de LGPD já foi possível observar certos avanços do setor privado, e também os primeiros passos da autoridade responsável pela aplicação da lei (Autoridade Nacional de Proteção de Dados – ANPD).
De início, os agentes de tratamento, considerados aqueles que tratam dados pessoais para fins econômicos (seja pessoa física ou jurídica), têm iniciado sua lenta conscientização sobre essa nova legislação, em especial as empresas de tecnologia, conhecidas como “big techs”, que têm maiores recursos para investir nessa adequação. No entanto, pesquisas indicam que 80% das empresas no Brasil ainda não se adequaram à LGPD até o início de 2023.
E esse cenário até poderia se dar pela ausência de penalidades no descumprimento da lei; mas ocorre que, como será visto, em julho deste ano foi aplicada a primeira sanção pela ANPD, e por isso o aniversário de cinco anos da LGPD vem em um momento de altas expectativas aos que assistem, ansiosamente, os movimentos dessa legislação no Brasil.
Embora no Brasil ainda estejamos nos passos iniciais quando falamos sobre proteção de dados pessoais, já tivemos alguns importantes entendimentos, definidos tanto pelo Judiciário quanto pela ANPD.
No tocante ao Judiciário, em 2020, o Supremo Tribunal Federal reconheceu a proteção de dados pessoais como um direito fundamental autônomo, pelas ADIs nºs. 6387, 6388, 6389, 6393 e 6390, seguido da promulgação da Emenda Constitucional (EC) 115, que tornou tal direito como fundamental, incluindo-o no rol do Art. 5º da Constituição. Os direitos fundamentais são o alicerce de uma sociedade democrática, justa e igualitária.
Após, em 2022, o mesmo Tribunal entendeu, pela ADI 6649, que o compartilhamento de dados entre os órgãos públicos não pode ser irrestrito, havendo que obedecer às limitações da leis como a LGPD, como tratamento apenas dos dados necessários e adequados à finalidade, que deve ser explícita e legítima, devendo ser devidamente publicizado o compartilhamento.
Já em 2023, o Superior Tribunal de Justiça entendeu que o vazamento de dados comuns não caracteriza dano moral presumido (deixando espaço em aberto para entendimento sobre dados pessoais sensíveis), e na mesma decisão, afirmou que o rol do artigo 11 da LGPD é taxativo, de modo que não há dados pessoais sensíveis que não os ali expressos.
No tocante à ANPD, essa também já expressou importantes entendimentos, mesmo que não vinculativos. Dentre eles, cita-se a Resolução n.º 2 da ANPD, na qual foi superado um grande obstáculo na aplicação da LGPD para os pequenos empresários, tendo sido definidos os agentes de pequeno porte, com aplicação simplificada da lei. Salvo exceções, tais agentes poderão registrar suas operações de tratamento de forma simplificada, além de terem procedimento também simplificado para comunicação de incidentes e flexibilização da obrigatoriedade de indicação de encarregado.
Além disso, no Guia Orientativo da autoridade sobre agentes de tratamento, essa trouxe entendimento de que se “infere que a controladoria conjunta estaria dentro do ordenamento jurídico”, embora não tenha sido contemplada expressamente na LGPD.
E em seu Guia de Cookies, a autoridade também entendeu por se inspirar na E-Privacy Directive, norma europeia, e dispôs que cookies de publicidade devem ser baseados no consentimento, e cookies necessários podem ser fundamentados no legítimo interesse.
Por fim, outro acontecimento que forneceu muitas discussões foi o tão aguardado Regulamento de Dosimetria e Aplicação de Sanções Administrativas, publicado em fevereiro de 2023, e previu o que seria considerada infração grave, média e leve; e o método de cálculo das multas, cessando as enormes especulações que se faziam sobre o assunto até aquele momento.
Nesta linha, a Coordenação-Geral de Fiscalização (CGF/ANPD) concluiu o primeiro processo administrativo no dia 6 de julho de 2023 que, para surpresa de muitos, foi direcionada a uma microempresa do setor de telecomunicações. A empresa recebeu uma advertência e terá de pagar R$ 14,4 mil. No caso, a ANPD verificou que o tratamento de dados pessoais estava ocorrendo sem respaldo legal. Foi apurada ainda, a falta de comprovação da indicação de encarregado pelo tratamento de dados pessoais (DPO) pela empresa.
Uma das lições aprendidas com a sanção aplicada à empresa de telecomunicações foi de que a ANPD também está atenta às pequenas empresas, o que comprova a importância da LGPD, independentemente do porte da organização. O valor da multa foi mensurado de acordo com o faturamento da empresa, nos termos da Resolução nº 4, conhecida como “Regulamento de Dosimetria e Aplicação de Sanções Administrativas”.
A segunda lição e, provavelmente a mais importante, é a de que a falta de colaboração com a ANPD e a ausência de preocupação com a LGPD poderão resultar em uma consequência financeira significativa, já que as sanções aplicáveis podem chegar a 2% do faturamento da empresa, limitado a 50 milhões de reais por infração, e, ainda mais importante, pode causar um dado reputacional muitas vezes irreparável.
Até o presente momento, de acordo com lista divulgada pela própria ANDP, existem 16 processos, em face de 27 instituições, que estão sob investigação da ANPD. Dessa lista, existem empresas privadas e entes públicos estaduais e federais.
Portanto, se a sua organização ainda não demonstrou preocupação com a LGPD, está na hora de agir e buscar a conformidade à legislação para se evitar um prejuízo reputacional e financeiro.
A primeira sanção aplicada reforça que, mesmo que quando diante de uma pequena empresa, é preciso estar em conformidade com a legislação, já que a lei é aplicável a qualquer operação que demande o uso e tratamento de dados de pessoas naturais.
A LGPD, apesar de ter completado cinco anos, permanece como uma legislação em constante processo de maturação, cuja efetividade e aplicabilidade plenas ainda se encontram em fase de amadurecimento. O diálogo entre a Administração Pública, empresas e sociedade civil, aliado ao empenho da ANPD, tende a ser fundamental para a plena concretização dos seus objetivos e para o desvendamento dos aspectos que atualmente permanecem em aberto.
É inegável considerar a Lei Geral de Proteção de Dados como uma legislação recente. Tal assertiva se justifica não apenas pela relativa brevidade desse período, mas também pela constatação de que, nesse lapso, a quantidade de processos sancionadores instaurados se mantém baixa, apontando para uma etapa inicial e gradual de sua efetivação.
Além disso, é possível perceber que a LGPD ainda apresenta um notório número de pontos em aberto, suscitando a necessidade de uma regulamentação mais detalhada e esclarecedora por parte da Autoridade. Esse cenário, por sua vez, desenha uma série de complexidades e incertezas em algumas das suas disposições, deixando margem para diferentes interpretações e controvérsias.
Todavia, visando sanar essas dúvidas, a ANPD disponibilizou a agenda Regulatória para o biênio 2023-2024. Algumas das questões em aberto que serão abordadas são incidentes de segurança da informação, transferência internacional, anonimização e pseudonimização.
Conforme demonstrado, torna-se evidente que, mesmo após os cinco anos desde sua publicação, a LGPD continua a se deparar com uma série de desafios significativos. Nesse contexto, é pertinente ressaltar que a ANPD desempenha um papel fundamental no sentido de estabelecer regulamentações sólidas e esclarecer uma série de questões que ainda permanecem em suspenso, aguardando uma manifestação.
Pelo que se vê, o cenário atual é de muitos debates, práticos e acadêmicos, visto que ainda carecemos de muitas soluções e certezas. No entanto, vemos com bons olhos os movimentos da autoridade, que se preocupa muito com a educação dos agentes de tratamento e da sociedade, ao invés de adotar um olhar puramente punitivista.
Além disso, o próprio setor privado, seguindo exemplo da ANPD, também tem se mostrado proativo no papel de conscientizar a população, e vemos cada vez mais uma linguagem acessível nos Avisos de Privacidade, e até materiais em forma de gibis, como alguns publicados pelo Google.
Como bons frutos decorrentes da vigência da lei, podemos ver uma maior conscientização e promoção da cultura de privacidade, um empoderamento maior ao titular de dados e uma modernização empresarial, na medida em que as empresas precisaram se adequar para vencer a concorrência e atender aos anseios de seus clientes, parceiros e funcionários.
Diante do aniversário de cinco anos dessa legislação, uma coisa é certa: profissionais da área estão ansiosos pelo aniversário de dez, pois ainda há muito a ser caminhado e descoberto.