Desde a implementação da Lei Geral de Proteção de Dados (LGPD) há seis anos, o Brasil tem visto avanços significativos na regulamentação e proteção dos dados pessoais.
Até o momento, foram editados diversos regulamentos e guias, e as autoridades têm participado de consultas e audiências públicas, demonstrando compromisso em envolver diferentes segmentos da sociedade no debate sobre a privacidade e a proteção de dados.
No entanto, os desafios continuam. O número de processos de fiscalização e sanções aplicadas ainda é baixo, e as questões judiciais relacionadas aos direitos dos titulares de dados estão em crescimento, refletindo a necessidade de um entendimento mais profundo e consistente da LGPD por parte de empresas e cidadãos.
Leia, na sequência, uma análise desse assunto por Bruna Borghi – profissional de Cybersecurity & Data Privacy da TozziniFreire Advogados e Bruna Valeri Tavora – advogada nas áreas de Contencioso e Cybersecurity & Data Privacy.
Neste 6º ano da LGPD, vale rememorar a atuação da ANPD, a Autoridade Nacional de Proteção de Dados no Brasil, que intensamente promove debate sobre suas diretrizes. Seguindo o que sempre divulgou, ela tem adotado uma postura triangular, focada na regulação, educação e fiscalização. Foram, ao todo, 23 regulamentos já editados, 18 guias e cartilhas e 15 notas técnicas.
Além disso, promoveu 14 tomadas de subsídios, 6 consultas públicas, 6 audiências públicas e participou de inúmeros outros que, de alguma forma, transpassam pela temática da privacidade e proteção de dados. A Audiência Pública do Tribunal Superior Eleitoral (TSE), ocorrida neste ano de 2024 para debater as Resoluções que vigerão nas eleições vindouras e o webnário “Interfaces entre a regulação de IA e a proteção de dados pessoais” são exemplos disso.
A ANPD não tem atuado como uma Autoridade focada em sancionar ou condenar, adotando uma abordagem gradual nas sanções. Até o momento, há 16 processos de fiscalização e 9 processos administrativos sancionadores. Já julgados e transitados, são 9, baixa quantidade se considerado que já se passaram 1 ano e 5 meses desde que teve vigência o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
Até o momento, dos 25 processos, 11 envolvem autoridades públicas. As principais violações fiscalizadas incluem: comunicação inadequada de incidentes de segurança, não cumprimento de requisitos de segurança, uso impróprio de bases legais para tratamento de dados, falta de clareza nas políticas de privacidade, restrições excessivas aos direitos dos titulares e tratamento inadequado de dados de crianças e adolescentes.
As penalidades, geralmente corretivas, foram aplicadas de forma restrita, com apenas uma única sanção financeira a empresa privada e uma aplicação de multa diária.
Também é válido olhar para a perspectiva judicial. Atualmente, há no Brasil mais de 2 mil processos em andamento com foco nos direitos dos titulares, especialmente em serviços de proteção ao crédito, instituições bancárias e telecomunicações, além de discussões sobre eventuais danos morais. Entre os principais debates já ocorridos, pode se citar a discussão de que o dano moral deve ser efetivamente comprovado por quem alega ter sofrido prejuízos em caso de vazamento de dados, não bastando a mera constatação da existência de suposto incidente ou uso indevido de dados pessoais.
Em que pese esses números ainda sejam tímidos comparados ao cenário litigioso brasileiro, é inegável que em dias atuais a preocupação com a proteção de dados tem se tornado cada vez mais intensa, com cidadãos mais conscientes de sua privacidade e dos seus direitos. Ainda assim, é premente que atuação educativa e fiscalizatória siga firme, de forma a manter o cenário brasileiro seguro.
