Comemorada como grande avanço para a proteção de dados pessoais (desde dados de nossos documentos até os que dizem à respeito da orientação sexual, religiosa e partidária) a LGPD (Lei Geral de Proteção de Dados - Lei nº 13.709/2018) foi um dos assuntos mais comentados em 2021 no meio empresarial e jurídico.
Inspirada na GDPR (General Data Protection Regulation), a legislação da comunidade europeia para a proteção de dados, a LGPD nos deu a convicção de que passamos a fazer parte de um rol de países que tutela os dados pessoais de seus cidadãos. Nada mais necessário em um mundo que opera digitalmente com a circulação de milhões ou bilhões de dados diariamente.
Qualquer empresa ou pessoa física que vá manipular dados pessoais de terceiros deve informar o objetivo da utilização dos dados, a motivação, a forma que irá armazená-los, excluí-los. E os dados somente poderão ser utilizados nas hipóteses previstas na lei, seja por meio do consentimento de seu titular, do cumprimento de obrigação legal ou regulatória, da execução de contratos ou em casos de proteção da vida e da saúde e demais bases legais.
A lei trouxe ainda a figura do DPO (Data Protection Officer), o profissional encarregado de gerir os dados pessoais em uma empresa. Cabe ao DPO responder a todos os questionamentos sobre a utilização de dados dos clientes, bem como a gestão interna dessas informações (medidas de segurança). Por fim, o DPO também é o responsável para sinalizar qualquer vazamento ou incidente com os dados dos clientes, devendo informar a autoridade competente nesses casos.
A ANPD (Autoridade Nacional de Proteção de Dados) tem a competência legal para fiscalizar, orientar e sancionar infrações à LGPD. É um órgão da administração pública direta federal e conceitualmente independente.
Em resumo, a LGPD possui conceitos modernos de proteção de dados e um ente responsável para sua efetiva aplicação, com poder sancionatório. Nesse cenário, profissionais do Direito e de áreas de tecnologia apostam na lei para que o país implemente cultura corporativa de proteção de dados.
Inobstante, todo o cenário perfeitamente desenhado, a realidade tem sido cruel com a LGPD, colocando em xeque sua eficácia. Todas as semanas temos notícias sobre vazamentos de dados por invasões indevidas (basicamente ataques hackers) com milhões de dados colocados em risco. O malware (instalação de software malicioso para coletar dados do usuário) e o ransomware (bloqueio do computador ou sistema e pedido de resgate para sua liberação) cresceram exponencialmente após a promulgação da lei.
Na prática, o bandido notou que pode pedir um resgate que valha mais a pena para a empresa pagá-lo do que ter que arcar com uma multa ou pior do que isso, com a perda de credibilidade e de clientes no mercado. Em um dos casos mais famosos, a JBS admitiu que pagou resgate milionário para que seus dados fossem "devolvidos".
E se na esfera da iniciativa privada há preocupação com a imagem da empresa, preservação de clientes e pagamento de multas, temos no ambiente público outras dificuldades, como a necessidade de licitar para promover melhorias em sistemas de cibersegurança, dentre outras.
As empresas públicas e órgãos governamentais vêm sendo constantemente atacados. Noticiou-se o vazamento de mais de 300 milhões de dados de variados Ministérios, muitos sites e aplicativos ficaram e ficam ainda instáveis ou fora do ar, enfim, um cenário caótico onde a LGPD é insuficiente para encontrar soluções.
E, do ponto de vista do cidadão, há dúvida sobre a independência efetiva da ANPD e se tal autoridade sancionará órgãos do Poder Executivo ao qual ela está vinculada.
Ao que parece, até que a cibersegurança seja aperfeiçoada (e ainda há um caminho considerável para tanto) teremos uma proteção precária dos dados pessoais. É mais do que necessário que cidadãos, empresários e governantes tenham consciência do problema e comecem a adotar medidas efetivas para sua solução. Ainda que a caminhada seja longa, precisamos apressar o passo.
*Francisco Gomes Júnior, sócio da OGF Advogados. Especialista em Direito Digital e Crimes Cibernéticos. Presidente da Associação de Defesa de Dados Pessoais e do Consumidor (ADDP)
