Artigo: Balanço sobre LGPD e proteção de dados pessoais no Brasil em 2020

Ilustração mostrando a relação do ano de 2020 com a proteção de dados pessoais.

Introdução

O ano de 2020 está chegando ao fim mostrando-se como um divisor de águas para a proteção de dados brasileira.

A entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) inaugura no Brasil o que cada vez mais países têm experienciado ao redor do mundo: a ascensão do titular de dados, detentor do controle sobre o uso de suas próprias informações.

Por isso, vale fazer um pequeno balanço em retrospectiva a este ano ímpar, marcado sobretudo pela pandemia viral que, infelizmente, ainda assola o mundo.

Confira neste artigo!

Precisa se adequar à LGPD?

Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.

A MP nº 954 (caso IBGE) e o STF

Antes mesmo da entrada em vigor da LGPD, o STF foi chamado a posicionar-se no julgamento do chamado “caso IBGE”.

Em abril, foi editada a Medida Provisória nº 954 (MP nº 954) que, calcada justamente na pandemia de COVID-19, determinava às empresas de TELECOM o repasse à Fundação IBGE, em meio eletrônico, da relação de nomes, números de telefone e endereços de todos os seus consumidores, pessoas físicas ou jurídicas, para fins de suporte à produção estatística.

A medida foi objeto de nada menos que 5 (cinco) ações diretas de inconstitucionalidade (ADIs nº 6387, 6388, 6389, 6390 e 6393).

Em sede liminar, a relatora, Min. Rosa Weber, deferiu o pedido cautelar da ADI 6387 e determinou a suspensão da eficácia da MP nº 954.

A decisão foi pioneira ao reconhecer conceitos basilares da proteção de dados como decorrentes da interpretação das normas constitucionais, tal como a autodeterminação informativa, independentemente da vigência da LGPD, apontando a deficiência da MP quanto à especificação de sua finalidade, adequação e necessidade da transferência de tamanho volume de dados.

Em maio, a decisão foi referendada pela maioria do plenário em acórdão, formando assim um precedente histórico a guiar a jurisprudência brasileira ao elevar a proteção de dados pessoais a status constitucional.

A entrada em vigor da LGPD

Após dois anos de vacatio legis e intensos debates e reviravoltas no processo legislativo, o marco regulatório geral de proteção de dados pessoais – LGPD – passou a vigorar em 18 de setembro de 2020, ficando postergada a vigência apenas do capítulo sobre a fiscalização, que contempla as sanções administrativas, para 1º de agosto de 2021.

Cumpre salientar que a LGPD entrou em vigor antes mesmo de qualquer sinal do início das atividades da Autoridade Nacional de Proteção de Dados (ANPD), cuja atuação é imprescindível para o bom funcionamento deste novo sistema que passou a integrar o ordenamento jurídico brasileiro.

A trilha do setor público

A aderência do setor público é imprescindível para o caminhar da proteção de dados no Brasil, e 2020 também foi um ano de grandes avanços na trilha à conformidade pelo setor.

Em abril, o Governo Federal disponibilizou um Guia de Boas Práticas da LGPD, voltado a orientar os projetos de conformidade de órgãos e entidades da administração pública federal, autárquica e fundacional.

A partir de então diversos foram os documentos referenciais para a adequação à LGPD disponibilizados, tais como um guia de elaboração de programa de governança em privacidade, um guia de avaliação de riscos de segurança e privacidade, um guia de elaboração de Termo de Uso e Política de Privacidade para serviços públicos, um guia de elaboração de inventário de dados pessoais, que conta inclusive com template, dentre outros.

Em outubro, o Conselho Nacional de Justiça publicou a Portaria nº 212, que instituiu um grupo de trabalho destinado à elaboração de estudos e de propostas voltadas à adequação dos tribunais à LGPD.

No site do Superior Tribunal de Justiça (STJ) já é possível acessar um portal sobre a LGPD, que indica os principais pontos de atenção da lei além de disponibilizar uma seleção de bibliografias para o estudo do tema.

O Tribunal de Justiça de Santa Catarina, por sua vez, conta com um Comitê Gestor de Proteção de Dados Pessoais, com amplas funções para avaliar o tratamento e proteção dos dados e propor de ações aperfeiçoamento.

Em novembro, uma comissão de juristas entregou ao presidente da câmara dos deputados um anteprojeto de lei contemplando as operações de tratamento excluídas da aplicação da LGPD –tratamento para fins de segurança pública e do Estado, defesa nacional e investigação e repressão de infrações penais.

Ainda, diversos órgãos e entidades continuamente têm nomeado seus encarregados/DPOs públicos, a exemplo do Ministério da Infraestrutura, da Agência Nacional de Telecomunicações (Anatel), da Agência Nacional de Saúde Suplementar (ANS) e do Tribunal de Justiça de Santa Catarina.

Sobre a Autoridade Nacional de Proteção de Dados Pessoais (ANPD)

A ANPD é a autoridade pública especializada em proteção de dados pessoais, responsável por liderar a interpretação sobre o tema e, dentre outras competências, regulamentar a legislação, aplicar sanções administrativas e promover a conscientização e educação da população e mercado.

A autoridade, portanto, é imprescindível para o funcionamento do sistema de proteção de dados tal como concebido no Brasil, que claramente fez a opção pelo modelo regulatório europeu.

Embora já vigente desde 2018 a parte da LGPD que dispõe sobre a autoridade, na esperança de que algum trabalho já pudesse ser feito até a efetiva entrada em vigor da legislação, foi somente em 27 de agosto que foi publicado o Decreto nº 10.474 de 2020, que aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD

Em outubro foram sabatinados e aprovados os 5 (cinco) primeiros membros do Conselho Diretor da ANPD, são eles: Waldemar Gonçalves Ortunho Junior (diretor-presidente), Arthur Pereira Sabbat, Miriam Wimmer, Nairane Farias Rabelo Leitão e Joacil Basilio Rael. Em 06 de novembro foram publicados os decretos de nomeação.

Atualmente, já contamos com o site oficial da ANPD, do qual vale mencionar a disponibilização de um FAQ, que ressalta o caráter educacional que a autoridade deve assumir na pavimentação da cultura de proteção de dados pessoais no país.

É que, ao contrário dos países regidos pelo GDPR – nossa matriz de inspiração normativa –, que já contavam há décadas com legislações sobre a temática, no Brasil a mudança é muito mais disruptiva, pois não existe um cenário previamente estabelecido de cultura em proteção de dados.

Assim, a ANPD tem por missão, dentre outras, colaborar na construção de uma cultura genuinamente brasileira de proteção de dados.

A trilha do setor privado

Tal como o setor público, o setor privado tem feito sua própria trilha em direção à conformidade com a LGPD.

Diferentes “avisos” e “políticas” de privacidade e proteção de dados podem ser observados nos sites das empresas bem como a criação de portais de comunicação direta com o titular de dados, que se encarregam de atender as requisições constantes na lei e que já podem ser feitas às empresas.

Ademais disso, em diversas organizações foi possível observar uma quebra de expectativas.

Em muitos casos, não foram as requisições dos titulares de dados que chegaram primeiro às empresas, mas sim demandas por parte dos próprios parceiros comerciais, interessados em manter negócios apenas com aqueles igualmente preocupados com a proteção de dados.

Para isto, os parceiros comerciais têm buscado conhecer com mais profundidade e bem delimitar contratualmente as atividades que envolvam o tratamento de dados pessoais.

A preocupação advém não apenas da previsão legal da responsabilidade solidária dos agentes de tratamento diante do titular, mas também da preocupação daquele que tem despendido recursos e esforços na adequação de sua própria organização.

Naturalmente, aquele que investiu na governança de dados pessoais e adequação à LGPD não está propenso a fazer negócios com aquele que não demonstra tratar o tema com equivalente prioridade.

Já em relação aos titulares de dados, pudemos observar uma das primeiras sentenças judiciais que invoca em sua fundamentação a LGPD ao condenar uma construtora ao pagamento de reparação por danos morais em razão do compartilhamento indevido de dados de consumidor com fornecedores de produtos e serviços estranhos à relação original.

Ataques e segurança cibernética

Outro aspecto que ganhou ainda mais relevo neste ano, e que inclusive configura requisito de compliance à LGPD, é a segurança dos dados, especialmente no meio cibernético.

Em que pese a LGPD regule o tratamento de dados feito em meio físico e digital, seguramente o segundo formato é mais complexo na estruturação da segurança.

É que um dos reflexos diretos da pandemia foi a adoção de medidas, muitas delas apressadas e emergenciais, de home office, o que por sua vez mostrou-se propício às ameaças cibernéticas e falhas de segurança, inclusive no âmbito do Poder Público.

Foram diversos os incidentes noticiados, mencionando-se o ataque contra o hotsite do sistema judicial do Tribunal de Justiça do Rio Grande do Sul, o vazamento de senhas do Ministério da Saúde, que expôs dados de diagnóstico de COVID-19 de cerca de 16 milhões de pessoas, e o ataque por meio de ransomware contra a Embraer, que causou a liberação de arquivos contendo informações da empresa e de colaboradores.

Destaque para o ataque sofrido pelo Superior Tribunal de Justiça que, em nota oficial, comunicou que a rede do tribunal sofreu um ataque hacker, o que causou a interrupção dos sistemas informatizados, sendo suspensos os prazos processuais. Também fora acionada a Polícia Federal para investigar o fato.

No que ficar de olho em 2021

Diante dos enormes impactos e transformações para a proteção de dados no Brasil em 2020, ficamos no anseio de saber o que vem por aí.

Podemos, no entanto, já destacar alguns pontos relevantes para ficar de olho em 2021:

  • A LGPD cada vez mais presente nas demandas levadas ao Poder Judiciário, de modo que devemos nos atentar à possibilidade de proliferação de interpretações divergentes, o que se agrava diante da ausência de tempo suficiente para uma atuação substancial da ANPD;

  • A continuidade da atuação de Procons e Ministério Público com fundamento na LGPD;

  • As primeiras regulamentações a serem editadas pela ANPD, que sedimentarão o caminho e garantirão maior segurança jurídica aos agentes de tratamento de dados;

  • A possibilidade da aplicação de sanções administrativas pela ANPD a partir de agosto de 2021.

 

O Advogado Jean Carlo Jacichen Luz, especialista em LGPD
SOBRE O AUTOR

Jean Carlo Jacichen Luz​

Advogado. Entusiasta da área de proteção de dados pessoais e conformidade. Pós graduado em direito administrativo e processual civil. Bacharel em Direito pela PUC-PR. Certificado EXIN Privacy and Data Protection Foundation (GDPR) e Essentials (LGPD) e Information Security Foundation.

Outras publicações: “A operacionalização da resposta à requisição do titular de dados na LGPD”“LGPD nas empresas: por onde começar?”  e “A oportunidade por meio dos precedentes vinculantes na tradição civil law brasileira: necessidade e paradigma diante do Código de Processo Civil de 2015”.

Confira nosso diagnóstico para LGPD!

Responda o questionário e entenda os riscos e a situação da sua empresa em relação à Lei Geral de Proteção de Dados.

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS