Estúdio JOTA
Cinco anos após sua aprovação, a Lei Geral de Proteção de Dados (LGPD) passa por um processo de amadurecimento no Brasil. Em vigor desde agosto de 2020, diante de prorrogações sucessivas do início da vigência, a legislação encontrou em seus primeiros anos a insegurança do mercado e o desconhecimento por parte da sociedade civil.
Aos poucos, a população e as empresas têm se conscientizado a respeito de seus direitos e da necessidade de proteção de dados. Indício desse esclarecimento é a alta de mais de 500% no número de ações judiciais que discutem a aplicação da LGPD, segundo levantamento realizado pelo escritório Mattos Filho.
O caminho ainda é longo, avaliam especialistas ao JOTA. Segundo eles, são diversos os fatores que impedem uma absorção mais célere de distintos setores econômicos ao tema, o que também se vê nas estatísticas: pesquisa do Grupo Daryus, especializado em consultoria, apontou que oito em cada dez empresas ainda não concluíram seus projetos de adequação à LGPD. Para a mesma pesquisa, no entanto, 82% das empresas consideram o tema relevante.
Isto não significa, no entanto, uma visão pessimista perante os próximos passos em relação à proteção de dados e privacidade dos brasileiros. Tampouco se pensa na aplicação da lei sem a consideração de suas consequências econômicas no que diz respeito à atuação da Autoridade Nacional de Proteção de Dados (ANPD).
Como o mercado participa da LGPD
“O setor de serviços é aquele em que se nota maior volume no tratamento de dados pessoais da população”, pontua Alexandre Veronese, professor de Direito da Universidade de Brasília (UnB). Mas, em realidade, afirma o professor, todos os setores possuem um papel muito importante na efetivação da LGPD. “Há várias atividades correlatas à proteção de dados na indústria que demandam a sua participação”, afirma.
Como exemplo é possível citar as atividades desempenhadas pelos departamentos de recursos humanos, pelas áreas de marketing dessas empresas, dentre outras.
Para auxiliar as empresas na adoção da LGPD, neste ano a Confederação Nacional da Indústria (CNI) lançou o Guia de Boas Práticas de Proteção de Dados para a Indústria. Mas, desde 2018, já há programas de difusão da pauta de proteção de dados pessoais com foco no setor industrial.
“Além de dar concretude à LGPD, há dispositivos que mostram a participação direta dos setores econômicos na proteção de dados no texto da lei” afirma Cassio Borges, diretor jurídico da CNI e integrante do Conselho Nacional de Proteção de Dados e da Privacidade (CNPD).
Em relação a esse ponto, o diretor cita os artigos 50 e 52. O primeiro autoriza que controladores e operadores, individualmente ou por meio de associações – no caso o próprio setor industrial e outras categorias econômicas – formulem regras de boas práticas e de governança relacionadas ao tratamento de dados pessoais.
Ou seja, elas estabelecem condições de organização, regime de funcionamento, procedimentos, normas de segurança, padrões técnicos, dentre outros, relacionados ao tratamento de dados pessoais.
Já o artigo 52, ao tratar da aplicação das sanções administrativas aos agentes de tratamentos de dados (controladores e operadores), prevê, expressamente, a adoção de programas de compliance de dados, que podem ensejar uma diminuição na multa aplicada no caso de uma eventual sanção por parte da ANPD, pontua Cassio Borges: “É uma atuação objetiva que dá concretude a uma boa prática da categoria econômica e ajuda quando a circunstância pedir a aplicação de uma sanção.”.
Para além de recomendar boas práticas, a participação do setor privado na regulação dos dados pessoais encontra outros alicerces, uma vez que a LGPD adota um modelo de regulação responsiva expresso em seu próprio texto.
Nesse sentido, Borges lembra também do papel da indústria (representada pela CNI) no âmbito do CNPD, outro órgão legalmente criado a fim de que seja mantido um canal de diálogo entre setor privado e público. As atribuições do órgão passam por suscitar o debate sobre o tema, propor diretrizes para as políticas públicas, elaborar relatórios anuais e sugerir ações à ANPD, entre outros.
“As confederações sindicais, como é o caso da CNI, bem como representantes de diversos outros setores da Sociedade Civil fazem parte deste conselho, cientes de sua função na construção da regulamentação da lei, na composição de diretrizes estratégicas, junto à ANPD. Assim, na prática, a indústria participa da construção de todas essas diretrizes e, no limite, da política nacional de proteção de dados”, comenta Cassio Borges.
Desafios de conformidade
Para os especialistas ouvidos pela reportagem, as maiores dificuldades atuais em relação à proteção de dados vão de mãos dadas com os acertos da lei e da ANPD, e o maior desafio ainda reside na difusão das informações e a conscientização da população sobre suas informações, privacidade e direitos.
Para o professor de Direito Civil da Universidade de São Paulo (USP), Eduardo Tomasevicius Filho, ao mesmo tempo em que há um trabalho das próprias autoridades para fomentar a educação no que diz respeito à proteção de dados pessoais, existem limitações na disposição da população em avançar em conscientização ou até para que as empresas deem mais transparência sobre a finalidade do uso dos dados e levem a sério a proteção da privacidade.
Apesar disso, o Professor Tomasevicius não vê contradição entre esses dois movimentos. “As pessoas no Brasil não se importam em vender os dados delas. Se tiver desconto está tudo certo. Talvez elas não tenham a dimensão do que é uma coleta de forma ininterrupta de um grande volume de dados por muitos anos, então a conta pode chegar lá na frente”, aponta o professor especialista em LGPD.
“Em relação ao avanço moroso da adequação das empresas, há de se ponderar o atual cenário de restrição econômica”, considera o professor Alexandre Veronese, da UnB.
“Você é um gestor e tem de pensar o orçamento para o ano. Vai investir em relação ao maquinário, processos produtivos, ou em esforços à proteção de dados? Tem a ver também com custo-benefício. Creio que as empresas brasileiras estão fazendo um caminhar paulatino. Fazem o processo, mas de forma lenta. Não só por restrições orçamentárias, mas também por cautela e um contexto de incerteza”, continua.
Na mesma direção, a encarregada de dados da CNI, Fabiola Pasini, diz que este se trata de um cenário novo, e relembra que há, ainda, um rescaldo da crise causada pela pandemia de Covid-19.
“As empresas estão se adaptando. Embora a pandemia tenha ficado para trás, muitas empresas, sobretudo as micro e pequenas, ainda estão vivenciando os efeitos da pandemia, pagando algumas contas”, completa.
O principal, continua, é a percepção das empresas acerca da relevância da adequação: “É o mais significativo. O quanto estão antenadas e percebem o quão importante é que estejam adequadas e entrando em processos de governança e tratamento de dados. O processo de adequação é cíclico. Um eterno recomeçar”.
Próximos passos da ANPD
É devido a este processo de assimilação das empresas e da sociedade que, como explica o professor Tomasevícius, a expectativa a respeito dos próximos passos da ANPD passa pela educação e conscientização da população, e também pela adequação da sociedade à lei.
A preocupação volta-se, segundo ele, a fornecer os guias de práticas de modo acessível e no chamamento ao debate entre os setores econômicos: “Uma regulação que vai mais no sentido de orientação e prevenção do que propriamente de repressão por multas. Deixam claro que penalizar não é uma prioridade agora. Querem primeiro organizar a atividade, e depois, quem não se adequar sofrerá as consequências”, diz.
Para Veronese, da UnB, a ANPD se mostrou muito cautelosa na construção de mecanismos de dosimetria previamente à aplicação de multas. “Para a autarquia federal, a sanção não é tida como um mecanismo arrecadatório, mas um último recurso para casos de completa indiferença de uma determinada empresa ou organização quanto à legislação”.
“A ANPD identifica, comunica os gestores e faz um processo longo até a aplicação de uma sanção. Isso tem uma dimensão pedagógica. A função da regulação de dados pessoais (e outros setores) é fazer com que as empresas e organizações de modo geral tenham aderência ao marco jurídico vigente, que mudem o comportamento em prol da defesa dos direitos subjetivos do cidadão”, completa.
Para o avanço da pauta da proteção de dados, Cassio Borges, da CNI, destaca a importância da pronta nomeação dos próximos conselheiros do CNPD, cujos mandatos já estão encerrados, e o prosseguimento da Agenda Regulatória 2023-2024.
“É necessário dar prosseguimento aos trabalhos que já vinham sendo desenvolvidos pelo CNPD e cumprimento e continuidade a esta agenda da Autoridade. São 20 iniciativas, algumas já foram e outras estão sendo cumpridas”, diz ele.
O regulamento de dosimetria e aplicação de sanções administrativas era uma das pautas da agenda, que prevê ainda regras sobre a comunicação de incidentes e especificação do prazo de notificação, tratar dos conceitos de anonimização e pseudonimização, de dados biométricos, regulamentações para inteligência artificial, entre outros. Assim, para que os trabalhos continuem fluindo a contento, espera-se, em breve, uma ANPD e um CNPD trabalhando intensamente, com quórum completo reestabelecido.
