LGPD: cinco anos em busca das garantias de direitos e proteção de dados

O dia era 14 de agosto de 2018. Mesmo sem imaginar que dali a dois anos a sociedade estaria restrita a se relacionar pelos meios digitais, já se fazia urgente a criação de uma lei para garantir a privacidade e a proteção no tratamento dos dados pessoais dos cidadãos. Foi exatamente nessa data que o país começou a avançar para essa consolidação, com a sanção da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709).

Neste período, o país ganhou uma nova autoridade reguladora, a Autoridade Nacional de Proteção de Dados (ANPD) e um Conselho Nacional de Proteção de Dados (CNPD), com toda a governança necessária para executar, fiscalizar e aperfeiçoar a legislação. Até agora, conforme divulgado pela Coordenação-Geral de Fiscalização, são 16 processos e as 27 instituições públicas e privadas sob investigação e apuração administrativa.

Outro momento importante foi a aplicação da primeira multa administrativa por descumprimento à LGPD no último mês de julho. A decisão aconteceu após a empresa de telemarketing Telekall Infoservice ser denunciada por ofertar uma listagem de contatos de WhatsApp de eleitores para a disseminação de material durante campanha eleitoral em Ubatuba (SP). O órgão determinou multa de R$ 14,4 mil, além de advertência, mas não impôs medidas correlativas. Também foi verificada a inexistência de um encarregado pelo tratamento de dados (advertência) e a não cooperação na fiscalização prevista pelo artigo 5º do Regulamento de Fiscalização (multa simples de R$ 7,2 mil).

A atuação fiscalizadora e punitiva da ANPD está só iniciando. Nesta data que marca os cinco anos de LGPD, integrantes do órgão e renomados profissionais em proteção de dados se reúnem em Brasília para apresentar um balanço da atuação institucional e as perspectivas para a LGPD nos próximos anos. Já foram publicadas três portarias, seis resoluções, seis guias orientativos, sete notas técnicas, dois estudos técnicos, e um enunciado para o tratamento de dados de criança e adolescentes.

É um caminho que se desenvolve conforme se alcança maior entendimento de como funcionam as relações e os modelos de negócios diante das evoluções tecnológicas. Faz parte de um trabalho que envolve mapeamento de processos até avaliação de gestão, para que a governança corporativa e os direitos individuais evoluam conjuntamente.

Segundo informações da Pesquisa Nacional da Cultura de Privacidade – Palqee PrivacyCulture, realizada em colaboração com a Copenhagen Business School e a ESPM, 87% dos entrevistados [1] ainda não entende o que deve ser feito em novos projetos que podem oferecer riscos de privacidade. Apesar da maturidade regulatória brasileira, ainda é necessário que haja muitos esforços das organizações e instituições nessa trilha para adequação, tanto das operações e atividades em curso, quanto dos projetos que estão em fase de desenvolvimento e planejamento. Os pilares de transparência e segurança precisam ser pensados desde a concepção, está na lei. E quanto mais tecnologia, mais necessidade de aplicar ethics by design.

Avanços e desdobramentos
Ter uma legislação específica foi essencial para garantirmos um bom relacionamento comercial com outros países e com a União Europeia, bem como para evoluirmos na agenda positiva com a Organização para a Cooperação e Desenvolvimento Econômico (OCDE). Isso é importante para o Brasil nas questões econômicas e até diplomáticas. Devemos lembrar que toda e qualquer legislação de proteção de dados pessoais, apesar de ter um pano de fundo de direitos humanos, tem impacto direto econômico.

A intenção legislativa é controlar abusos e garantir maior segurança, sem barrar a inovação. Com o uso de mais recursos na nuvem e teletrabalho, aumentaram as vulnerabilidades, e por consequência, os ataques cibernéticos e o crime organizado digital. O que nos leva à necessidade de investimentos em medidas preventivas e atualização dos protocolos de resposta a incidentes. É um assunto que está em construção e exige manutenção periódica por envolver mudanças culturais, de comportamentos a procedimentos.

Dentro das empresas há necessidade de garantir estrutura tecnológica para aumentar o nível de cibersegurança (proteção de dados), governança de logs de consentimento, ambiente para tratamento de solicitações de titulares, gestão de risco de terceirizados e campanhas educativas. Por ser uma legislação complexa e detalhada, que trata de transparência, as instituições precisam investir em programas de segurança e revisitar as normas, atentos às possíveis atualizações, e informar quando e com qual finalidade os dados são tratados. Faz parte dos direitos dos titulares e das obrigações das organizações.

Do lado do consumidor, a postura é de atenção e cuidado para evitar situações de riscos e verificar a procedência no momento do compartilhamento dos dados pessoais, como se a empresa possui canais de atendimento de direitos dos titulares, uma política de privacidade atualizada e publicada, e se nomeou o encarregado de dados (DPO).

O que esperar para o futuro? Há urgência em regulamentar alguns artigos, como o sobre anonimização (12 e 13), direitos de titulares (18 e 19), padrões técnicos de cibersegurança (46), transferência internacional de dados pessoais (33), encarregado de dados pessoais (41), legado (63). Além destes, também ainda falta tratar questões como o tratamento de dados pessoais sensíveis por entidades religiosas, termo de ajustamento de conduta (TAC), inteligência artificial e diretrizes para política nacional e realizar a tão esperada Campanha Nacional de Conscientização para aumentar a cultura do brasileiro e das instituições na Proteção de Dados Pessoais.