Lei Geral de Proteção de Dados: desafios superados e o que esperar?

Fábio Luiz Barboza Pereira*

Paola Luongo Lorenzetti de Miranda**

Fernanda da Cunha Cintra Azarite***

O lema de que vivemos em uma sociedade orientada por dados não é mais novidade. Com isso, e para que as empresas possam explorar os dados e se manter competitivas no mercado, evitar incidentes de segurança, multas e eventuais danos à reputação, o cumprimento das regras de privacidade e proteção de dados passou a fazer parte das discussões corporativas, globalmente.

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018 ou “LGPD”) se insere nesse contexto global, afetando todos os setores da economia e empresas de todos os portes. Desde a sua entrada em vigor, em 18 de setembro de 2020, a LGPD já percorreu um longo caminho, mas ainda há diversas questões jurídicas que permeiam a proteção de dados pessoais pendentes de um maior processo de maturação.

A LGPD é a principal lei que regula o tratamento de dados pessoais no Brasil e garante uma série de direitos aos titulares de dados, além de impor importantes obrigações aos agentes de tratamento. A proteção aos dados pessoais é um direito tão importante que foi reconhecido como direito fundamental e incluído como garantia fundamental na Constituição Federal por meio da Emenda Constitucional nº 115, promulgada em fevereiro de 2022.

1. Autoridade Nacional de Proteção de Dados

Dentre as principais mudanças promovidas desde a promulgação da LGPD, destaca-se a alteração da natureza jurídica da Autoridade Nacional de Proteção de Dados (“ANPD”), que representou um passo importante no processo de adaptação do Brasil às normas internacionais de proteção de dados.

Originalmente criada como entidade integrante da Administração Pública Federal, ligada à Presidência, a ANPD foi transformada em uma autarquia de natureza especial pela Medida Provisória nº 1.124/2022, convertida na Lei nº 14.460/2022. Com ela, a ANPD se tornou uma entidade efetivamente autônoma, sem subordinação hierárquica, com autonomia técnica e decisória e com sede e jurisdição no Distrito Federal.

2. Regulamentação de Tópicos Específicos da LGPD

A ANPD está atualmente realizando todas as suas funções de fiscalização e sanção, exceto pela aplicação de multas, que foi objeto de discussão em consulta pública (conforme mencionado abaixo), e já emitiu as seguintes resoluções:

(i) Resolução CD/ ANPD N° 1/2021, que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, que visa a estabelecer os procedimentos inerentes ao processo fiscalizador, que compreende as atividades de acompanhamento, orientação e atuação preventiva pela ANPD, e as normas a serem observadas no âmbito do processo administrativo sancionatório;

(ii) Resolução CD/ANPD N° 2/2022, que aprova o Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte, o qual dispõe sobre a aplicação da Lei Geral de Proteção de Dados para micro e pequenas empresas, bem como para iniciativas empresariais incrementais ou disruptivas que se declarem startups ou empresas de inovação.

De modo a orientar os agentes acerca do tema de proteção de dados pessoais, a ANPD, em conjunto com diversas entidades e autoridades, já publicou diversos guias e documentos técnicos e, inclusive, criou um repositório de publicações em seu site oficial.

Tais publicações cobrem uma variedade de tópicos, dos quais destacam-se os seguintes:

Vazamento de Dados,
Tratamento de Dados Pessoais pelo Poder Público,
Guia Orientativo de Aplicação da LGPD por agentes de tratamento no contexto eleitoral,
Segurança da Informação para Agentes de Tratamento de Pequeno Porte,
Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado,
Proteção de Dados,
Como Proteger seus Dados Pessoais,
E, mais recentemente, Guia Orientativo de Cookies e Proteção de Dados Pessoais.

Não obstante, ainda há diversos dispositivos da LGPD pendentes de esclarecimento e/ou de regulamentação pela ANPD.

Neste sentido, em agosto deste ano, a ANPD abriu quatro consultas públicas para a tomada de subsídios da sociedade civil sobre as seguintes regulamentações: (i) Elaboração da Agenda Regulatória para o Biênio de 2023-2024; (ii) Resolução Regulamentadora sobre Aplicação de Sanções e Dosimetria; (iii) Tratamento de Dados Pessoais de Alto Risco; e (iv) Resolução sobre o Tratamento de Dados Pessoais de Crianças e Adolescentes.

2.1 Elaboração da Agenda Regulatória para o Biênio de 2023-2024

Buscando conferir, nas palavras da própria ANPD, maior publicidade, previsibilidade, transparência e eficiência para o seu processo regulatório, bem como trazer maior segurança jurídica na relação com os agentes de tratamento, a agência publicou no portal da Presidência da República uma Tomada de Subsídios com os principais temas pendentes de regulação para serem classificados pela sociedade em ordem de prioridade e relevância.

Dentre os temas apresentados, destacamos os seguintes: (i) tratamento de dados de crianças e adolescentes; (ii) adequação progressiva das bases de dados; (iii) petição dos titulares dos dados; (iv) dados pessoais sensíveis – dados biométricos; (v) medidas de segurança, técnicas e administrativas, incluindo padrões mínimos de segurança técnica; (vi) compartilhamento de dados por autoridades públicas; e (vii) pareceres ou recomendações técnicas sobre as exceções previstas no artigo 4º, III, da LGPD (não aplicabilidade da LGPD quando o tratamento for realizado exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou investigação e repressão de infrações penais).

2.2 Resolução Regulamentadora sobre Aplicação de Sanções e Dosimetria

A Resolução Regulamentadora sobre Aplicação de Sanções e Dosimetria busca promover a eficácia da LGPD por meio de uma metodologia para aplicação das sanções previstas, além de assegurar que as decisões tomadas por ela sejam efetivas, isonômicas, transparentes, objetivas e consistentes. A definição dessa regulamentação é a principal pendência antes que a ANPD comece a aplicar multas.

Dentre os pontos mais relevantes da minuta proposta pela agência, destacam-se (a) a classificação das infrações entre advertências e multas, a publicização da infração, a suspensão das atividades de tratamentos de dados pessoais, dentre outras, (b) o estabelecimento dos critérios e parâmetros para a definição das sanções como a gravidade e natureza do ato, grau do dano e a cooperação e boa-fé do infrator, (c) a classificação da gravidade das infrações como leves, médias ou graves; e (d) a metodologia para aplicação e forma de cálculo das sanções de multa, respeitando os limites máximos estabelecidos na LGPD.

3. Tratamento de Dados Pessoais de Alto Risco

A tomada de subsídios ocorre devido ao art. 4º do Regulamento da Lei Geral de Proteção de Dados para Agentes de Tratamento de Pequeno Porte (Resolução CD/ANPD nº 2, de 2022) que estabelece critérios gerais e específicos para definição do tratamento de dados de alto risco.  Isso porque os agentes de tratamento de pequeno porte que realizam o tratamento de dados pessoais de alto risco são uma exceção ao regime especial estabelecido na Resolução em questão.

Diante disto, a ANPD está elaborando um guia orientativo para auxiliar os agentes de tratamento de pequeno porte na avaliação de seu tratamento de dados pessoais, em complemento ao Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte, já publicado em 04 de outubro de 2021.

4. Resolução sobre o Tratamento de Dados Pessoais de Crianças e Adolescentes

A consulta sobre o Tratamento de Dados Pessoais de Crianças e Adolescentes decorre de um contexto de insegurança jurídica devido à indefinição das hipóteses jurídicas aplicáveis a esse tratamento, constituindo um tema polêmico entre profissionais e estudiosos da área. Dada a importância do tema, a LGPD reservou uma seção específica para o tratamento de dados de crianças e adolescentes, estabelecendo que esse tratamento deve ser realizado no melhor interesse desses titulares de dados.

Para tanto, a ANPD elaborou um estudo preliminar sobre as hipóteses jurídicas aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. Neste estudo, a agência endereçou especialmente a obrigatoriedade da coleta do consentimento dos responsáveis legais para o tratamento dos dados pessoais de crianças, bem como suas implicações.

5. O que esperar no futuro?

Pesquisas recentes indicam que a maioria das empresas brasileiras não está em conformidade com a LGPD. Ao mesmo tempo, os incidentes envolvendo dados pessoais continuam crescendo no país, colocando o Brasil entre os países com maior número total de vazamentos de dados.

Embora a ANPD tenha demonstrado estar ciente da necessidade de investir tempo e esforço na conscientização sobre a relevância da proteção de dados pessoais, portanto não adotando, de início, uma postura mais sancionatória e repressiva, isso não significa que as empresas não devam se comprometer com a adequação à LGPD. Além de a LGPD ter aplicação transversal, diversos órgãos como o Ministério Público Federal – MPF, o Conselho Administrativo de Defesa Econômica – CADE, a Secretaria Nacional do Consumidor – SENACON e os PROCONs a têm invocado em representações administrativas e judiciais.

A proteção de dados e a segurança da informação nunca foram temas tão relevantes, o que significa que o cumprimento da legislação de proteção de dados tornou-se um dos ativos mais importantes do mercado.

Até 2023, espera-se:

Maior maturidade das empresas em relação a seus programas de privacidade, proteção de dados e governança;
Atenção ao tratamento de dados pessoais sensíveis para fins políticos, especialmente dados relacionados à opinião política;
Fiscalização do cumprimento da LGPD e de seus regulamentos pela Coordenação-Geral de Fiscalização, inclusive de forma retroativa a partir de 1º de agosto de 2021;
Maior conscientização dos titulares dos dados sobre seus direitos segundo a LGPD e, com isso, aumento das solicitações direcionadas às empresas e à ANPD para o exercício de tais direitos;
Aumento contínuo do número de ataques cibernéticos e incidentes de segurança, como vazamentos de dados, devido ao crescimento progressivo do volume de dados pessoais circulando em ambientes e plataformas digitais; e
Discussões sobre o direito à privacidade no metaverso.

Além disso, tem-se a expectativa de novas diretrizes e regulamentação da ANPD sobre:

Transferência internacional de dados pessoais e mecanismos de transferência de dados, incluindo a definição do conteúdo das cláusulas contratuais padrão, dentre outras;
Direitos dos titulares dos dados, incluindo prazos para petição à ANPD, revisão de decisões tomadas exclusivamente com base no tratamento automatizado de dados pessoais e tratamento de dados por pessoas jurídicas de direito público; e
O tratamento de dados pessoais para orientar o público sobre as hipóteses legais de aplicação da LGPD e as bases legais descritas no artigo 7º, dentre outros tópicos.

Embora enormes desafios se coloquem para a plena implementação e correta aplicação da LGPD, os avanços nesses últimos quatro anos trouxeram a certeza de que a privacidade e a proteção dos dados pessoais são direitos que vieram para ficar.

Diante disso, espera-se que as lacunas da LGPD sejam preenchidas em breve, trazendo maior segurança jurídica às empresas que buscam estar adequadas, e proteção mais efetiva aos titulares dos dados pessoais em um cenário global de economias cada vez mais baseadas em dados.