Com apenas cinco anos, LGPD já deixa saldo de avanços
Projeto de Lei volta a atacar mecanismo que permite economia tributária
Cinco anos após a publicação da Lei Geral de Proteção de Dados (LGPD), a percepção dos especialistas é a de que a forma como as empresas e pessoas encaram o tema da proteção de dados pessoais avançou bastante no Brasil, embora que de maneira desigual. Mas o trabalho de adequação e conscientização sobre a importância da proteção de dados pessoais está muito longe do fim, e não só porque todos os trabalhos de conscientização devem ser permanentes, mas também porque a lei ainda não foi totalmente regulamentada e porque a atividade sancionadora por parte da Autoridade Nacional de Proteção de Dados (ANPD) ainda não ganhou tração.
“Percebe-se uma preocupação maior, uma atenção e cautela no tratamento dos dados pessoais porque as empresas vêm observando que se trata, na verdade, de uma ‘sobrevivência setorial’. Os clientes exigem a adequação, e, por sua vez, os fornecedores também precisam estar adequados à LGPD para manterem o vínculo contratual”, avalia Jenne Silva, sócia do Vieira da Rocha, Machado Alves Advogados.
A percepção de Gabriela Saad Krieck e Luis Fernando Prado, respectivamente sócia e parceiro do Carneiro de Oliveira Advogados, é semelhante: “Ainda que o enforcement e a regulação complementar do tema no Brasil tenham o que evoluir, não se pode negar que a LGPD mudou a forma como organizações brasileiras lidam com questões de coleta, uso e compartilhamento de dados pessoais. Portanto, para além de uma mera questão de conformidade, privacidade e proteção de dados virou tema central para os negócios, tanto no cenário B2B (business to business) quanto no cenário B2C (business to consumer).
“É interessante notar o impacto positivo em outras áreas para além de proteção de dados”, considera Rodrigo Pôssas, associado do Freitas Ferraz Advogados. Para ele, a lei impulsionou também a cultura em segurança da informação nas organizações públicas e privadas.
Atividade sancionadora da ANPD
A ANPD vem priorizando a regulamentação dos pontos ainda em aberto na LGPD e o trabalho de conscientização, e deixando em segundo plano a atividade sancionadora. Com relação à regulamentação, ainda faltam as regras referentes à transferência internacional de dados (cuja minuta de norma entrou em audiência pública) e a hipótese legal de tratamento de dados pessoais do legítimo interesse.
“O que chama atenção até o momento é que a atividade sancionadora da ANPD caminha em ritmo menos acelerado do que muitos imaginavam (apenas um procedimento de fiscalização teve como desfecho a aplicação de sanção por violação à LGPD, o que ocorreu recentemente). Tal fato pode ser consequência da priorização, pela ANPD, da atividade de regulamentação em detrimento, ao menos até então, da fiscalização. Ainda assim, é de se esperar que notícias de aplicação de sanção pela ANPD sejam cada vez mais comuns e frequentes”, consideram Krieck e Prado.
Guilherme Guidi, associado do Freitas Ferraz Advogados, diz que a partir das diretrizes da ANPD e da publicação da primeira sanção administrativa, foi possível ter um vislumbre de como a autoridade exercerá sua autoridade fiscalizadora: “O primeiro – e talvez mais importante – recado transmitido pela ANPD foi a de que nenhuma instituição está fora do seu escopo de fiscalização. Esperava-se que a primeira sanção pudesse vir a grandes empresas ou a grupos econômicos que tratam alto volume de dados pessoais, o que, como vimos, não aconteceu.”
Na entrevista abaixo, os advogados do Carneiro de Oliveira, do VRMA e do Freitas Ferraz fazem um breve balanço dos cinco anos da LGPD.
– A LGPD completou cinco anos. Qual é o balanço desse período, no que diz respeito à proteção de dados pessoais no Brasil?
Jenne Silva: A LGPD veio em um momento de crescente preocupação com a proteção aos direitos fundamentais dos indivíduos, notadamente a liberdade e a privacidade, e foi fortemente inspirada por outros normativos adotados no exterior. Em agosto de 2023, a LGPD completou cinco anos da publicação e, desde então, percebe-se que houve uma mudança significativa no cotidiano dos modelos de negócios das empresas quanto a cautela na proteção dos dados e a privacidade das informações de seus colaboradores, clientes, fornecedores, dentre outros. Contudo, nota-se que ainda existem instituições nos mais variados segmentos corporativos que não se adequaram à norma e resistem ao novo contexto regulatório, apesar do fato de a LGPD produzir efeitos desde setembro de 2020 e a parte das sanções administrativas (artigos 52, 53 e 54) estar vigente desde agosto de 2021 (Lei n.º 14.010/2020).
Gabriela Saad Krieck e Luis Fernando Prado: Ainda que o enforcement e a regulação complementar do tema no Brasil tenham o que evoluir, não se pode negar que a LGPD mudou a forma como organizações brasileiras lidam com questões de coleta, uso e compartilhamento de dados pessoais. Portanto, para além de uma mera questão de conformidade, privacidade e proteção de dados virou tema central para os negócios, tanto no cenário B2B (business to business) quanto no cenário B2C (business to consumer).
Guilherme Guidi: A LGPD foi aprovada em 2018 como resposta a um panorama internacional em evolução. Mais do que normatizar e regulamentar o tema de proteção de dados, a lei tem sido responsável por promover a conscientização e a educação sobre o tema.
Em termos de efetividade, é fácil notar que, mais que uma obrigação legal, a LGPD já conseguiu afetar o mercado, por exemplo pelo estabelecimento de práticas relacionadas à auditoria de conformidade antes da contratação de parceiros e fornecedores. O ganho de confiança de consumidores em virtude de programas de privacidade também tem sido elemento propulsor de medidas aderentes à LGPD. Dentre os exemplos citados, esse movimento orgânico – que, de certa forma, independente da atividade fiscalizadora da ANPD – tem sido relevante na maturidade do tema e na própria efetividade da LGPD.
No entanto, há ainda um longo caminho a percorrer, tanto na regulamentação de temas abertos da lei como transferências internacionais, quanto na atuação coordenada das autoridades envolvidas, como SENACON e ANPD, para dar segurança às empresas quanto ao que é esperado delas.
Rodrigo Pôssas: É interessante notar o impacto positivo em outras áreas para além de proteção de dados. Dentre estes, um dos temas relevantes – e às vezes pouco mencionado – é como a LGPD também impulsionou maior cultura em segurança da informação nas organizações públicas e privadas. Ainda que distintos, os temas de segurança e proteção de dados se complementam em vários aspectos, traduzindo maior preocupação em governança e proteção da informação – e não apenas de ativos ou de dados pessoais.
– Há pontos relevantes da lei que ainda precisam ser regulamentados?
Jenne Silva: Sim. Por exemplo, a hipótese legal de tratamento de dados pessoais do legítimo interesse (artigo 7º, IX, da LGPD) que foi colocada em consulta à sociedade, por tomada de subsídios, pela qual os cidadãos poderão enviar contribuições e, assim, a Autoridade Nacional de Proteção de Dados (ANPD) poderá elaborar conteúdo orientativo sobre a questão. Ademais, está em Consulta Pública o Regulamento de Transferências Internacionais de Dados Pessoais. Tais pontos são importantes para garantir a plena operacionalização da LGPD em diversos modelos de negócios.
Gabriela Saad Krieck e Luis Fernando Prado: Sim, nos últimos meses a atividade da Autoridade Nacional de Proteção de Dados (ANPD) vem sendo centrada em aspectos relevantes da regulamentação do tema. Um exemplo são as regras para comunicação de incidentes de segurança com dados pessoais, funções e responsabilidades de Data Protection Officer (DPOs) e requisitos para transferência internacional de dados. Há grande expectativa para que esses e outros temas centrais da LGPD sejam regulamentados o quanto antes, pois são questões centrais para qualquer programa de privacidade no âmbito empresarial.
Rodrigo Pôssas: Sim. Alguns pontos já foram endereçados, como o Regulamento de Dosimetria e Sanções Administrativas, o Regulamento de Fiscalização, além de temas objeto de divulgação educacional. No entanto, existem alguns tópicos que carecem de regulamentação específica da LGPD, como padrões e técnicas utilizadas em processos de anonimização, portabilidade de dados pessoais, regras relativas à transferência internacional de dados, dentre vários outros.
Inclusive, recentemente alguns temas foram objeto de abertura de consulta pública, como a norma de transferências internacionais e a hipótese legal de tratamento com base no legítimo interesse.
– Quanto à atividade sancionadora da ANPD, já é possível fazer alguma avaliação?
Jenne Silva: Observa-se que a ANPD pretende estimular cada vez mais a adoção de medidas preventivas pelas empresas, por meio de práticas revestidas por um caráter educativo, por meio de guias orientativos, diálogo constante, sem que isso substitua ou anule o poder coercitivo da agência. Observa-se que as fiscalizações quanto às obrigações previstas na ANPD fazem parte da agenda regulatória da ANPD e a sanção é uma medida legítima que já foi, inclusive, adotada.
Por mais que a LGPD tenha completado cinco anos, ainda existe um caminho significativo pela frente para que as empresas percebam o quão necessário (e vantajoso) é melhor prevenir ações, revisar práticas, aperfeiçoar controles internos e investir em um programa de governança de dados.
Gabriela Saad Krieck e Luis Fernando Prado: O que chama atenção até o momento é que a atividade sancionadora da ANPD caminha em ritmo menos acelerado do que muitos imaginavam (apenas um procedimento de fiscalização teve como desfecho a aplicação de sanção por violação à LGPD, o que ocorreu recentemente). Tal fato pode ser consequência da priorização, pela ANPD, da atividade de regulamentação em detrimento, ao menos até então, da fiscalização. Ainda assim, é de se esperar que notícias de aplicação de sanção pela ANPD sejam cada vez mais comuns e frequentes.
Guilherme Guidi: A partir das diretrizes da autoridade e da primeira publicização de sanção administrativa, foi possível ter um vislumbre de como a autoridade exercerá sua autoridade fiscalizadora. O primeiro – e talvez mais importante – recado transmitido pela ANPD foi a de que nenhuma instituição está fora do seu escopo de fiscalização. Esperava-se que a primeira sanção pudesse vir a grandes empresas ou a grupos econômicos que tratam alto volume de dados pessoais, o que, como vimos, não aconteceu.
É possível que os primeiros processos de fiscalização sirvam como um “treino” à equipe da ANPD, permitindo testar e estabelecer alguns entendimentos, familiarizando-se com o procedimento descrito nos regulamentos, para que casos de maior monta sejam conduzidos com maior confiança.
– Em sua opinião, qual é o estágio das empresas brasileiras com relação à proteção de dados pessoais? E da conscientização por parte das pessoas físicas? Quais desafios ainda existem para aplicação da lei?
Jenne Silva: Observa-se que o ambiente corporativo avançou na questão do entendimento quanto à aplicabilidade da LGPD. Percebe-se uma preocupação maior, uma atenção e cautela no tratamento dos dados pessoais porque as empresas vêm observando que se trata, na verdade, de uma “sobrevivência setorial”. Os clientes exigem a adequação, e, por sua vez, os fornecedores também precisam estar adequados à LGPD para manterem o vínculo contratual. A sociedade de uma maneira geral está mais interessada no tema e, consequentemente, mais questionadora sobre as práticas adotadas para controle e medidas de segurança aplicáveis na proteção e privacidade de dados pessoais.
Gabriela Saad Krieck e Luis Fernando Prado: No âmbito empresarial, o nível de maturidade com relação ao tema é bastante variado. No entanto, de forma geral, o que se pode dizer é que a maioria das organizações elevou o seu nível de maturidade no tema ao longo dos últimos cinco anos.
Em relação às pessoas físicas, também é possível notar um maior interesse e conhecimento sobre o tema. Tanto é assim que boa parte das reclamações feitas por consumidores atualmente envolve o tema de proteção de dados pessoais. Em todo caso, a solidificação de uma cultura de proteção de dados pessoais no país é um processo contínuo, que naturalmente demanda dezenas de anos. Por exemplo, na Europa, onde há regulamentação sobre o tema há aproximadamente três décadas, pode-se notar que a consciência da população com relação ao tema é sabidamente mais elevada.
Por fim, referente aos desafios para a plena aplicação da LGPD, estes caminham de mãos dadas com a necessidade de uma intensificação das atividades da ANPD, órgão que tem menos de três anos de existência e ainda alguns desafios estruturais, segundo relatos da própria autoridade. Ainda assim, este ano de 2023 tem sido marcante pela intensificação da atuação da ANPD, de forma que nossa previsão é de que o tema de proteção de dados se intensifique ainda mais nos próximos anos.
Guilherme Guidi: A maturidade em proteção de dados varia muito de empresa a empresa, especialmente considerando seu ramo de atuação. É fácil notar que setores como saúde, tecnologia e serviços financeiros geralmente adotam maiores cuidados, especialmente pela regulamentação setorial que é aplicável em paralelo à LGPD. Em outros setores, é comum ainda achar empresas em vias de se adequar à lei ou com soluções intermediárias. O que estas começam a notar, entretanto, é que o padrão exigido pelo mercado já começa a pedir por maior comprometimento com o tema da proteção de dados.
Nos dois cenários, ainda há também empresas que apostaram em soluções “de papel”, adotando políticas e outros mecanismos de controle apenas como forma de poder apresentar evidências disso, e mesmo pessoas que apostam na inefetividade da lei em face de uma suposta “ausência de fiscalização”.
Fato é que a conscientização por parte do mercado consumidor começa a tornar esse tipo de posição quase inviável, pois o brasileiro percebeu que com a LGPD tem agora uma nova via para reclamar seus direitos. Assim, mesmo que a atuação da ANPD ainda seja limitada em quantidade de processos fiscalizatórios, a maior preocupação da empresa passa a ser reclamações em órgãos de defesa do consumidor, dificuldades na renovação de contratos e mesmo processos judiciais coletivos ou individuais.