A maior parte dos artigos da LGPD (Lei nº 13.709/2018) entrou em vigor no dia 18 de setembro de 2020, e a sua vigência integral se completou no dia 1º de agosto de 2021 (com os arts. 52/54, sobre as sanções administrativas e o procedimento para a sua aplicação), e as mudanças relevantes perceptíveis na prática do tratamento de dados pessoais ocorreram progressivamente, no final de 2020 e durante todo o ano atual, até completar um ano em 18 de setembro de 2021.
Além disso, a publicação da LGPD completou três anos no dia 15 de agosto de 2021.
Inicialmente, houve a adaptação das políticas de privacidade dos portais da internet e uma maior cautela das organizações que atuam com atividades de tratamento, diante das incertezas e lacunas existentes na lei.
Uma das causas certamente decorre das mudanças ocorridas no período de vacância da LGPD, com as alterações realizadas em seu art. 65 por duas medidas provisórias e três leis em um período de 25 meses. A expectativa para a entrada em vigor da maior parte da lei para 3 de maio de 2021 foi antecipada e a vigência iniciada ainda durante a existência de medidas de isolamento social causadas pela pandemia da COVID-19 dificulta a adequação e a aplicação da LGPD.
A ausência de uma cultura sobre a regulação de tratamento de dados pessoais e sobre os direitos e deveres de seus sujeitos (titulares e agentes de tratamento), ainda que já existissem leis que tratam do assunto de forma não geral (como o Código de Defesa do Consumidor, a Lei do Cadastro Positivo e o Marco Civil da Internet) também é um fator relevante.
Além disso, o atraso na criação da Autoridade Nacional de Proteção de Dados (que já poderia ter sido criada em 28 de dezembro de 2018), que tem uma função regulamentadora importante em grande parte das normas da LGPD e que deve adotar um papel educativo antes de passar a agir como órgão sancionador, igualmente dificultou e atrasou a efetividade das novas normas sobre tratamento e proteção de dados pessoais.
A falta de sanções administrativas no início da vigência legal (que, como visto, entraram em vigor apenas em 1º de agosto de 2021) na prática também permitiu um prazo maior de adaptação e compreensão das normas legais, ainda que isso não afaste a ocorrência de atos ilícitos ou danos e de conflitos que levem à imposição das sanções cíveis ou criminais em processos judiciais.
A existência de ações coletivas e individuais (sem a temida avalanche de novos processos), as primeiras decisões (como, por exemplo, a decisão monocrática em recurso no TJDFT que determinou a suspensão da comercialização de dados pessoais pela empresa Serasa Experian), a adaptação visível de diversas empresas (além do aviso inicial de seleção de cookies nas páginas da internet, alguns estabelecimentos comerciais já contêm informações sobre o tratamento de dados pessoais), as alterações realizadas em Políticas de Privacidade, as instruções normativas da Secretaria de Governo Digital do Executivo Federal, o site da Autoridade Nacional de Proteção de Dados, as invasões aos sites e sistemas do STJ, do TSE e de outros tribunais, os atos regulamentadores de Tribunais e outros órgãos públicos e a Resolução nº 363/2021, do Conselho Nacional de Justiça, com orientações a todos os tribunais do país (exceto para o STF) sobre a adoção de medidas preparatórias para a adequação do Judiciário à LGPD, foram os principais reflexos ocorridos no fim de 2020 e início de 2021.
A Resolução 363/2021 do CNJ, aprovada em dezembro de 2020, contém algumas medidas estruturais, como a criação do Comitê Gestor de Proteção de Dados Pessoais (CGPD) em cada tribunal, com caráter multidisciplinar (que será o órgão responsável pelo processo de implantação da LGPD), a designação do encarregado e a formação de um Grupo de Trabalho Técnico (com caráter multidisciplinar, composto por servidores das áreas de tecnologia, segurança da informação e jurídica, entre outras), para auxiliar o encarregado no desempenho de suas funções.
Ainda, os incidentes com dados pessoais começam a gerar reações dos titulares, de entidades da sociedade e da Autoridade Nacional de Proteção de Dados.
Por exemplo, no final de janeiro deste ano a OAB enviou um ofício à ANPD, com pedido de apuração do vazamento de dados pessoais de mais de 220 milhões de brasileiros (quantidade superior à da população atual do país e que compreende inclusive dados de pessoas já falecidas).
Vazamento semelhante ocorreu posteriormente, contendo mais de um bilhão de dados pessoais (CPF, gênero, data de nascimento, endereço de e-mail e número de telefone celular, entre outros, de aproximadamente 223 milhões de pessoas, vivas e falecidas), com a identificação da base de dados vazada, o que supostamente ocorreu a partir da base de dados de um serviço estadual de emissão de documentos.
Também se noticiou em 2021 o megavazamento de aproximadamente 500 milhões de dados pessoais de quase 90 milhões de usuários (mais de 443 mil brasileiros) de uma rede social, ocorrido há alguns anos e não comunicado pelo controlador.
Outro vazamento ocorreu com uma rede social nova (com comunicação por áudio), que teve divulgados os dados cadastrais de mais de um milhão e trezentos mil usuários (como o nome, a imagem de perfil, quantidade de seguidores e de pessoas que o usuário segue, entre outros).
Um vazamento de aproximadamente 100 milhões de números de telefone celular no país passou a ser investigado pela Secretaria Nacional do Consumidor (do Ministério da Justiça), que notificou as operadoras de telefonia para prestarem informações, e também pela ANPD.
Um estudo publicado na edição de janeiro de 2021 do Journal of Data and Information Quality indica que a quantidade de incidentes relevantes com dados pessoais no Brasil cresceu quase 500% de 2018 para 2019.
No dia 15 de julho, o PROCON de São Paulo divulgou pesquisa que indica que apenas 35% das pessoas conhecem a Lei Geral de Proteção de Dados e que somente 30% tiveram conhecimento da ocorrência de vazamento dos seus dados pessoais (especialmente os documentos pessoais: RG, CPF, CNH ou Carteira de Trabalho). Nesse item, 47% informaram que o vazamento não lhes causou prejuízo, enquanto 53% informaram que sofreram danos materiais ou morais com esse fato. Porém, 63,25% dessas pessoas prejudicadas com o vazamento afirmaram que não tomaram nenhuma providência, porque não sabiam o que fazer ou por entender que não obteriam nenhum resultado ou solução para corrigir ou cessar o vazamento.
Portanto, a existência de informações sobre a nova lei ainda não levou necessariamente à defesa individual dos direitos (o que não exclui a tutela coletiva prevista no art. 22 da LGPD, que, em diversos casos, pode ser mais adequada e efetiva do que a tutela individual).
Ainda sobre vazamentos, um estudo da PSafe indica que os vazamentos de dados em 2021 devem superar os 10 bilhões de dados vazados em todo o mundo no ano de 2020. Somente no primeiro semestre deste ano já se constatou o vazamento de mais de 4,6 bilhões de dados pessoais. A empresa de segurança e privacidade informou que a valorização dos dados pessoais levou ao aumento de vazamentos e outros incidentes.
Entre os fatos recentes que corroboram essa questão, noticiou-se em junho que a empresa brasileira JBS efetuou o pagamento, em moedas virtuais, de 11 milhões de dólares para o desbloqueio dos sistemas de suas unidades nos Estados Unidos, Canadá e Austrália (causados por ransomware, o que impediu a continuidade das atividades regulares da empresa).
Fato semelhante ocorreu em março de 2021, com um ataque por meio de ransomware aos sistemas eletrônicos da fabricante de computadores Acer, seguido do vazamento de diversos dados e arquivos e a exigência do pagamento de 50 milhões de dólares. No Brasil, também se divulgou um ataque de ransomware no dia 22 de junho contra o Grupo Fleury, o que levou à paralisação dos sistemas eletrônicos da empresa.
Esse alto índice de incidentes demonstra que a ausência de uma cultura de proteção de dados pessoais no país levou a um cenário de tratamento, compartilhamento e até mesmo de comercialização livres e desregulados de dados pessoais.
Também há um grande atraso na adequação à LGPD no país, tanto no setor privado, quanto no setor público.
Uma pesquisa com pequenas e médias empresas divulgada em julho de 2021 pela BluePex (especializada em soluções de segurança da informação) indica que somente 4% dessas organizações estavam adequadas à LGPD. Aproximadamente 12% das pequenas e médias empresas não adotaram nenhuma medida de adequação à LGPD, 27% afirmaram estar parcialmente adequadas e 55% procuram mais informações para a adequação.
Espera-se que as sanções administrativas acelerem essa adequação (que já deveria ter ocorrido antes de 18 de setembro de 2020), para evitar o descumprimento das normas legais e o surgimento de novos conflitos.
Ainda sobre o assunto, reportagem de 4 de julho divulgou a existência de mais de 600 decisões judiciais no Brasil que utilizaram a LGPD como um de seus fundamentos normativos. Há situações de aplicação conjunta da LGPD com o Código de Defesa do Consumidor, com o Código Civil e também com normas de Direito Tributário, entre outros casos que serão analisados nas próximas semanas.
Os tribunais também foram vítimas de ataques e incidentes com dados. Pessoais. Por exemplo, em 2021 ocorreu um ataque aos sistemas eletrônicos do Tribunal de Justiça do Estado do Rio Grande do Sul (por meio de um ramsomware, com a criptografia de dados) e um suposto ataque hacker ao portal do STF na internet (ainda sob investigação).
Nessas situações, a quem os tribunais devem comunicar os incidentes? Ao Conselho Nacional de Justiça, à Autoridade Nacional de Proteção de Dados, ou a ambos? De que forma os titulares devem ser comunicados, considerando a existência de quase 80 milhões de processos em tramitação em todo o Judiciário brasileiro e que, em cada tribunal, há uma quantidade de dados pessoais relativos a uma grande quantidade de titulares (em regra, números que abrangem milhões de titulares de dados pessoais nos processos judiciais).
O art. 48 da LGPD impõe aos controladores o dever de comunicar à ANPD e aos titulares a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
Portanto, há um dever mínimo de comunicação dos incidentes de segurança aos titulares e à ANPD, que se caracteriza quando o fato puder causar risco de dano relevante (perigo de dano, em uma conduta preventiva) ou efetivamente causar dano relevante (com a necessidade das medidas repressivas de contorno) aos dados pessoais e aos direitos dos titulares.
Se o dano que faz surgir o dever de comunicação é apenas o dano relevante, deve-se interpretar que o risco que igualmente impõe o dever de comunicação é apenas o risco de dano relevante.
Contudo, a quem incumbe definir que riscos e quais danos são relevantes, para levar ao dever de comunicação do incidente pelo controlador? À ANPD ou ao próprio controlador?
Apesar da necessidade de definição dessas questões, a proteção preventiva dos dados pessoais deve levar à conclusão de que, até que haja a delimitação desses conceitos, os incidentes precisam ser comunicados à ANPD e aos titulares.
Além disso, no dia 28 de janeiro de 2021 (Dia Internacional de Proteção de Dados) a ANPD publicou a sua agenda regulatória 2021/2022, com dez prioridades para o período e a divulgação prévia dos assuntos que serão prioridade da autoridade nacional em seu primeiro biênio de atuação.
Quatro dias depois, a ANPD divulgou o seu Planejamento Estratégico para o intervalo de 2021/2023, que contém o referencial estratégico da entidade (missão, visão e valores), os objetivos estratégicos, as ações estratégicas e os respectivos indicadores. A ANPD estabeleceu três objetivos estratégicos para esse período inicial:
- Promover o fortalecimento da cultura de proteção de dados pessoais;
- Estabelecer ambiente normativo eficaz para a proteção de dados pessoais;
- Aprimorar as condições para o cumprimento das competências legais.
Além de publicações sobre a proteção de dados e o vazamento de dados, a ANPD também aprovou uma portaria sobre o processo de regulamentação da LGPD.
Ainda, em agosto de 2021 houve a designação, pelo Presidente da República, dos integrantes do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Entre os casos práticos ocorridos, o aplicativo de mensagens whatsapp mudaria a sua política de privacidade a partir do dia 8 de fevereiro de 2021, o que incluiria o compartilhamento de dados pessoais dos usuários com o Facebook. Com a migração (total ou parcial) para outros aplicativos de usuários insatisfeitos com essa mudança, a alteração da política de privacidade foi postergada para o dia 15 de maio de 2021.
O Ministério Público Federal, o Conselho Administrativo de Defesa Econômica (CADE), a ANPD e a Secretaria Nacional do Consumidor (SENACON) expediram uma recomendação no dia 7 de maio de 2021, para a adoção das orientações específicas da ANPD (sobre a transparência das informações e a facilitação dos canais de acesso para o exercício dos direitos dos titulares dos dados), o adiamento do início da vigência da nova política de privacidade e da ausência de restrição do acesso às funcionalidades do aplicativo para usuários que não aderirem a ela.
Em consequência, houve uma nova prorrogação por mais 90 dias a partir de 15/05/2021, com uma redução progressiva das funcionalidades para quem não aceitar os novos termos de serviço e a da política de privacidade do aplicativo.
Posteriormente, no mês de agosto, houve a sinalização de que o whatsapp atenderá as recomendações constantes da nota em sua nova política de privacidade.
Em uma sentença judicial proferida no final de março deste ano pela 9ª Vara Cível de Brasília (do TJDFT), uma empresa de jornalismo foi condenada em virtude da divulgação de dados bancários e contracheques de dirigentes sindicais (ressalta-se que a LGPD não se aplica a esse caso, por se enquadrar na exceção de seu art. 4º, II, 'a').
Em outra sentença, a empresa concessionária da Linha 4 do Metrô da cidade de São Paulo foi condenada ao pagamento de compensação por danos morais coletivos no valor de cem mil reais, em virtude do uso inadequado de reconhecimento facial por câmeras de vigilância.
Também na Justiça Estadual de São Paulo se noticiou a realização da primeira busca e apreensão fundamentada na LGPD, em uma ação de produção antecipada de provas, a fim de identificar provas de eventual tratamento indevido de dados pessoais de clientes por uma corretora de planos de saúde.
Ainda existem diversas outras normas da LGPD a ser cumpridas, esclarecidas, interpretadas, regulamentadas e/ou efetivadas, o que deverá ocorrer em situações práticas a ser resolvidas entre titular e agentes, pela ANPD ou pelo Judiciário.
Apesar de um ano ser um período relativamente curto (considerando a vacatio legis superior a dois anos e da ausência de uma cultura anterior de proteção de dados no Brasil), a LGPD já começa a se consolidar e a fazer parte da rotina diária de todos, especialmente porque nossos dados pessoais são diariamente coletados e tratados.
Nesse intervalo, a LGPD passou a frequentar os tribunais e a ser efetivada, para assegurar a regularidade das operações de tratamento e o respeito aos direitos dos titulares de dados pessoais, o que deve se ampliar, em virtude do aumento constante da importância e do valor dos dados nas relações sociais.
O ano de 2021 também foi fundamental para a consolidação da LGPD no país, com a atuação efetiva da ANPD, especialmente na regulamentação e na educação do tratamento e proteção de dados no país.
A LGPD não deve ser vista como uma lei a ser utilizada para punir, mas especialmente para prevenir (os incidentes causados com dados pessoais não podem ser resolvidos com o retorno da situação anterior, especialmente quando ocorrem na internet) e para regular de forma clara quais são as atividades lícitas que podem ser realizadas no tratamento dos dados pessoais.
Por fim, a entrada em vigor de todos os artigos da LGPD no dia 1º de agosto de 2021 finalmente completa a etapa inicial do ciclo de desenvolvimento da cultura de proteção de dados no Brasil, o que não afasta o aumento da quantidade de conflitos e da imposição de sanções (administrativas e judiciais), a fim de alcançar a efetividade das normas da Lei Geral de Proteção de Dados Pessoais.
Artigo também publicado no Jusbrasil (clique aqui) e no Jus Navigandi (clique aqui).
Comments