Se representado em gráfico, o investimento do mercado para adequação à Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) no Brasil estaria em seu ponto mais baixo desde que a lei entrou em vigor, sobretudo nas empresas privadas, que saíram à frente na observância da legislação ao projetarem um cenário de extremo rigor na aplicação de multas e outras sanções por parte da Autoridade Nacional de Proteção de Dados (ANPD). Na realidade, este rigor acabou não se concretizando.
Aprovada em 2018, a LGPD entrou em vigor em setembro de 2020. Mas a primeira punição só foi aplicada em julho deste ano – isto porque o regulamento da ANPD com as normas de dosimetria das sanções, que permitiu a aplicação das primeiras penalidades, foi divulgado apenas em fevereiro deste ano.
O processo foi instaurado contra uma empresa de telemarketing acusada de ofertar aos candidatos às eleições municipais de 2020 uma listagem de contatos de WhatsApp de eleitores de Ubatuba para disseminação de material de campanha eleitoral sem hipótese de tratamento de dados, além da ausência de comprovação de registro das operações de tratamento de dados pessoais; ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento; e falta de comprovação da indicação de encarregado.
A ANPD aplicou as sanções administrativas pela falta de um encarregado (advertência), a ausência de base legal para tratamento de dados (multa simples de R$ 7,2 mil) e pelo não atendimento ao disposto no artigo 5º do Regulamento de Fiscalização (multa simples de R$ 7,2 mil), que abrange o fornecimento de documentos e o suporte à atuação de fiscalização da autoridade.
Apesar de a punição inicial ter sido baixa, especialistas acreditam que as recentes movimentações da ANPD são cruciais para um provável reaquecimento do setor – em especial, na esfera pública.
A retração de investimento na área da proteção de dados pessoais tem provocado uma “juniorização” dos profissionais da área, menos investimento em capacitação e, em alguns casos, descontinuidade do processo de adequação.
Alexandre Zavaglia, especialista em tecnologia aplicada na área do Direito e pesquisador da Fundação Getúlio Vargas (FGV), explica que neste último ano as empresas passaram a ver menos riscos nas questões envolvendo proteção de dados e LGPD. “É um fenômeno. O mercado cresceu bastante no início, mas nesse último ano estagnou. Apesar do trabalho importante da ANPD e de órgãos como o Ministério Público e de defesa do consumidor, há uma percepção baixa de risco. E esta percepção não é correta, porque o risco existe. Como é um ano de mudança de governo, de orçamentos mais apertados, não houve aumento desse mercado porque as empresas priorizaram outras coisas.”
A condição atual, conforme o especialista, tende a ser alterada já no próximo ano. “A ANPD se estruturou e está começando a publicizar os primeiros procedimentos administrativos, multas, Termos de Ajustamento de Conduta (TAC). Com o início desse enforcement (processo de fazer as pessoas respeitarem as leis), a tendência é crescer novamente, principalmente no setor público”, acrescenta. Uma das explicações para o boom da LGPD no setor público é o receio de responsabilização por improbidade administrativa na hipótese de irregularidades.
Outra tendência que deverá convergir para o reaquecimento do setor é a “gestão de terceiros”. Ou seja, as grandes empresas que realmente se adequaram às normativas tendem a exigir de seus prestadores de serviço um grau similar de compliance, gerando o “efeito cascata”. Esse efeito tem em sua base dois motivos principais: a própria LGPD, que prescreve as boas práticas de governança, e a possibilidade de, eventualmente, uma empresa ser responsabilizada por dados de terceiros.
“Se vier uma fiscalização, a empresa vai precisar mostrar todo o seu tratamento de dados, tanto interno como de terceiros”, destaca Zavaglia. A previsão é que a dinâmica também seja adotada nas entidades do poder público.
Beatriz Haikal, advogada especialista em Privacidade e Proteção de Dados, concorda que o mercado da LGPD arrefeceu nos últimos anos, tanto como consequência das demandas trazidas pela pandemia, que colocou em xeque até mesmo a sobrevivência de muitas empresas, quanto pela própria dinâmica de adequação.
“Houve uma queda naquele boom de projetos de adequação. As empresas de grande e médio porte que puderam fazer esse movimento, já entregaram os esforços que podiam. A tendência é que, a partir de agora, mude um pouco a demanda”, avalia. “No início, ninguém tinha nada. Era preciso mapear todas as operações de tratamento e começar a conformidade do zero. Hoje em dia, as empresas maiores e as de médio porte já têm o básico. O que temos visto no escritório é uma mudança da demanda, que passa a ser mais por meio de consulta, atualização, treinamento.”
Mas, para Haikal, o fato de a primeira multa não ter sido a uma big tech, como se projetava, faz o mercado, inclusive empresas menores, abrir o olho novamente. “A multa surpreendeu, mas está mostrando que, na verdade, o que importa para a Autoridade nesse contexto é a cooperação ao longo do processo administrativo”, acrescenta.
O despertar do setor público para a LGPD
No final de maio, a Coordenação Geral de Fiscalização da ANPD divulgou a relação de investigações em andamento na entidade. A lista continha 16 processos e 27 instituições citadas, entre elas as privadas Bytedance Brasil Tecnologia Ltda. (TikTok); Claro S.A. e Serasa S.A. e WhatsApp LLC., além de instituições e órgãos públicos, como o Serviço Federal de Processamento de Dados (Serpro); Instituto Nacional do Seguro Social (INSS) e Dataprev e o Ministério da Justiça e Segurança Pública.
Atualmente, pelo menos seis órgãos públicos são investigados pela ANPD por vazamento de dados, entre eles o Ministério da Saúde, sobre o qual a Autoridade apura a ausência de comunicação a titulares sobre incidentes de segurança e ausência de encarregado de dados pessoais, requisitos da LGPD. Em 2020, uma falha na segurança dos dados da pasta expôs na internet dados pessoais de cerca de 243 milhões de brasileiros.
Também estão na mira da ANPD a Secretaria da Saúde de Santa Catarina; a Secretaria de Educação do Distrito Federal; o Instituto de Pesquisas Jardim Botânico do Rio de Janeiro; o Instituto de Assistência ao Servidor Público Estadual de São Paulo e a Secretaria de Desenvolvimento Social, Criança e Juventude do Estado do Pernambuco.
O elevado número de procedimento de fiscalização contra entidades e órgãos públicos é o dado de realidade que deve impulsionar uma importante virada de chave sobre a adequação do setor às regras da LGPD, diferente da fase inicial, quando basicamente as empresas privadas realizaram o movimento.
Em setembro de 2022, uma decisão do ministro Gilmar Mendes, do Supremo Tribunal Federal (STF), no âmbito da Ação Direta de Inconstitucionalidade (ADI) 6.649, de autoria do Conselho Federal da Ordem dos Advogados do Brasil, ratificou o que já expressa a LGPD.
A ação ajuizada teve como objeto o Decreto 10.046/2019 da Presidência da República, que propunha o Cadastro Base do Cidadão, além do Comitê Central de Governança de Dados, e estabelecia normas para o compartilhamento de dados entre órgãos da administração pública.
Para o ministro, que foi seguido pela maioria dos pares, o compartilhamento de dados deve ser limitado ao mínimo necessário para atender a finalidade informada. Também deve cumprir integralmente os requisitos, as garantias e os procedimentos estabelecidos na Lei Geral de Proteção de Dados compatíveis com o setor público.
“O gestor pode ser responsabilizado, inclusive, por improbidade administrativa se não cuidar desse assunto. Dentro da LGPD tem uma parte que exige a segurança da informação e a maioria desses procedimentos administrativos são sobre vazamento de dados. O poder público não tinha se movimentando praticamente em nada nesse sentido de adequação. Essa decisão do Supremo, somada ao início da fiscalização, mudou o cenário nos últimos seis meses”, destaca Zavaglia.
No mês passado, o governo do Rio de Janeiro anunciou o fechamento de um contrato com valor inicial de R$ 80 milhões para a adequação de todos os órgãos da administração estadual à LGPD. E o exemplo deve se espraiar para outros órgãos.
“Como está bem no início dessa onda, a preocupação do setor público é não ter vazamento de dados e ter o controle mais apurado. Antes, achavam que por ser público não teria tanta cobrança, mas não foi isso que ocorreu e as pessoas estão se tornando mais conscientes”, avalia Tarcísio Lisboa, especialista em segurança da informação e diretor comercial na LGPDNow, empresa de tecnologia que tem participado ativamente da mudança na esfera pública. “Começa a se exigir legitimidade em processos locais de cada órgão para a proteção de dados do cidadão. O chefe de um órgão pode ser destituído porque não implementou tais políticas.”
Em alguns casos, segundo Lisboa, mesmo já tendo iniciado o processo, o setor público tem dificuldades com a posse das informações, que acabam sendo descentralizadas entre setores como o de Tecnologia da Informação, o jurídico ou mesmo em espaços mais ligados à política. “O movimento agora é buscar tecnologias para que não seja evidenciada a incompetência jurídica dos órgãos públicos sobre isso”, sintetiza.
LGPD como um dos pilares da regulação digital
Professora da Universidade de Brasília (UnB) e do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), Laura Schertel, que preside a Comissão de Direito Digital da Ordem dos Advogados do Brasil (OAB), aponta que questões como segurança e gestão da informação, além de proteção de dados, são temas do futuro que já se aplicam no presente — e por isso as empresas não podem se descuidar.
“O sistema de inteligência artificial está sendo usado em todos os setores. As empresas vão ter que estar ainda mais atentas, ampliar gerenciamento, mudar seus processos para conseguir extrair o valor dos dados ao mesmo tempo em que geram confiança aos cliente e mitigam os riscos”, destaca.
Gustavo Artese, advogado especialista em LGPD e regulação digital, classifica a situação atual do mercado em relação à LGPD como “ressaca pós-boom”. A explicação é que, tão logo se deu a aprovação, o excesso de expectativa superaqueceu o mercado nos primeiros anos. Com o tempo, o tema passou a ser visto como algo da ordem do operacional, algo a ser cumprido, não mais estratégico.
O especialista, no entanto, alerta para a necessidade de os grupos econômicos manterem a estruturação e adequação iniciadas, pois, numa perspectiva de futuro, a LGPD se converterá em um dos principais pilares de algo maior, denominado “regulação digital”.
“Está havendo um movimento para a regulação digital, e ela [a LGPD] é a parte que diz respeito aos dados pessoais. Vai ter outra parte que é totalmente ligada à automatização de processos por meio de inteligência artificial. Isso tudo também demandará muito mais segurança da informação”, projeta.
Para Artese, o Brasil terá um tripé regulatório. “Tem a proposta de projeto que é a Política Nacional de Cibersegurança, o projeto de lei de regulação de IA (PL 2.338/2023) e a LGPD. Quando juntar as três coisas, aí passa a ter mais relevo” avalia.
Na avaliação dele, a baixa momentânea do mercado vai ser corrigida muito em breve, mas em um contexto de demandas ainda maiores e com novas pressões sobre o uso de informações. “A LGPD é uma das licenças sociais que vai ser necessária para se extrair valor de dados. A regulação digital é inescapável, inevitável”, completa.
Por outro lado, o momento pode não ser o mais adequado para fazê-lo no campo da inteligência artificial, segundo o advogado André Marsiglia, especialista em Direito Digital. “Um projeto de lei atira naquilo que ele enxerga. E o que a gente enxerga hoje nesta seara é muito pouco. O projeto já nasce insuficiente porque nós não temos ainda a dimensão de nem 1% dos problemas que isso pode alcançar no futuro. O ideal, neste momento, é que não tenhamos uma lei específica a respeito e que encontremos soluções casa a caso”.
MARI LEAL – Repórter freelancer