Proteção de dados em 2021: importantes avanços em meio a graves vazamentos

Proteção de dados em 2021: importantes avanços em meio a graves vazamentos

Marcelo Cárgano*

30 de novembro de 2021 | 10h00

Marcelo Augusto Spinel de Souza Cárgano. FOTO: DIVULGAÇÃO

O ano que começou com um megavazamento de dados de 223 milhões de brasileiros trouxe, quem diria, importantes avanços para a proteção de dados pessoais no Brasil. Se ano passado celebramos a entrada em vigor da LGPD (Lei Geral de Proteção de Dados), neste ano vimos o começo da formação de uma jurisprudência, o início da atuação da ANPD (Autoridade Nacional de Proteção de Dados) e a consolidação da relevância do tema no Brasil.

Fundamental destacar a aprovação da PEC 17/2019, que tornará a proteção de dados pessoais um direito fundamental garantido pela Constituição. Embora o STF já tivesse reconhecido a proteção de dados pessoais como direito fundamental, é inegável que a PEC trará maior garantia para os cidadãos e deixará mais clara a legitimidade de suas demandas.

Também não é possível falar de avanços em 2021 sem falar da ANPD. A autoridade, que sofreu mais de dois de atraso em sua criação, pareceu determinada recuperar o tempo perdido. Por exemplo, tivemos em fevereiro orientações iniciais sobre a comunicação de incidentes de segurança; em maio, um guia orientativo com algumas diretrizes e definições legais para questões deixadas em aberto pela LGPD. Mais recentemente tivemos dois grandes desenvolvimentos: um guia de segurança para auxiliar micro e pequenas empresas e startups, entre outros, a implementarem medidas de segurança; e o regulamento que finalmente estabeleceu procedimentos e regras a serem observados na atividade fiscalizatória e sancionatória da ANPD.

Ações da ANPD já têm impacto real na vida das pessoas. Um caso emblemático envolveu o WhatsApp. Quando o aplicativo anunciou que mudaria sua política de privacidade de forma a permitir o compartilhamento de informações dos usuários com o Facebook (e que usuários que não aceitassem a mudança teriam a conta suspensa), ANPD, Senacon, Cade e Ministério Público expediram uma recomendação conjunta que terminou com o WhatsApp concordando em torná-la mais transparente e opcional.

Além disso, os canais de atendimento da ANPD já receberam mais de 3.100 demandas, desde consultas a denúncias de descumprimento à LGPD – um alerta para quem ainda não começou a cumprir a lei.

Judiciário inicia a construção de uma jurisprudência – Embora tenha havido no ano passado alguma aplicação pontual pelo Judiciário da LGPD, neste ano a lei passou a ser aplicada com maior habitualidade por juízes e tribunais. De acordo com pesquisa feita pelo CEDIS-IDP em parceria com o Jusbrasil, de setembro de 2020 a agosto de 2021 foram identificadas 584 decisões citando a LGPD, desde os tribunais superiores (STF, STJ e TST) às diferentes instâncias das Justiças Federal, Trabalhista, Eleitoral e dos estados.

Se algumas decisões apenas citam a lei sem fundamentação profunda, os pesquisadores encontraram 274 decisões que efetivamente aplicaram a LGPD e indícios da construção de entendimentos para orientar a aplicação da lei. Chama a atenção para a variedade de temas: além de questões envolvendo danos morais (decorrentes de vazamentos ou uso indevido de dados pessoais, em relações de consumo ou não), há casos envolvendo reclamações trabalhistas, coleta de dados para uso como prova em ações judiciais, compartilhamento e acesso a bases de dados do Poder Público, e sobre o tratamento de dados na investigação criminal. Acompanharemos como essa jurisprudência se consolidará em 2022.

China passa a regular a proteção de dados – Do ponto de vista internacional, destacam-se duas questões que podem afetar negócios brasileiros. Primeiro: a entrada em vigor, em novembro, da Lei de Proteção de Informações Pessoais (PIPL) chinesa. Semelhante à GDPR europeia – e, portanto, à nossa LGPD –, a PIPL é mais um exemplo de que os cuidados com proteção de dados se tornam um requisito global. Assim como a LGPD, a PIPL se aplica a organizações que tratem dados pessoais fora da China se o objetivo desse tratamento for fornecer produtos ou serviços a indivíduos na China ou analisar o comportamento de indivíduos na China. Não supreendemente, a PIPL não impede que o próprio estado chinês acesse os dados pessoais dos cidadãos.

Segundo: a Comissão Europeia adotou novas cláusulas contratuais padrão (SCCs) para a transferência de dados pessoais para fora da Europa. O novo modelo requer uma análise do impacto de qualquer transferência e do cenário regulatório do país importador de dados, especialmente quanto à capacidade das agências governamentais de acessar dados pessoais. Em tese, quanto mais efetiva for a LGPD, mais fácil será o fluxo de dados pessoais entre Brasil e Europa.

O que esperar para 2022 – A questão na mente de muitas empresas é o primeiro ciclo de monitoramento da ANPD, que terá início a partir de janeiro de 2022. Este ciclo ainda deve ser pautado por um viés de educativo e orientativo, embora as empresas não possam mais simplesmente continuar a adotar práticas abusivas e/ou inseguras de tratamento de dados. Na mesma linha, aguarda-se em 2022 o regulamento da ANPD com as normas e os critérios para aplicação das sanções previstas nos artigos 52 e 53 da LGPD, incluindo para dosimetria e cálculo do valor das sanções de multa.

Entre outros itens, há expectativas sobre a regulamentação da aplicação da LGPD a agentes de tratamento de pequeno porte e sobre o prazo e forma de comunicação de incidentes de segurança. Outras questões que devem ser debatidas são normas complementares sobre a definição e as atribuições do encarregado, a regulamentação dos direitos dos titulares e a regulamentação dos artigos que tratam sobre a transferência internacional de dados.

Para terminar, é possível arriscar duas previsões. Primeiro, o aumento da complexidade regulatória dentro e fora do Brasil e a tendência das empresas se tornarem cada vez mais globais tende a valorizar os profissionais de proteção de dados e a requerer um número cada vez maior destes profissionais. Não é viável em empresas de atuação internacional que uma única pessoa gerencie as interações das legislações de diversos países e implemente as soluções necessárias. Mas mesmo empresas com atuação 100% nacional requerem profissionais com conhecimento amplo: a LGPD não é a única lei que dispõe sobre o tratamento de dados pessoais no Brasil e outras leis, regulamentos, portarias e normas setoriais precisam ser consideradas no planejamento da empresa.

Segundo, investimentos em segurança terão de ser aumentados, pois as ameaças são cada vez maiores. Um risco grave são os ataques de ransomware, que, segundo informações de empresas de segurança, teriam aumentado 92% no Brasil no primeiro semestre de 2021. Além de exigir grandes somas para “desbloquear” os dados roubados, os criminosos também exigem pagamentos para que as informações confidenciais não sejam divulgadas a clientes e ao público em geral. E conforme as pessoas passem a trabalhar remotamente, maior a quantidade de pontos de entrada para cibercriminosos atacarem.

Face a essas ameaças, espera-se que 2022 possa tornar efetiva a proteção de dados pessoais como um direito fundamental – e que deixemos de observar as graves violações que vimos em 2021.

*Marcelo Cárgano, advogado do escritório Abe Giovanini Advogados, com atuação no Japan Desk. Possui certificação na área de regulação e proteção de dados pessoais e privacidade

Comentários

Os comentários são exclusivos para assinantes do Estadão.