Por Thomaz Côrte Real*
Após a sanção em 2018 e um incerto período de vacatio legis, a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em 18 de setembro de 2020 – com a publicação da lei 14.058/20 – restando valer os artigos 52, 53 e 54, que tratam das sanções administrativas, os quais entraram em vigor dia 1 de agosto.
Após, praticamente, um ano de vigência da LGPD, tivemos avanços significativos no cenário de proteção de dados no Brasil, mas ainda há muito trabalho pela frente.
Criação da ANPD
Com atraso, por meio do Decreto nº 10.474/2020, o Governo Federal criou a estrutura regimental da Agência Nacional de Proteção de Dados (ANPD), órgão da Presidência da República que, dentre diversas competências, destacam-se: i) zelar pela proteção dos dados pessoais, nos termos da LGPD; ii) promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; e iii) fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação.
Já em novembro/2020, foram nomeados os membros do Conselho Diretor da Autoridade Nacional de Proteção de Dados, um colegiado superior formado com características de pluralidade e tecnicidade.
Em, aproximadamente, nove meses de trabalhos efetivos, a ANPD promoveu a sua estruturação e evoluiu em diversos temas de extrema importância, como a realização de audiência pública sobre Normas de Fiscalização; tomadas de subsídios de incidente de segurança e de microempresas e empresas de pequeno porte; reunião técnica sobre relatório de impacto à proteção de dados pessoais; formação das listas tríplices com os indicados para o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD de diferentes setores; assinatura de acordos de cooperação; lançamento de um guia orientativo sobre agentes de tratamento e encarregado, dentre outros pontos relevantes.
Vale destacar que a ANPD tem mostrado uma grande interação dos seus membros, principalmente de seus diretores, com à sociedade, realizando debates profícuos, numa troca de conhecimentos e experiências de extrema relevância.
A ANPD tem ainda muito trabalho a realizar mas, neste início, vem mostrando que está sintonizada com seu propósito de promover a educação, a conscientização e a transparência nas questões que envolve a proteção de dados pessoais.
Nível de conformidade das empresas
Inicialmente, as empresas ganharam um fôlego com a prorrogação da entrada em vigor da LGPD, pois elas estavam totalmente direcionadas ao combate da crise instaurada pela pandemia de COVID-19, realocando recursos e implementando políticas de contenção de gastos para atravessarem essa crise sanitária. Consideramos que as empresas estavam impossibilitadas de direcionar esforços para o cumprimento das obrigações trazidas pela LGPD.
Mesmo diante das dificuldades trazidas pela pandemia, entendemos que, no atual cenário, é impreterível que as empresas iniciem uma jornada de implementação de governança e boas práticas de proteção de dados pessoais o quanto antes.
A lei dispõe sobre o tratamento de informações pessoais com objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Para isso, propõe a adoção de medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Não existe um plano de adequação padrão aplicável para todas as empresas e nem a LGPD traz uma receita pronta de como as empresas devam proceder para se adequarem às questões que envolvam o tratamento de dados pessoais. Mas, de forma ampla, a lei sugere que os agentes de tratamento de dados (Controlador e Operador) formulem regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
As empresas e demais organizações públicas e privadas deverão passar por uma grande transformação, implementando a cultura de privacidade e proteção de dados pessoais, até então deixada em segundo plano. Precisarão aderir uma nova postura no tratamento da volumosa quantidade de dados pessoais que sempre trafegaram por suas diferentes áreas (e agora também nas casas de seus colaboradores em função do trabalho remoto), muitas vezes sem o devido controle e segurança. Deverão ainda, pensar em privacidade e proteção de dados desde a concepção dos seus produtos e serviços até sua execução (privacy by design).
Segundo o Índice LGPD ABES/EY, temos um grande desafio pela frente: apenas 39,71% das empresas estão preparadas para atender as novas regras definidas pela LGPD. Ainda segundo esse índice, estima-se que 28,3% das empresas tenham sofrido alguma violação nos últimos 2 anos. Quando fazemos um corte por tamanho, entre as empresas com mais de 500 funcionários o índice de adequação sobe para 41,67%, mas ainda é um percentual baixo.
Frente Empresarial em Defesa da LGPD e da Segurança Jurídica
O setor privado também se movimentou bastante nesse último ano, por meio de debates, eventos e cursos de capacitação. Um movimento muito interessante que surgiu, em agosto de 2020, foi a Frente Empresarial em Defesa da LGPD e da Segurança Jurídica (Frente LGPD), composta por cerca de 80 entidades empresariais, que representam cerca de 70% do PIB brasileiro. A Frente tem como pilar fundamental a defesa da proteção de dados com segurança jurídica para cidadãos e organizações.
Dentro dos principais pontos que une o setor produtivo em torno da Frente LGPD, temos: a autonomia e fortalecimento da ANPD; a fixação de competência privativa da União para legislar sobre proteção e tratamento de dados pessoais (conforme Proposta de Emenda Constitucional n. 17 de 2019, a qual também visa incluir a proteção de dados pessoais entre os direitos e garantias fundamentais da Constituição Federal); harmonização do ambiente regulatório, aprimoramento da governança estrutural e coordenação entre as autoridades regulatórias; segurança jurídica para as transferências internacionais de dados e às bases legadas; atuação educativa da ANPD e o Poder Judiciário; regulamentação dos Direitos dos Titulares; fortalecimento da regulação responsiva e as atividades de fiscalização pela ANPD e respeito à condição especial das pequenas e médias organizações, de acordo com o seu porte, a sua natureza e o volume de dados tratado.
O que esperar para os próximos anos?
As perspectivas são muito boas para o tema proteção de dados no Brasil. É necessário uma evolução contínua, que passa pelo titular dos dados pessoais, se apoderando e fazendo valer seus direitos; os agentes de tratamento de dados, implementando medidas de governança e boas práticas em proteção de dados e a ANPD cumprindo seu papel educativo, com a definição de diretrizes claras sobre todos os aspectos da LGPD que necessitam de regulamentação.
A LGPD e sua regulação é um tema que afeta toda a sociedade brasileira e a todos os setores econômicos do país. Nesse contexto, a ANPD é essencial para que alcancemos um equilíbrio entre proteção dos direitos dos titulares dos dados pessoais e o desenvolvimento econômico e social. Sendo assim, espera-se que a ANPD continue promovendo o diálogo com todo ecossistema de atores envolvidos no tema para que não haja o risco de termos uma regulamentação excessiva, que possa inibir a inovação e desenvolvimento de novas tecnologias.
*Thomaz Côrte Real é advogado, especialista em direito empresarial, tributário e proteção de dados. Membro do Departamento Jurídico da ABES e Sócio do escritório M.A.Santos, Côrte Real e Associados