Joana D’arc Queiroz[1]
Rodrigo Andrade Santos[2]
Luis Gustavo Miranda de Oliveira[3]
INTRODUÇÃO
A Lei Geral de Proteção de dados nº 13.709/18 (LGPD), publicada em 15 de agosto de 2018, completou 05 (cinco) anos em 14 de agosto de 2023, regulamentando a proteção de dados pessoais. Em linhas gerais, o principal objetivo da LGPD é estabelecer regras gerais para um fluxo adequado do tratamento de dados pessoais, de forma ética e de modo a coibir os abusos que vinham ocorrendo. É decorrência de um ambiente aparentemente desregulamentado, pois a legislação até então vigente se mostrava ineficiente para desestimular condutas ilícitas envolvendo dados pessoais.
O conceito legal de dados pessoais é bastante amplo, e inclui toda informação que identifica ou possa identificar pessoa natural. Com relação ao escopo de aplicação, a referida lei incide de forma abrangente em todas as operações de tratamento dos dados pessoais, o que pode incluir diversas ações, tais como a coleta, compartilhamento, consulta, envio, recebimento, utilização, acesso, reprodução, transmissão, arquivamento, armazenamento, dentre outras (art. 5º, inciso X, da LGPD), em todos os setores, seja na área pública ou privada. Na prática, todos ficam sujeitos às sanções administrativas previstas em lei, dentre as quais se incluem advertências, publicização da infração, bloqueio do tratamento indevido e multas pecuniárias com valores que podem chegar a R$ 50 milhões[4].
No Brasil, apesar de a privacidade já ser objeto de proteção há tempos pela legislação de forma dispersa e pulverizada[5], foi necessário para proteção dos interesses envolvidos editar e publicar a respectiva legislação protetiva LGPD.
Com efeito, o mundo atual é big data e hiperconectado, no qual nunca se constatou um volume tão significativo de informações, processadas de forma ininterrupta e exponencial pelas organizações em geral e também pelas próprias pessoas naturais[6]. Trata-se de um cenário intimamente ligado à inteligência artificial, que é alimentada por esse vasto conjunto de dados e desempenha um papel relevante na descoberta de informações relevantes e que pode utilizar o data discovery. Além disso, parte destas informações transitam em local não indexado da internet que contém uma grande quantidade de dados não acessíveis pelos mecanismos de busca padrão e que ficam disponíveis para usos diversos, alguns indevidos, não autorizados e/ou ilícitos. Esse universo de informações também traz à tona o lado negativo do uso de dados pessoais na internet, enfatizando a necessidade premente de abordar essas questões com responsabilidade e ética para proteger a privacidade e a segurança dos indivíduos.
Para além da seara econômica, a LGPD apresenta repercussões nas esferas individuais dos cidadãos, e também leva à total reestruturação das relações sociais, comerciais e até políticas. Consequentemente, os dados ganharam uma importância transversal, tornando-se vetores das vidas e das liberdades individuais, assim como da sociedade e da própria democracia[7].
Por mais que ainda não seja possível compreender a total extensão do poder econômico, político e social que decorre do tratamento de dados e da sua utilização, já se percebe quão grande ele pode ser. Daí a afirmação de Alec Rosse de que as escolhas sobre como vamos gerenciar e administrar os dados na atualidade são tão importantes quanto as decisões sobre o gerenciamento da terra durante a era agrícola ou da indústria durante a era industrial.[8]
Em sentido próximo, mas com a preocupação de ressaltar que a importância dos dados transcende a esfera econômica, Yuval Harari aponta que: “Se quisermos evitar a concentração de toda a riqueza e de todo o poder nas mãos de uma pequena elite, a chave é regulamentar a propriedade dos dados”.[9] Nesta mesma linha, atribui-se a Clive Humby a declaração de que “os dados são o novo petróleo”[10].
Diante desta problemática, este artigo traz uma visão geral sobre as principais regras da LGPD, com abordagem da atuação e papel da Autoridade Nacional de Proteção de Dados (ANPD) no contexto da regulamentação da lei, bem como as principais questões, desafios e perspectivas.
1. ANPD: PRINCIPAIS REGULAMENTAÇÕES RELACIONADAS À APLICAÇÃO DE PENALIDADES NO ÂMBITO ADMINISTRATIVO
Com o objetivo de estimular a implantação de sistemas de proteção de dados pessoais mais efetivos, a LGPD regulamentou a criação da ANPD, estabelecendo diversas atribuições relevantes, incluindo a fiscalização e aplicação de sanções em caso de tratamento de dados em desconformidade com a legislação.
O modelo fiscalizatório proposto pela ANPD tem sido praticado a partir de uma estratégia de regulação responsiva e educacional, que acertadamente privilegia o desenvolvimento de uma cultura de proteção de dados e, consequentemente, promove a conscientização desse tema no Brasil. De toda sorte, é fato que, no geral, as pessoas e muitas organizações ainda não estão preparadas para cumprir e exigir o cumprimento das normas de proteção de dados pessoais.
As sanções de competência exclusiva da ANPD, previstas nos artigos 52 a 54 da LGPD, tornaram-se aplicáveis a partir de 1º de agosto de 2021.[11] Antes de examiná-las, é relevante pontuar que eventuais violações à privacidade praticadas anteriormente à citada data já eram puníveis com base no Código Civil Brasileiro, no Código de Defesa do Consumidor, na legislação Trabalhista e no Marco Civil da Internet.
O artigo 52 da LGPD elenca as sanções administrativas que poderão ser aplicadas em razão da violação às normas nela previstas, indicando que o legislador vem considerando com crescente gravidade as infrações cometidas.[12]
Embora as multas se destaquem entre as infrações, os impactos indiretos e reputacionais podem ser maiores que os diretos: perda de valor da marca, impacto na confiança do cliente e do investidor, desvalorização de ativos e perdas de contratos são apenas alguns deles. Em razão disso, dependendo da natureza da infração e do ramo de negócios, a publicização da infração pode gerar maior impactos ainda maiores do que a multa.[13]
Neste aspecto, destaca-se que a ANPD publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas – Resolução CP/ANPD nº 4/2023 – “Regulamento de Dosimetria” com definição de critérios e parâmetros para a aplicação das sanções administrativas previstas no artigo 52 da LGPD, bem como formas de dosimetrias para o cálculo do valor-base das penalidades de multa.
A dosimetria de sanções é decorrência do princípio constitucional da proporcionalidade, com base nas normas que estruturam o Estado Democrático de Direito, e concretiza o princípio da individualização da pena, prevista art. 5º, inc. XLVI da Constituição Federal de 1988[14]. A proporcionalidade está expressamente prevista nas regras que pautam o processo administrativo federal (art. 2º da Lei 9.784/1999) e, neste cenário, cabe aos agentes públicos adotar critérios objetivos e métricas coerentes para a intervenção no domínio privado ou para a aplicação de sanções, sejam pecuniárias ou não.[15]
O Regulamento de Dosimetria disciplina de forma específica cada uma das sanções previstas no art. 52 da LGPD, cuja competência para aplicação é exclusiva da ANPD, com base em diversos critérios e parâmetros[16]. Assim, na aplicação de uma sanção, após processo administrativo que assegure ao agente investigado o direito à ampla defesa e ao contraditório, a ANPD deve garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente.
Evidentemente, a regulamentação desses critérios por meio de uma resolução tende a elevar a segurança jurídica dos administrados e garante a possibilidade de controle do exercício do poder estatal. E o processo de desenvolvimento da regulação garante etapas de participação pública que acabam sendo oportunidade para diálogo e desenvolvimento de uma regulamentação que possa se revelar mais eficiente e eficaz. Além disso, o Regulamento de Dosimetria garante segurança e previsibilidade aos processos administrativos sancionadores da ANPD, assegurando a devida proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente.[17]
1. 1. Penalidades no Brasil e no mundo
A ANPD já avançou a sua atuação e atualmente existem processos administrativos e penalidades aplicadas em razão de descumprimento da LGPD[18].
Tendo em vista que a LGPD foi inspirada na legislação europeia de proteção de dados, a General Data Protection Regulation (GDPR), é possível que a experiência das empresas brasileiras no processo de adequação à LGPD reflita, guardadas as proporções, vulnerabilidades semelhantes às enfrentadas pelas organizações europeias durante a fase de adequação ao GDPR. Assim, para antever esses pontos críticos e remediar os principais pontos de atenção, é conveniente avaliar os mais recorrentes fundamentos de aplicação de multas pelas autoridades de proteção de dados da Europa entre julho/2018 até agosto de 2023[19], a saber:
| Fundamentos da aplicação de multas (Autoridades Europeias) | Número de multas | Valor total (Euro) |
| Processamento de dados em desacordo com os princípios aplicáveis | 480 | 1,7 bilhões |
| Utilização de base legal insuficiente para o tratamento de dados | 584 | 1,6 bilhões |
| Adoção de medidas técnicas e organizacionais insuficientes para garantir a segurança da informação | 337 | 382 milhões |
| Atendimento insuficiente aos direitos dos titulares de dados | 175 | 237 milhões |
O trabalho das autoridades de dados basicamente se sustenta em 4 pilares: Monitoramento, Orientação, Prevenção e Repressão.
O Monitoramento está destinado ao levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela Autoridade com o fim de assegurar o funcionamento do ambiente regulatório. Para isso, haverá a produção e divulgação, pela ANPD, de documentos como o “Relatório de Ciclo de Monitoramento”, com periodicidade anual, e o “Mapa de Temas Prioritários”, com periodicidade bianual.
A Orientação é realizada por meio da promoção de medidas para orientação, conscientização e educação dos Agentes de Tratamento, dos titulares de dados pessoais e dos demais integrantes ou interessados no tratamento de dados pessoais. As atividades preventivas visam conduzir o Agente de Tratamento à plena conformidade, evitar ou remediar situações que acarretem risco ou danos aos titulares de dados pessoais. Neste caso, poderão ser aplicadas certas medidas preventivas, entre elas, a elaboração de um Plano de Conformidade que deverá conter, no mínimo, o objeto do plano, prazos para cumprimento e descrição das ações previstas para reversão da situação identificada, critérios de acompanhamento e trajetória de alcance dos resultados esperados.
Por fim, a ANPD poderá atuar por meio de atividades repressivas, as quais se caracterizam pela atuação coercitiva da Autoridade, voltada à interrupção de situações de dano ou risco à plena conformidade e à punição dos responsáveis, mediante a aplicação das sanções previstas no Art. 52 da Lei Geral de Proteção de Dados (LGPD). As atividades repressivas poderão ocorrer somente por meio de Processo Administrativo Sancionador, instaurado pela Coordenação-Geral de Fiscalização, em decorrência de processo de monitoramento ou diante de requerimento em que a Coordenação, após efetuar a análise de admissibilidade, deliberar pela abertura imediata de processo sancionador[20].
2. IMPACTOS E REFLEXOS NA PRÁTICA EMPRESARIAL
Em linha com a legislação internacional sobre privacidade e proteção de dados, a LGPD parte do pressuposto de que os dados pessoais não pertencem às pessoas que possuem e realizam tratamento de dados pessoais (custodiantes), mas sim aos respectivos titulares[21]. É nessa perspectiva que os titulares possuem direitos fundados no princípio da autodeterminação informativa[22].
Para que seja autorizado o tratamento de dados pessoais conforme as regras da LGPD, é preciso ocorrer o enquadramento em uma das hipóteses previstas nos artigos 7º e 11. O consentimento do titular dos dados pessoais é uma dessas hipóteses, cuja obtenção deve ocorrer de forma livre, informada e inequívoca, garantida a possibilidade da revogação. Essa orientação gera relevantes reflexos sob o ponto de vista da conduta das organizações.
Exemplificativamente, os Avisos de Privacidade geralmente escritos com termos técnicos complexos, difíceis de entender e letras reduzidas não caracterizam consentimento informado, violando a LGPD. As organizações deverão estar atentas a essa mudança e utilizar uma forma de comunicação mais visual e simples, para reduzir o risco de questionamentos e garantir maior transparência, com a tomada de decisões mais conscientes pelos titulares dos dados pessoais.
3. PRINCÍPIOS RESPEITADOS
Como visto, toda atividade de tratamento de dados deve ser realizada em linha com os princípios previstos na LGPD. A legislação brasileira não descreve de forma casuísta todas as regras e situações concretas nas quais o tratamento de dados seria viável, mas realiza uma abordagem orientada por princípios.
É importante perceber que os princípios, incluindo aqueles previstos na LGPD, devem ser aplicados e satisfeitos no mais intenso grau possível[23]. Eles podem dar ensejo à identificação de regras que não estão expressas em um enunciado legislativo, viabilizando o desenvolvimento e integração do ordenamento jurídico. Os princípios também podem ser entendidos como padrões capazes de expressar exigências de boa-fé e justiça, bem como orientar as condutas das partes envolvidas no tratamento dos dados pessoais.
O primeiro deles consta do caput do artigo 6º da LGPD, segundo o qual as atividades de tratamento de dados deverão observar o princípio da boa-fé, aplicável amplamente no direito brasileiro para buscar um padrão ético de conduta. O princípio da finalidade, por sua vez, consiste no dever de orientar o tratamento dos dados pessoais para propósitos legítimos, específicos, explícitos e informados ao titular, afastando a possibilidade de tratamento posterior de forma incompatível com essas finalidades[24].
Por seu turno, o princípio da adequação se refere à compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Já o princípio da necessidade busca limitar o tratamento ao mínimo necessário para o alcance das suas finalidades. Por exemplo, parece desnecessário solicitar a informação sobre a religião de determinado consumidor em plataforma de vendas on-line para fins de recebimento de ofertas de dispositivos eletrônicos. Essa exigência envolveria dados excessivos em relação à finalidade do tratamento. Os demais princípios aplicáveis mencionados na LGPD são : (i) livre acesso; (ii) qualidade dos dados; (iii) transparência; (iv) segurança; (v) prevenção; (vi) não discriminação; e (vii) responsabilização e prestação de contas[25].
Para facilitar a compreensão do alcance prático dos princípios e contribuir para o gerenciamento de programas de privacidade, pode ser muito útil consultar as orientações de frameworks baseados na legislação internacional amplamente aceita e nas melhores práticas já implementadas. Nessa linha, os Princípios de Privacidade Geralmente Aceitos (GAPP – Generally Accepted Privacy Principles[26]) sintetizam 10 itens a serem atendidos pelas organizações para garantir conformidade com a proteção de dados e privacidade[27].
Para cada um dos referidos princípios, o GAPP estabeleceu critérios objetivos para orientar as organizações no desenvolvimento e a implantação das suas políticas, comunicações, procedimentos e controles. Por exemplo, com relação ao princípio “Aviso”, é relevante avaliar se:
- a política de privacidade das organizações contempla o fornecimento de aviso e comunicações aos titulares;
- o titular foi avisado com relação: (a) a finalidade da coleta dos seus dados pessoais; (b) possibilidade de escolha e consentimento; (c) coleta de dados; (d) procedimento de uso, retenção e descarte; (e) acesso; (f) compartilhamento de dados com terceiros;
- o titular foi avisado sobre as políticas e procedimentos de privacidade da organização até a coleta das informações pessoais, ou assim que possível a partir de então. [28]
Ainda com relação ao tema segundo o GAPP, é importante que a organização tenha disponibilizado seu aviso de privacidade de modo completamente visível, em linguagem clara, com descrição objetiva das suas atividades abrangidas pelas políticas e procedimentos de privacidade.
Na prática, ao atender os citados critérios do GAAP, as organizações também tendem a contemplar os princípios da LGPD, tal como o da boa-fé, finalidade, adequação e necessidade. O resultado é um tratamento mais ético, seguro e responsável dos dados pessoais.
4. PROGRAMA DE PRIVACIDADE: LINHAS GERAIS
Para estruturar um programa de privacidade, é necessário estabelecer a governança apropriada ao programa, o que demanda realização de investimentos, atualização de ferramentas de segurança de dados, melhoria de procedimentos, implementação de mecanismos de monitoramento e de auditoria e, sobretudo, mudança de cultura[29].
A implantação da governança da privacidade deve contribuir para disseminar práticas reconhecidas pelo mercado e pelas autoridades.
A adoção de um programa de privacidade conecta-se com as práticas de governança corporativa, uma vez que procuram respeitar princípios como da integridade, transparência, sustentabilidade, equidade no tratamento dos stakeholders e responsabilização de agentes. A partir do momento em que as organizações seguem a boa governança corporativa, elas
mostram o seu comprometimento em alinhar interesses; prevenir, mitigar e tratar conflitos; e gerar valor tangível e intangível para todas as partes interessadas, considerando os impactos na economia, sociedade e meio ambiente. Trata-se de um movimento intencional cujo objetivo é melhorar o processo decisório, o desempenho, a reputação, o retorno econômico e a longevidade de suas operações [30].
Ou seja, é inegável que a implementação da boa governança corporativa estimula a mitigação de riscos de violações de privacidade e proteção de dados pessoais. De igual forma, contribui para o atendimento de um amplo espectro de propósitos, além das obrigações legais e regulatórias das organizações. Esse movimento causa importantes impactos na melhoria da reputação, transparência e geração de valor para todas as partes interessadas, com crescimento saudável da organização para que as suas operações sejam longevas.
Com relação à delimitação do escopo do programa de privacidade, é preciso conhecer as obrigações legais e regulatórias de cada organização. De acordo com uma ordem lógica, primeiramente é necessário identificar as informações pessoais tratadas e, na sequência, mapear as leis e regulamentos aplicáveis na área de abrangência da organização.
Especificamente com relação ao início do processo de adequação das pessoas jurídicas à LGPD, o mapeamento dos dados é uma das partes mais importantes da adequação das organizações. Tal procedimento gera um inventário das principais operações de tratamento de dados pessoais, o qual deve ser utilizado como base para um plano de ação com as etapas a serem cumpridas no processo de adequação[31].
Ademais, para gerenciar e mitigar os riscos identificados, também deve ser contemplada no plano a estruturação da organização para remediar e responder adequadamente no caso de eventual incidente, tal como o vazamento de dados pessoais, inclusive com a previsão de notificação às autoridades competentes.
A premissa da privacidade desde a concepção (Privacy by Design) também deve ser considerada. Ou seja, o desenvolvimento de novos produtos ou serviços, tais como processos internos, sistemas ou software, deve ocorrer desde a fase da concepção conforme as medidas apropriadas para assegurar a proteção de dados. Além disso, os mecanismos de proteção da privacidade em produtos e serviços devem estar pré-habilitados, sem a necessidade de providência adicional do titular, de maneira a garantir a privacidade como padrão (Privacy by Default). Neste ponto, vale considerar que está em curso uma forte mudança cultural que promove o respeito à privacidade e aos dados das pessoas, responsabilizando aqueles que não atenderem a legislação.
Em síntese, as responsabilidades específicas do programa de privacidade podem incluir, entre outros, os seguintes itens:[32] (a) desenvolver e implementar a Política de Privacidade, governança e procedimentos apropriados; (b) atualizar as cláusulas de contratos de acordo com a natureza da operação, sensibilidade dos dados envolvidos e responsabilidades legais ou regulatórias, seja na condição de controlador ou operador; (c) mapear os principais fluxos de dados para registrar o ciclo de vida da informação dentro da organização; (d) empreender ações de conscientização e treinamento relacionados à privacidade e proteção de dados; (e) monitorar, manter e aprimorar continuamente o programa, com métricas apropriadas para a privacidade e proteção de dados; (f) remediar adequadamente eventuais problemas e falhas de privacidade identificados em produtos ou serviços existentes; (g) gerir os fornecedores e prestadores de serviços no contexto da privacidade; (h) realizar auditorias de privacidade e proteção de dados; (i) preparar a organização para eventuais mudanças legislativas e regulatórias; (j) gerenciar e conduzir eventuais reparações de danos e comunicações com clientes e consumidores; (l) implantar software específico para gestão e/ou aprimoramento do programa de privacidade; (m) atuar em sinergia com as equipes jurídica, de TI, segurança cibernética, RH, marketing, áreas técnicas, dentre outras; e (n) reforçar a cultura de proteção da privacidade e dos dados pessoais.
Especificamente com relação à gestão de terceiros, tais como fornecedores e prestadores de serviços no contexto da privacidade, é recomendável que as organizações criem procedimentos de verificação aplicável antes da contratação do fornecedor para mitigar riscos decorrentes da operação. Dentre os diversos pontos de verificação, é importante analisar aspectos estruturais relacionados à governança da privacidade, incluindo os seguintes: (a) O terceiro possui Política de Privacidade e de Segurança da Informação apropriada?; (b) Houve nomeação do Encarregado de Dados (ou DPO)?; (c) Existe disponibilização de canal para o titular exercer seus direitos?; (d) Existe definição de procedimentos para backup, e plano de resposta para gestão de incidentes de privacidade?; (e) Existem Políticas de Gestão de Acessos para restringir o acesso das informações apenas às pessoas com efetiva necessidade?; e (f) Foram realizados (e registrados) treinamentos dos colaboradores, em termos de privacidade e segurança da informação?
Adicionalmente, um ponto de atenção importante atualmente é o risco aumentado de reidentificação não autorizada de informações pessoais mediante a utilização de inteligência artificial (“IA”), especialmente se considerarmos os conjuntos massivos de dados utilizados para treinar modelos generativos de IA. Ou seja, apesar de a utilização disseminada da Inteligência Artifical poder trazer benefícios, ela também apresenta novos riscos se não for gerida de forma apropriada. Nesse contexto, existem no mundo diversas proposições de legislações para regular esses novos riscos[33], inclusive no Brasil. De tal modo, com relação à governança de IA, é importante que as soluções a serem implementadas pelas organizações sejam avaliadas pelo debate ético, de transparência, com aderência de tecnologias aptas a mitigar os riscos de violação da privacidade e proteção de dados, em linha com os princípios da LGPD.
5. IMPACTOS DO ATENDIMENTO À LGPD
Antes de adentrar os pontos positivos e negativos da legislação protetiva, é importante destacar que a LGPD é mais sucinta, em alguns aspectos, do que a legislação europeia (GDPR). Percebe-se que a LGPD deixou a cargo da ANPD regulamentar pontos complementares à LGPD.
Um exemplo disso ocorre em relação à determinação de prazos previstos na norma. Enquanto o GDPR prevê prazos exatos, como de 72 horas[34] para a comunicação de incidente de segurança, a LGPD submeteu a um “prazo razoável”[35] a comunicação de um incidente de dados; somente após meses da publicação da legislação, a ANPD se posicionou sobre o assunto e recomendou que este prazo fosse de até 02 dias úteis.[36]
A ANPD tem um papel fundamental como elo entre diversas partes interessadas, do titular ao ente privado e ao ente público, passando pela necessidade de alinhamento com demais autoridades reguladoras e fiscalizadoras na sociedade civil, bem como os três poderes Executivo, Legislativo e Judiciário.
Percebe-se que a ANPD, até o momento, vem adotando uma estratégia de atuação mais educativa do que punitiva, condizente com o desenvolvimento de uma cultura de respeito à privacidade e aos dados pessoais. Entretanto, a exigência de adequação (enforcement) já é uma realidade do mercado e das relações comerciais e competitivas mantidas pelas empresas com seus clientes, fornecedores, distribuidores e stakeholders de modo geral.
Quanto a isso, vale ressaltar que a LGPD incentiva condutas e promove impactos de natureza social e econômica, podendo ter alcance extraterritorial, com efeitos internacionais. A referida lei se aplica também aos dados que sejam tratados fora do Brasil, independente do meio de tratamento ou do país, desde que (i) a coleta dos dados tenha ocorrido em território nacional; ou (ii) a atividade de tratamento tenha por objetivo a oferta de produto ou serviço para indivíduos no localizados no território nacional.[37]
Pessoas jurídicas de maior porte, com programas de Compliance mais estruturados e controles internos mais maduros, podem estar mais avançadas na adequação de seus procedimentos às regras da LGPD. Todavia, esta não é a realidade da grande massa de empresas de pequeno e médio porte no Brasil. O cenário demanda atenção, na medida que são muitos os incidentes de crimes cibernéticos, os vazamentos de dados pessoais e o ingresso de ações civis, trabalhistas e consumeristas contra organizações que violam o regramento da LGPD. [38]
Neste aspecto, deve-se destacar que não basta, apenas, implementar procedimentos e regras internas em uma empresa, seja ela de grande, médio ou de pequeno porte. Mais do que isso, é indispensável educar, capacitar e conscientizar colaboradores, terceiros e fornecedores sobre o tratamento de dados de forma adequada.
A LGPD se tornou um diferencial de negócios, refletindo e impactando relações comerciais, a competitividade de mercado e a economia de forma geral. No que tange à economia, as organizações, entre si, já avaliam e exigem níveis de atendimento à LGPD para fins de seleção e contratação de fornecedores. Já se observa também uma economia gravitando em torno da necessidade de atendimento às normas da LGPD, formada por fornecedores de tecnologia, segurança da informação, processos e profissionais especializados em privacidade de dados pessoais. [39]
Adicionalmente, a ANPD tem publicado diversos guias, orientações e checklists para contribuir com o processo de adequação nas organizações.[40] Neste contexto, é primordial que as organizações não negligenciem as orientações e publicações da ANPD a fim de ajustar procedimentos aos mandamentos contidos na LGPD. Recomenda-se estabelecer regras consolidadas em uma política de privacidade e proteção e dados, e que seja também estabelecidas obrigações para que fornecedores também as cumpram.
A existência de um contrato prevendo o cumprimento de obrigações relativas à LGPD dá segurança às partes em caso de litígios ou discussões futuras, principalmente no que se refere à responsabilização. Essa providência poderá alocar riscos de maneira apropriada e auxiliar o controlador no tocante ao seu papel, inclusive, como fiscalizador dos atos praticados pelo operador, além de afastar obrigações excessivas que, em princípio, não lhe competem.[41]
Atender aos requisitos da LGPD pode exigir adequação dos processos de governança com implementação de um programa mais consistente de compliance digital, o que demanda investimento, atualização de ferramentas de segurança de dados, revisão documental, melhoria de procedimentos e fluxos internos e externos de dados pessoais, com aplicação de mecanismos de controle e trilhas de auditoria e, acima de tudo, mudança de cultura.
Ademais, o direito à proteção de dados pessoais foi incluído na categoria de Direito Fundamental, por meio da Emenda Constitucional nº. 115/2022. Por sua vez, o próprio STF já havia afirmado (nas ADIs nºs. 6387, 6388, 6389 e 6390) que a proteção de dados pessoais seria um direito fundamental implícito na Constituição Federal de 1988.
Com relação aos aspectos tributários, a adequação das organizações às novas regras pela ANPD tem gerado discussões sobre o correto tratamento e apuração de tributos, como as contribuições para o PIS, Cofins, CSSL e o IRPJ, o que poderá ainda ser levado ao Judiciário. [42]
Com a obrigatoriedade de as organizações se adequarem à LGPD e, consequentemente, terem que arcar com as despesas para implementação de uma série de medidas operacionais, procedimentais, técnicas e jurídicas, indispensáveis ao alcance da conformidade à LGPD, pode-se compreender que tais despesas se enquadram no conceito de “insumos” e podem ser deduzidas na apuração das contribuições do PIS e da Cofins.
CONSIDERAÇÕES FINAIS: POR NOVAS PERSPECTIVAS
O amadurecimento da cultura de respeito à privacidade e de proteção de dados no Brasil reforçará a aplicação de boas práticas de tratamento ético, seguro e responsável de dados pessoais. Além de evitar danos graves aos titulares, imposição de sanções por órgãos reguladores e reparação por danos (individuais ou coletivos), essas práticas reduzem o risco de violações de dados pessoais.
Na prática, o modelo fiscalizatório proposto pela ANPD tem sido orientado por uma estratégia responsiva e educacional, acertadamente privilegiando o desenvolvimento de uma cultura de respeito à proteção de dados e à privacidade. No entanto, deve ser considerado que o risco de processos administrativos, inquéritos perante o Ministério Público e ações judiciais civis, trabalhistas e consumeristas já é realidade.
Do ponto de vista das organizações, a implementação de boa governança mitiga riscos de violações de privacidade e proteção de dados pessoais. A disseminação das boas práticas em governança da privacidade contribui para aumentar a geração de valor para todas as partes interessadas, além de atender as obrigações legais e regulatórias das organizações. A transparência na atuação – indicando pontos fortes e fracos, oportunidades e ameaças – apoia a disseminação de boas práticas, o monitoramento social e a confiança dos agentes.
Espera-se que a ANPD continue desenvolvendo o papel de orientação, disseminação de boas práticas, prevenção de violações e monitoramento dos agentes, de forma a contribuir com o desenvolvimento da cultura de proteção e privacidade de dados pessoais. Progressivamente, em paralelo, ela deverá exercer também o papel repressivo, especialmente para atividades que geram elevados riscos ou impactos negativos aos direitos de titulares. Para atuação de orientação e prevenção, a ANPD deverá dialogar com diferentes players, setores, associações, entidades de classe, órgãos reguladores e de diferentes portes, para compreender as particularidades existentes, de forma a modular a sua atuação e apoiar no gerenciamento de riscos de lesão a titulares. Sabe-se que atualmente ocorrem lesões a direitos de titulares de forma massiva, notória e até por desconhecimento, mas esta realidade tende a mudar progressivamente nos próximos anos.
[1] Pós-Graduanda em Direto Empresarial e Proteção de Dados pela Escola Superior de Advocacia (ESA).
[2] LLM em Direito da Energia e Negócios do Setor Elétrico pelo CEDIN. CIPM (Certified Information Privacy Manager) pela IAPP (International Association of Privacy Professionals).
[3] Doutor em Direito. Mestre em Administração de Empresas. Pos Graduado em Direito da Economia e de Empresas. Professor de Pós-Graduação e autor de diversas publicações.
[4] Vide artigo 52 da LGPD, que dispõe sobre as sanções administrativas aplicáveis pela autoridade nacional.
[5] Nessa linha, regras de proteção da privacidade já existiam na Constituição Federal, a Lei do Habeas Data, a Lei de Arquivos Públicos, o Código Civil, o Código de Defesa do Consumidor, a Lei de Acesso à Informação, Lei do Cadastro Positivo e, mais recentemente, o Marco Civil da Internet.
[6] NÓBREGA Viviane Maldonado. LGPD: Lei Geral de Proteção de Dados Pessoais: manual de implementação. São Paulo: Revista dos Tribunais, 2019.
[7] Como já é reconhecido, a manipulação de dados pessoais pode influenciar não apenas processos de marketing e comerciais, mas também processos eleitorais. Cite-se o caso da Cambridge Analytica, de 2018. Documentários, reportagens e testemunhos perante comissões parlamentares documentaram como a Cambridge Analytica coletou e usou dados pessoais de milhões de usuários do Facebook para fins políticos e eleitorais. Os documentários Privacidade Hackeada e Dilemas da Rede, da NetFlix, retratam bem esta reflexão.
[8] ROSS, Alec. The industries of the future. Nova York: Simon & Schuster, 2016.
[9] NÓBREGA Viviane Maldonado. LGPD: Lei Geral de Proteção de Dados Pessoais: manual de implementação. São Paulo: Revista dos Tribunais, 2019.
[10] ARTHUR, Charles. Tech giants may be huge, but nothing matches big data. The Guardian, 23 ago. 2013. Disponível em: https://www.theguardian.com/technology/2013/aug/23/tech-giants-data. Acesso em: 02 out. 2023.
[11] O tema referente a aplicação das sanções administrativas a delitos continuados está tratado no item #10 dos esclarecimentos disponibilizados pela ANPD sobre as sanções administrativas da LGPD. BRASIL. Autoridade Nacional de Proteção de Dados. Sanções Administrativas: o que muda após 1º de agosto de 2021? ANPD, 30 jul. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/sancoes-administrativas-o-que-muda-apos-1o-de-agosto-de-2021. Acesso em: 07 set. 2023
[12] NESTER, Alexandre Wagner; MÜLLER, Nicole Mendes. Regime sancionatório da LGPD: (arts. 52 a 54 da Lei 13.709/2018. Informativo Justen, Pereira, Oliveira e Talamini, Curitiba, n. 163, set. 2020. Disponível em: https://justen.com.br/pdfs/IE163/IE163-NesterNicole-RegSancionatorioLGPD.pdf. Acesso em: 22 nov. 2023.
[13] DIAS, José Lucas da Costa. As sanções administrativas da LGPD, responsabilidade e ressarcimento de danos: uma ótica a partir da violação aos dados pessoais pelo compartilhamento irregular e falta de segurança da informação. 2021. Trabalho de Conclusão de Curso (Graduação em Direito) – Pontifícia Universidade Católica de Goiás, Goias, 2021. p. 35. Disponível em: https://repositorio.pucgoias.edu.br/jspui/handle/123456789/1648. Acesso em: 22 nov. 2023.
[14] BRASIL. Supremo Tribunal Federal. Recurso Extraordinário 565.048 RS. Relator: Ministro Marco Aurélio, STF, 2014. Disponível em: https://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=6911989. Acesso em: 22 nov. 2023.
[15] MARANHÃO, J. S. A.; Freire, M. G.; QUEIROGA FILHO, M. A Pena de Desconstituição de Ativos em Processos de Conduta na Lei 12529/11 e na Jurisprudência do CADE. In: RODAS, J. G. (org.). Direito concorrencial: avanços e perspectivas. Curitiba: Prismas, 2018. v. 5, p. 105-132.
FICO, Bernardo; MARANHÃO, Juliano. Dosimetria de sanções pela ANPD e tipologia de danos à privacidade. JOTA, 8 out. 2022. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/dosimetria-de-sancoes-pela-anpd-e-tipologia-de-danos-a-privacidade-08102022#_ftn2. Acesso em: 22 nov. 2023.
[16] São critérios previstos para aplicação de sanções pela ANPD: (i) a gravidade e a natureza das infrações e dos direitos pessoais afetados; (ii) boa-fé do infrator; (iii) a vantagem auferida ou pretendida pelo infrator; (iv) a condição econômica do infrator; (v) reincidência específica; (vi) reincidência genérica; (vii) o grau do dano; (viii) a cooperação do infrator; (ix) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; (x) a adoção de política de boas práticas e governança; (xi) a pronta adoção de medidas corretivas; e (xii) proporcionalidade entre a gravidade da falta e a intensidade da sanção.
[17] BRASIL. Autoridade Nacional de Proteção de Dados. Aberta consulta pública sobre norma de dosimetria. ANPD, 16 ago. 2022. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias-periodo-eleitoral/abera-consulta-publica-sobre-norma-de-dosimetria. Acesso em: 22 nov. 2023.
FICO, Bernardo; MARANHÃO, Juliano. Dosimetria de sanções pela ANPD e tipologia de danos à privacidade. JOTA, 8 out. 2022. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/dosimetria-de-sancoes-pela-anpd-e-tipologia-de-danos-a-privacidade-08102022#_ftnref1. Acesso em: 22 nov. 2023.
[18] BRASIL. Autoridade Nacional de Proteção de Dados. Despacho: Processo Administrativo Sancionador nº 00261.000489/2022-62. Diário Oficial da União, 06 jul. 2023. Disponível em https://www.in.gov.br/en/web/dou/-/despacho-494550988. Acesso em: 09 set. 2023.
No ano de 2023, foram aplicadas às seguintes sanções à microempresa do setor de telecomunicações: (i) advertência; e (ii) multa simples no valor total de R$ 14.400,00. O fundamento consistiu em infração pelo agente fiscalizado dos dispositivos que preveem as hipóteses legais de tratamento de dados pessoais (art. 7º da LGPD) e as obrigações da empresa fiscalizada (art. 5º da Resolução 1 da ANPD). Vale ressaltar que a empresa sancionada já estava incluída na lista de processos sancionadores instaurados pela ANPD.
[19] O valor total das multas supera 4 bilhões de euros e, considerando que nem todas as sanções são aplicadas publicamente, o valor das multas pode não estar completo. Além daqueles indicados acima, os demais fundamentos de aplicação de multa foram: (i) atendimento insuficiente das obrigações de informação (cerca de 237 milhões de euros em 175 multas); (ii) atendimento insuficiente das obrigações de notificação em caso de violação de dados (cerca de 1,7 milhões de euros em 31 multas); (iv) falta de indicação de DPO ou Data Protection Officer (cerca de 919 mil euros em 15 multas); (v) cooperação insuficiente com a autoridade de supervisão (cerca de 6 milhões de euros em 87 multas); (vi) acordo de processamento de dados insuficiente (cerca de 1 milhão de euros em 11 multas); (vii) desconhecido (cerca de 9 milhões de euro em 9 multas). CMS LEGAL. GDPR Enforcement Tracker. Disponível em: https://www.enforcementtracker.com/?insights. Acesso em: 09 set. 2023
[20] OLIVEIRA, Luis Gustavo Miranda; FERNANDES, Paulo Teixeira; ÁVILA, Daniel Alves de. ANPD publica resolução sobre procedimentos de fiscalização e processo administrativo sancionador. Rolim, Goulart, Cardoso, 29 out. 2021. Disponível em: https://www.rolim.com/conteudo/publicada-pela-anpd-a-resolucao-sobre-os-seus-procedimentos-de-fiscalizacao-e-do-processo-administrativo-sancionado-no-ambito-da-autoridade/. Acesso em: 22 nov. 2023.
[21] O titular é a pessoa física a quem se referem os dados pessoais que objeto de tratamento (Art. 5º, V, da LGPD). É o dono da informação que somente a ele diz respeito.
[22] Vide artigo 2º, item II da LGPD: “Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: (…) II – a autodeterminação informativa.”.
[23] MENDES, Gilmar Ferreira; BRANCO, Paulo Gustavo Gonet. Curso de Direito Constitucional. 10. ed. ver. e atual. São Paulo: Saraiva, 2015. p. 74.
[24] Vide LGPD, artigo 6: “Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; (…)”
[25] Vide artigo 6º da LGPD. BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Lei Geral de Proteção de Dados Pessoais (LGPD). (Redação dada pela Lei nº 13.853, de 2019). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 22 set. 2023.
[26] AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS. Generally Accepted Privacy Principles. AICPA, ago. 2009. Disponível em: https://bcourses.berkeley.edu/courses/1457298/files/70759534/download?verifier=k75et0haGLJqYtVlHNos0BiXVLdNOOEIjNCL2zBG&wrap=1. Acesso em: 10 set. 23.
[27] São princípios previstos no GAPP: 1. Gerenciamento. 2. Aviso. 3. Escolha e consentimento. 4. Coleta. A entidade recolhe informações pessoais apenas para os fins identificados no aviso. 5. Uso, retenção e descarte. 6. Acesso. 7. Divulgação a terceiros. 8. Segurança para privacidade. 9. Qualidade.
10. Monitoramento e fiscalização.
[28] AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS. Generally Accepted Privacy Principles. AICPA, ago. 2009. pág. 23-25. Disponível em: https://bcourses.berkeley.edu/courses/1457298/files/70759534/download?verifier=k75et0haGLJqYtVlHNos0BiXVLdNOOEIjNCL2zBG&wrap=1. Acesso em: 10 set. 23.
[29] INTERNATIONAL ASSICIATION OF PRIVACY PROFESSIONALS. Privacy Program Management (CIPM) Online Training. IAPP, c2023. Disponível em: https://store.iapp.org/privacy-program-management-cipm-online-training/. Acesso em: 20 set. 2023.
[30] INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código de Melhores Práticas de Governança Corporativa. 6. ed. São Paulo: IBGC, 2023. p. 12.
[31] GARRIDO, Patricia P. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Editora Saraiva, 2023.
[32] Idem.
INTERNATIONAL ASSICIATION OF PRIVACY PROFESSIONALS. Privacy Program Management (CIPM) Online Training. IAPP, c2023. Disponível em: https://store.iapp.org/privacy-program-management-cipm-online-training/. Acesso em: 20 set. 2023.
[33] LA FEVER, Gary. Beyond GDPR: Unauthorized reidentification and the Mosaic Effect in the EU AI Act. IAPP, 10 ago. 2023. Disponível em https://iapp.org/news/a/beyond-gdpr-unauthorized-reidentification-and-the-mosaic-effect-in-the-eu-ai-act/. Acesso em: 09 set. 2023.
[34] COMISSÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016: relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (RGPD). Disponível em: https://eur-lex.europa.eu/eli/reg/2016/679/oj. Acesso em: 25/09/2023.
[35] GARRIDO, Patricia P. Proteção de dados pessoais: comentários à lei n. 13.709/2018 (LGPD). São Paulo: Editora Saraiva, 2023. p. 11.
[36] BRASIL. Autoridade Nacional de Proteção de Dados. Comunicação de incidente de segurança. ANPD, 23 dez. 2022. Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis. Acesso em: 23 nov. 2023.
[37] GARRIDO, Patricia P. Proteção de dados pessoais: comentários à lei n. 13.709/2018 (LGPD). São Paulo: Editora Saraiva, 2023. p. 18.
[38] FRANÇOSO, Thais Falgosi. LGPD: boas práticas como fator de competitividade. Migalhas, 19 ago. 2021. Disponível em:
https://www.migalhas.com.br/depeso/350283/lgpd-boas-praticas-como-fator-de-competitividade. Acesso em: 23 nov. 2023.
[39] GONÇALVES, Mariana Sbaite. Novas relações comerciais podem surgir com a adoção do privacy by design. ConJur, 25 jun. 2021. Disponível em: https://www.conjur.com.br/2021-jun-25/sbaite-relacoes-comerciais-podem-surgir-privacy-by-design. Acesso em: 23 nov. 2023.
[40] BRASIL. Autoridade Nacional de Proteção de Dados. Checklist de medidas de Segurança para agentes de Tratamento de pequeno porte. ANPD, 28 mai. 2021. Disponível: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/checklist-vf.pdf;. Acesso em: 23 nov. 2023.
[41] LIMA, Adrianne; SAMANIEGO, Daniela; BARONOSVKY, Thainá. LGPD para contratos: adequando contratos e documentos à Lei Geral de Proteção de Dados. São Paulo: Editora Saraiva, 2021. p. 39.
[42] VALIO, Marina; MINHOTO, Rodrigo. Creditamento das despesas com LGPD na apuração do PIS/Cofins: atualizações sobre o tema. FCR Law, 31 maio 2023. Disponível em: https://news.fcrlaw.com.br/creditamento-das-despesas-com-lgpd-na-apuracao-do-pis-cofins-atualizacoes-sobre-o-tema/. Acesso: 21 set. 2023
