LGPD: 6 ANOS DE BUSCA PELA PRIVACIDADE E SEGURANÇA.

No dia 14 de agosto de 2018, os brasileiros testemunharam um relevante evento – a promulgação da Lei 13.709/2018 ou LGPD (Lei Geral de Proteção de Dados Pessoais).

A proposta e o objetivo da lei sempre foram de zelar pela privacidade e segurança dos dados pessoais dos cidadãos do Brasil. Neste momento, passados mais de 6 anos da criação da lei, vale considerar que os avanços e desafios que a LGPD trouxe ao cenário da proteção de dados no país precisam ser acelerados, pois ainda persistem infiltrações não autorizadas, pesquisas inaplicadas e danos às pessoas.

O fim precípuo da LGPD é conferir maior controle dos cidadãos sobre suas informações pessoais e a maneira como elas são tratadas. A lei dispõe que dados pessoais são quaisquer informações que possam identificar ou tornar identificável uma pessoa, incluindo elementos como nome, CPF, e-mail e características físicas. Ou seja, os dados pessoais são o espelho de vida do cidadão.  

Embora a lei tenha entrado em vigor em setembro de 2020, suas sanções por descumprimento começaram a ser aplicadas em agosto de 2021, permitindo um período de adaptação para os agentes de tratamento. Aliás, esse período já é extenso e muito há ainda por fazer na proteção dos dados das pessoas.

A LGPD brasileira foi inspirada na GDPR - General Data Protection Regulation, legislação europeia que trata do mesmo tema e propõe o estabelecimento de princípios para o tratamento de dados pessoais. A lei cobra no seu bojo a necessidade de empresas e organizações reavaliarem suas práticas de coleta, uso e compartilhamento de dados, garantindo que essas ações estejam alinhadas com a privacidade e os direitos dos titulares.

Apesar dos embaraços encontrados, o setor privado tem percorrido um caminho gradual em direção à conformidade com a LGPD. Porém, a demora ainda é sentida, pois pesquisas revelam que, até o início de 2023, cerca de 80% das empresas no Brasil ainda não haviam se adaptado plenamente à legislação. As empresas de tecnologia, as famosas “big techs”, estão entre as que mais têm investido em adequações, mas a conscientização geral é mediana e precisa atingir uma escala maior no respectivo cumprimento integral da lei.

As sanções aos violadores da lei são necessárias. Daí que em julho de 2023, a ANPD - Autoridade Nacional de Proteção de Dados aplicou uma punição. Uma microempresa do setor de telecomunicações foi alvo de sanção devido ao tratamento de dados sem respaldo legal. Certo é que essa sanção revelou a importância da lei e as expectativas em relação à sua aplicação no Brasil, demonstrando que a ANPD está razoavelmente atenta com o que ocorre, independentemente se empresa pequena, média ou grande. Mas a proteção dos dados pessoais requer maiores fiscalização e atuação da parte da ANPD.

Vale observar que, nesse lapso temporal de 6 anos, o Poder Judiciário e a própria ANPD vêm tentando efetivar as corretas interpretação e aplicação da LGPD. Neste sentido, o STF reconheceu a proteção de dados pessoais como um direito fundamental autônomo e o STJ tratou de questões basilares como vazamento de dados e informações sensíveis. Ou seja, o Judiciário tem sido um parceiro da ANPD, para tranquilidade das pessoas que sempre reclamam de invasão de dados e de privacidade.

Mas cumpre notar que a LGPD ainda é uma legislação em evolução e tem um caminho longo a percorrer. O trecho percorrido até agora mostra avanços razoáveis no setor privado e a conscientização crescente sobre a importância da privacidade e da proteção de dados. Entretanto, existem muitos desafios a serem enfrentados, e a legislação precisa ser mais aplicada e fiscalizada para atender às complexidades do ambiente digital, que está constantemente evoluindo e se transformando. O mundo digital é rápido, a LGPD precisa ser cumprida, e a ANPD precisa ser ágil e acompanhar de perto.

Oportunamente, cabe destacar que a ANPD lançou, nesta quarta-feira (16/10), uma Tomada de Subsídios para elaboração da Agenda Regulatória 2025/2026. A iniciativa visa colher contribuições da sociedade para a definição de temas que orientarão a ação da Autoridade nos próximos dois anos, no âmbito regulatório. 

Para contribuir basta acessar a plataforma Participa + Brasil até o dia 31 de outubro de 2024. As contribuições para a elaboração da agenda deverão ser feitas exclusivamente por meio da plataforma. A Agenda é um instrumento de planejamento que agrega as ações regulatórias prioritárias e visa dar publicidade, previsibilidade, transparência e eficiência à ação da Autarquia, além de maior segurança jurídica na relação com os agentes regulados. A Agenda do biênio em curso 2023-2024, publicada em novembro de 2022, estabeleceu 20 temas prioritários. 

Periodicamente, a ANPD publica um relatório de acompanhamento da Agenda. Além de retratar o progresso dos projetos incluídos na Agenda, o texto apresenta os números da participação social nos processos de regulamentação elencados.

Segundo a coordenação de normatização, a participação social, além de permitir a prática da transparência ativa, ajuda a monitorar os temas mais sensíveis e mais urgentes para a sociedade e, que, portanto, poderão ser passíveis de regulamentação.

Apesar da vigência da LGPD, ainda acontecem ataques a sistemas de empresas públicas e privadas, que tem como consequência o vazamento de informações. Isso ocorre embora a privacidade dos dados seja um direito fundamental previsto na Constituição Federal, e ainda assim todo esse arcabouço legal não se mostra eficaz contra vazamentos.

Um exemplo de ataque emblemático foi o realizado contra o aplicativo Conecte SUS do Ministério da Saúde. Inicialmente, o ataque que derrubou o aplicativo tornou indisponível todos os dados por quase 15 dias e ainda há informações de que o sistema permanece instável. Além disso, vários usuários declararam que seus dados foram adulterados, e não se sabe se as informações foram copiadas e estão sendo comercializadas.

Passados em torno de três meses do incidente, a ANPD ainda não se pronunciou publicamente, inclusive sobre apurações de experts que constataram que o IP do Conecte Sus está nos Estados Unidos, armazenado no serviço de Cloud da Amazon, o que não garante total segurança.

Pergunta-se: diante de tantas incertezas, como fica a privacidade de dados?

Sinceramente, a meu sentir, a privacidade de dados não existe, e nem com as medidas de cibersegurança virá a existir. São constantes os ataques de hackers, e ainda constatamos as big techs (Microsoft, Google, Amazon, Facebook), que colecionam milhares de dados das pessoas, e nada acontece de punição ou sanção. Portanto, não creio na privacidade preservada e, no máximo, existe uma mínima privacidade relativa dos dados dos brasileiros.

Para piorar, sem querer ser pessimista, mas invocando a realidade, o certo é que o número de ataques e invasões a sistemas aumentam ano a ano, mesmo com maior consciência das empresas para investir em cibersegurança. A ANPD precisa entender que os criminosos estão sempre à procura de falhas ou bugs que permitam o acesso indevido a um sistema e a captura de dados, e isso precisa ser obstado pelo órgão nacional especializado.

Absurdos acontecem. Basta ver os casos dos chamados ataques de “ransomware” onde se invade um sistema e se bloqueia o seu uso, exigindo o pagamento de resgate. Há também o ataque “malware” onde se instala um software malicioso no sistema computacional para extração de dados, sem nenhum pedido de pagamento de resgate, mas que causa enormes transtornos aos titulares.

Não precisa ser vidente para saber que os dados “roubados” são vendidos na dark web. Uma solução para esse crime poderia ser a modernização da legislação atual, que embora seja nova, carece de meios mais modernos para acelerar a proteção de dados dos brasileiros. E técnicos e especialistas poderiam ser convidados a contribuir com ideias e sugestões, uma vez que o ambiente digital é muito rápido e silencioso, e a Autoridade nacional precisa também ser.

Peço venia para citar a fala do ministro Alexandre de Moraes, do STF, na sessão de 16/10 (ontem), onde ele afirma: “Eu sempre repito que, e esse é o grande problema das redes sociais, das grandes plataformas, das big techs, elas, sim, têm todas as nossas informações, todas. Não existe um banco de dados maior do que o Google tem, e não existe um banco de dados maior, não regulamentado e utilizado para proveitos econômicos pelo Google do que ele obtém com as nossas consultas”. O ministro contesta os ganhos das big techs, que se apropriam dos dados das pessoas para proveito econômico.

Encerrando, entendo que a ANPD precisa arregaçar as mangas e trabalhar mais na defesa da proteção dos dados pessoais dos brasileiros, e isso requer uma equipe de técnicos e especialistas capazes de interpretar a legislação, sugerir mudanças positivas e trabalhar efetivamente para evitar que ataques e roubos de dados ocorram. Nesse sentido, a privacidade e a segurança são, de fato, direitos fundamentais.

Wilson Campos (Advogado/Especialista com atuação nas áreas de Direito Tributário, Trabalhista, Cível e Ambiental/ Presidente da Comissão de Defesa da Cidadania e dos Interesses Coletivos da Sociedade, da OAB/MG, de 2013 a 2021/Delegado de Prerrogativas da OAB/MG, de 2019 a 2021).

Clique aqui e continue lendo sobre temas do Direito e da Justiça, além de outros temas relativos a cidadania, política, meio ambiente e garantias sociais.