Lei Geral de Proteção de Dados completa cinco anos
A cultura de proteção de dados se fortalece significativamente no Brasil desde 2018, mas questões relevantes ainda estão pendentes de regulação
Assuntos
Em agosto de 2023, comemora-se os cinco anos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD). Publicada em 2018, a LGPD entrou em vigor em 2020 e suas sanções se tornaram aplicáveis em 2021.
Antes da aprovação e entrada em vigor da LGPD, o direito à privacidade no Brasil era garantido pela Constituição Federal e o tratamento de dados pessoais regulado, pontualmente, por regras esparsas em leis infraconstitucionais. A LGPD alterou o paradigma de proteção de dados no país, propondo uma regulação geral e de aplicação horizontal que impactou toda a sociedade e setores do mercado. Após a publicação da LGPD, já em 2022, a proteção de dados pessoais também alcançou o status de direito fundamental constitucionalmente protegido.
Com o progresso tecnológico que permeou o desenvolvimento da sociedade ao longo dos últimos anos, a entrada em vigor da LGPD foi um marco relevante para fortalecer a cultura da privacidade no Brasil. A LGPD fomentou a proteção de dados no país ao garantir maior segurança jurídica aos agentes de tratamento de dados que, agora, possuem maior previsibilidade sobre suas obrigações e responsabilidades e ao beneficiar os titulares de dados que, atualmente, possuem direitos definidos e meios eficientes para exercê-los.
Outros marcos significativos relevantes também decorrem da LGPD. Destaca-se, nesse sentido, a criação da Autoridade Nacional de Proteção de Dados (ANPD), responsável por regular e fiscalizar a aplicação da LGPD no território nacional. Desde a sua criação, a ANPD publicou diversas orientações, notas técnicas e resoluções, além de ter participado e estimulado debates importantes. Recentemente, em julho de 2023, a ANPD também aplicou sua primeira sanção administrativa.
O que foi feito até aqui
Como autoridade responsável por regular a LGPD, a ANPD abordou tópicos relevantes para o desenvolvimento da proteção de dados por meio de diversas iniciativas, dentre as quais destacam-se:
- Resolução aplicável aos agentes de tratamento de pequeno porte: publicada em 27 de janeiro de 2022, essa resolução propõe flexibilizações e dispensas para os agentes que são considerados como de “pequeno porte”, incluindo flexibilizações relacionadas à obrigação de manutenção do registro de atividades de tratamento de dados e de nomeação do encarregado de proteção de dados;
- Guia Orientativo sobre Cookies e Proteção de Dados Pessoais: publicado em 18 de outubro de 2022, esse guia fornece aos agentes de tratamento de dados informações sobre o uso de cookies, abrangendo questões técnicas (como definições e categorias de cookies), bem como sobre a aplicabilidade da LGPD aos tratamentos de dados gerados pelo uso de cookies em sites;
- Regulamento de Dosimetria e Aplicação de Sanções Administrativas: publicada em 27 de fevereiro de 2023, esse regulamento define os critérios e parâmetros para a aplicação das sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas,
- Orientações sobre relatório de impacto à proteção de dados pessoais: publicado em 6 de abril de 2023, este site contém perguntas frequentes com informações sobre o relatório de impacto à proteção de dados pessoais, quando e como os controladores de dados devem prepará-los, informações que devem ser incluídas e a definição de atividades de tratamento de dados de “alto risco” – entre outros aspectos que não são abordados na LGPD;
- Consulta pública para resolução sobre incidentes de segurança de dados: publicada em 2 de maio de 2023, a ANPD recebeu contribuições públicas para o projeto de resolução que trata como os incidentes de segurança envolvendo dados pessoais devem ser notificados à Autoridade e aos titulares de dados afetados. O projeto de resolução busca regulamentar os requisitos da notificação no caso de incidentes que possam causar danos graves ou riscos para os titulares de dados;
- Estudo preliminar e enunciado sobre o tratamento de dados de crianças e adolescentes: publicado em 22 de maio de 2023, o estudo preliminar da ANPD estabeleceu que esses dados podem ser tratados de acordo com as disposições do artigo 7º da LGPD (ou artigo 11 no caso de dados sensíveis) da LGPD, desde que os melhores interesses das crianças e dos adolescentes sejam respeitados.
Além das orientações da ANPD, diversas decisões judiciais relativas à interpretação e aplicação da LGPD também foram emitidas. O número de processos judiciais relacionados à LGPD aumentou substancialmente desde sua entrada em vigor em 2020.
O que ainda está por vir
No entanto, ainda há uma série de questões que precisam ser enfrentadas, especialmente pela ANPD. Alguns desses tópicos estão previstos na agenda regulatória da Autoridade e incluem:
- Transferências internacionais de dados: em 18 de maio de 2022, a ANPD abriu uma chamada para contribuições públicas como parte de um movimento para desenvolver regulamentações sobre transferências internacionais de dados pessoais. De acordo com a LGPD, a ANPD é responsável por regular as transferências internacionais de dados por meio, por exemplo, da definição do conteúdo de cláusulas-padrão contratuais, bem como pela verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta;
- Inteligência Artificial (IA): até o momento, esse tópico não é regulamentado especificamente pelo arcabouço legal brasileiro. No entanto, a ANPD analisou o Projeto de Lei nº 2.338/2023, cujo objetivo é estabelecer um marco legal específico para IA, e destacou pontos de convergência e controvérsia entre o projeto de lei e a LGPD;
- Direitos dos titulares de dados: a ANPD precisa regulamentar tais direitos em maiores detalhes, de acordo com as disposições relevantes contidas na LGPD;
- Dados pessoais sensíveis: a ANPD precisa regulamentar como tais dados devem ser tratados, especialmente dados biométricos, que são relevantes para situações envolvendo prevenção de fraudes e reconhecimento facial;
- Medidas de segurança, técnicas e administrativas: a regulamentação desse tópico, incluindo o estabelecimento de padrões técnicos mínimos de segurança a serem observados pelos agentes de tratamento, é de suma relevância para auxiliar na prevenção de incidentes de segurança e na adoção de boas práticas de proteção de dados pelo mercado.
O marco de cinco anos desde a publicação da LGPD propõe uma oportuna reflexão sobre as conquistas atingidas até o momento no âmbito da regulação de proteção de dados no Brasil. No entanto, certos aspectos da lei exigem regulamentação complementar nos próximos anos para garantir maior segurança jurídica para os negócios orientados a dados e para seus titulares. Sem dúvidas, assim como foram esses últimos anos, os cinco anos que estão à frente serão de valor inestimável para um desenvolvimento ainda mais expressivo da proteção de dados no país.
Para mais informações sobre as atividades da ANPD e outros aspectos da proteção de dados, entre em contato com a área de prática Proteção de Dados e Cybersecurity do Mattos Filho.