A Lei Geral de Proteção de Dados (LGPD) do Brasil, apesar de recente – foi aprovada em 2018, mas entrou em vigor em setembro de 2020 -, tem demonstrado sua eficácia e importância. Ela é, sem dúvida, um grande passo para proteção da privacidade de informações pessoais, pois permite construir segurança jurídica, mediante padronização de procedimentos e normas, atingindo todas as esferas (municipal, estadual e federal) e segmentos de mercado/empresas. Muitos acreditavam que a lei não iria “pegar” – como muitas no país – mas pegou, felizmente.
Quer receber os conteúdos da TrendsCE no seu smartphone?
Acesse o nosso Whatsapp e dê um oi para a gente.
Somente com aprovação da LGPD e antes mesmo de entrar em vigor, o Brasil, que ocupava o 71º lugar no ranking do Índice Global de Segurança Cibernética, divulgado pela União Internacional de Telecomunicações (UIT) – agência especializada em Tecnologias de Informação e Comunicação da Organização das Nações Unidas (ONU) – passou para o 18º, ou seja, ganhou nada menos que 53 posições. O levantamento do Índice foi realizado em 2020 e englobou 193 países. Outro dado muito importante: o Brasil está no terceiro lugar entre os países da América, atrás somente dos Estados Unidos e Canadá.
O Índice Global da UIT mede as ações dos países para enfrentar os riscos cibernéticos. É obtido a partir de avaliação de cinco aspectos: medidas jurídicas, técnicas, cooperativas, organizacionais e de capacitação. O objetivo é aumentar a conscientização sobre os compromissos das nações em relação à cibersegurança, identificar os pontos fortes e as áreas onde são necessárias melhorias, além de compartilhar práticas atualizadas de segurança.
Levantamento realizado pelo F5 Labs, divisão da F5 Networks que atua para identificar ameaças que atingem empresas no mundo todo, os Estados Unidos são o principal ponto de origem de ataques digitais contra a América Latina, com mais de 50 milhões de malwares disparados no primeiro trimestre de 2021.
A Lituânia ocupa a segunda colocação, seguida pela China, Rússia, Alemanha e França. Na sétima posição como principal fonte de tráfego contaminado está o Brasil, com sete milhões de malwares disseminados. Em seguida vêm os Países Baixos, a Argentina — com seis milhões de ataques — e o Reino Unido. A informação foi publicada pelo CisoAdvisor.
ANPD aplica primeira multa
No início de julho, a Autoridade Nacional de Proteção de Dados (ANPD), que tem como missão construir um ambiente de respeito aos direitos dos titulares dos dados e, ainda, de zelar pela proteção dos dados pessoais de cada cidadão brasileiro, aplicou a primeira multa por descumprimento à LGPD. A ANPD publicou, no Diário Oficial da União, em 6 de julho, sanção decorrente da conclusão de processo administrativo contra a empresa Telekall Infoservice. A Coordenação-Geral de Fiscalização (CGF/ANPD) concluiu que a empresa infringiu os arts. 7º e o 41 da LGPD, além do art. 5º do Regulamento de Fiscalização da ANPD.
Para a infração ao art. 7º da LGPD e ao art. 5º do Regulamento de Fiscalização foram aplicadas sanções de multa simples. O descumprimento ao art. 41 da Lei resultou em sanção de advertência. Por se tratar de uma microempresa, o valor para cada infração ficou limitado a 2% do seu faturamento bruto, conforme art. 52, II, da LGPD, totalizando uma multa de R$14.400,00.
De acordo com a ANPD, a fiscalização foi iniciada a partir de denúncia de que a empresa Telekall Infoservice estaria ofertando uma listagem de contatos de WhatsApp de eleitores para fins de disseminação de material de campanha eleitoral. Os fatos denunciados foram relativos à eleição municipal de 2020, em Ubatuba/SP. A ANPD verificou que o tratamento de dados pessoais denunciado estava ocorrendo sem respaldo legal. Foi apurada ainda a falta de comprovação da indicação de encarregado pelo tratamento de dados pessoais pela empresa.
Empresas precisam se adequar à LGPD
O advogado Frederico Cortez, da Cortez & Gonçalves Advogados, afirma que a LGPD veio com certo atraso, isso se comparar o Brasil com outros países, até mesmo aqui da América do Sul. O seu modelo foi espelhado na lei de proteção de dados europeia e norte-americana. Justamente por isso, é importante lembrar que o Brasil é um país de dimensão continental, “onde temos uma economia bastante regionalizada e recortada. Isso significa que nem sempre o que funciona em outros países necessariamente terá o mesmo resultado positivo aqui”.
Frederico Cortez observa que ter o trânsito de dados pessoais sem uma regulamentação é algo impensável em dias atuais, “então, vejo como necessária essa regulamentação”. Após a fase pedagógica – informa -, a LGPD iniciou em fevereiro deste ano a etapa de fiscalização, com a instauração de processos administrativos e aplicação de multas.
“Para o empresário ou empresária que apostou que a lei de proteção de dados pessoais brasileira seria uma ‘lei morta’, certamente jogou muito contra a seu favor e de forma errada. O conselho que dou agora é justamente correr atrás do prejuízo e fazer de imediato a adequação às conformidades exigidas pela LGDP. Esperar a punição, para só depois tomar alguma medida legal, é o mesmo que atravessar um campo minado e com os olhos vendados.”
Frederico Cortez, advogado no Cortez & Gonçalves Advogados
Ele afirma que a LGPD tem o maior controle sobre o processo do trânsito dos dados pessoais na base de informação das empresas, sendo este um dos pontos positivos. Antes dessa legislação especial nenhum controle era exercido, o que facilitava muito a venda de informações pessoais em sites de uma forma aberta e pública.
“Agora não. Temos uma lei em vigor e com uma mão bastante pesada nas penalidades para quem desobedecer ou ignorar a sua essência, que é a segurança das informações”. Para o advogado, a LGPD não tem ponto negativo, apesar de ressaltar que existe equívoco quanto ao modo de fiscalização e aplicação das penas para as pequenas e médias empresas.
Mas, ele reconhece que a ANPD, órgão do Governo Federal responsável por regulamentar e aplicar as penas da lei, fez uma ressalva bastante significativa para quem não está dentro do escopo de grandes empresas e corporações. A expectativa agora é observar como o Poder Judiciário vai fazer essa análise, posto que já teve uma sinalização pelo Superior Tribunal de Justiça (STJ), que não considerou o pedido de indenização por um vazamento de dados, haja vista que o titular das informações pessoais não teve prejuízo. Para ele, esse julgamento tem o respaldo no próprio Código Civil brasileiro, que prescreve a indenização de acordo com a extensão do dano, seja ele material ou moral.
“Certamente vamos ter logo mais uma colidência das legislações LGPD e Código Civil, no tocante ao direito ou não à indenização pelo vazamento dos dados sem acometimento de uma indenização para o titular das informações pessoais. Dizer que a LGPD é uma medida negativa, não encontra ressonância legal para tanto. Quem não quer que suas informações pessoais estejam protegidas? Então, é sim bem-vinda, mesmo com certo atraso e que ainda vai sofrer modificações para uma evolução positiva”.
Frederico Cortez, advogado no Cortez & Gonçalves Advogados
Sobre em quais setores ocorrem no Brasil maior número de vazamentos de dados, Cortez é contundente: apontar mais precisamente onde acontecem os vazamentos ainda não é uma tarefa tão simples, justamente por essa ausência de ferramentas de controle e fiscalização. Mas, por sua experiência no escritório de advocacia e pelos casos que já vieram à tona, ele acredita que os locais onde concentram cadastros de pessoas são os mais propícios. Setores de telefonia, bancário (cartão de crédito) e redes sociais são os campeões de origem.
Em 2021 – lembra – oito milhões de pessoas com conta do Facebook no Brasil tiveram seus dados vazados. “Uma coisa é certa. Os dados serão vazados um dia ou outro, tudo é questão de tempo e de como a empresa vem trabalhando o tratamento das informações pessoais dos seus clientes em sua base de informação. A regra é que a empresa, que não tem ainda uma política de proteção de dados pessoais e que não iniciou a sua adequação à LGPD, passe a ser o principal alvo de hackers em seus sistemas”.
Ele entende que a empresa que hoje tem em seu compliance a implementação da adequação das conformidades da LGPD passa a ter um diferencial no mercado, principalmente perante o seu público consumidor. “Digo mais. É um ativo para seu produto a ser certificado, justamente para mostrar ao mercado que respeita o seu consumidor, de quem consome o seu produto ou serviço”.
Ele esclarece que, uma vez noticiado o vazamento de dados perante uma empresa, o custo para reconquistar a sua fatia no mercado será longo e muito dispendioso, pois vai enfrentar também, a partir de agora, a fiscalização da Autoridade Nacional de Proteção de Dados (ANPD). O cancelamento é feito de forma orgânica e pelo próprio consumidor, onde se viu ali vulnerável em sua relação com aquela empresa que figurou como cliente.
Mas ele adverte, no entanto, que não basta ter um certificado com uma linda moldura na sala da diretoria da empresa ou no rol de entrada, ou então um selo no seu site ou nas redes sociais. A cultura da LGPD é diária, desde a diretoria até a portaria da sede da empresa. Um negócio que não respira a cultura de proteção de dados pessoais dos seus clientes “é um ser empresarial catatônico à espera da falência do seu negócio em um período muito próximo” – enfatiza.
Indagado sobre os principais desafios diante das novas tecnologias, Cortez diz que a velocidade entre o surgimento de novas tecnologias e a promulgação de leis é abismal e insondável. E que agora a bola da vez é a inteligência artificial, onde o Brasil ainda não tem um marco regulatório para a sua utilização.
Recentemente, uma montadora de veículos fez uma campanha publicitária e que usou de IA “ressuscitando” uma cantora famosa já falecida. A polêmica foi tamanha, que o Conar (Conselho Nacional de Autorregulamentação Publicitária) já abriu um processo de investigação alegando falta de ética diante do que foi publicado – lembra.
O problema é, segundo o advogado, que em não tendo uma lei própria para tanto, o uso de dados pessoais de Inteligência Artificial fica meio que num estado de indefinição. Daí, passa a ser urgente o Poder Legislativo nacional tentar acompanhar a evolução da tecnologia, com a edição de novas leis. O processo legislativo de construção de uma lei é cadenciado e formal, por isso não pode sofrer nenhum atropelo, para que a nova legislação não sofra pedido de inconstitucionalidade, tanto na sua forma, como na matéria de fundo que carrega.
A título de informação, a ANPD publicou, no dia 6 de julho, a Análise Preliminar do Projeto de Lei (PL) nº 2338/2023, que dispõe sobre o uso da Inteligência Artificial no Brasil. O documento, que foi elaborado em conjunto pelas Coordenações-Gerais de Tecnologia e Pesquisa e de Relações Institucionais e Internacionais, reflete mais uma iniciativa institucional da ANPD para contribuir com o debate público sobre o tema.
“Penso que o simples fato de uma consciência política presente sobre essa importância da legislação na área tecnológica já é um grande salto qualitativo de nossos representantes em Brasília. Não que isso seja com o propósito de barrar ou impedir o surgimento de desenvolvimento de novas tecnologias, mas para sempre essas novas ferramentas ficarem adequadas aos nossos preceitos constitucionais dos direitos individuais e coletivos entabulados na nossa Constituição Federal de 1988.”
Frederico Cortez, advogado no Cortez & Gonçalves Advogados
ANPD tem corpo técnico competente
A ANPD, segundo Cortez, tem um corpo técnico consultivo muito competente, desde a diretoria até os seus membros consultivos. Ele ressalta que a LGPD entrou em vigor em setembro de 2020 e em menos de três anos já publicou o seu regulamento da dosimetria, que é a régua da aplicação das penalidades em caso de confirmação de vazamento de dados. Assim, empresas menores serão punidas com base no seu faturamento do ano anterior. E não só empresas privadas que já foram autuadas, mas prefeituras também já estão na lista de entidades investigadas em vazamento de dados.
“Diante disso, interpreto que a partir do momento que todos começarem a visualizar esse trabalho sério da ANPD, vão ter esse estalo de inteligência e já começarão a implementar a legislação de proteção de dados pessoais em sua estrutura organizacional.”
Frederico Cortez, advogado no Cortez & Gonçalves Advogados
A punição para o vazamento de dados, de acordo com o texto seco da LGPD, vai desde advertência, aplicação de multa pecuniária no valor de até R$ 50 milhões por infração, suspensão do banco de dados da empresa e até mesmo suspensão parcial ou total das atividades relacionadas a tratamento de dados. “Só que faltava ainda a regulamentação para empresas de médio e pequeno porte, que foi sanado com o regulamento da dosimetria. Neste documento, a ANPD buscou a proporcionalidade entre a sanção aplicada e o grau de participação do agente no vazamento dos dados”.
Cortez aponta como importante a definição de “valor-base” para aplicação da multa simples e destaca também a relevância das circunstâncias agravantes, onde o valor da multa simples será aumentado conforme a reincidência em até 40% e descumprimento de medidas corretivas em até 90% do valor original da multa pecuniária. Para os empreendimentos que já iniciaram a sua adequação ou que já implementaram as conformidades da LGPD, o mesmo marco traz as atenuantes, com redução em até 75% do valor da multa aplicada.
Maioria das empresas não está em conformidade com a LGPD
Leonardo Cavalcante, CEO FYDU Blockchain e Head Vellahub Innovation, tendo como base pesquisas recentes, garante que a maioria das empresas brasileiras não está em conformidade com a LGPD. Ao mesmo tempo, os incidentes envolvendo dados pessoais continuam crescendo no país, colocando o Brasil entre os países com maior número total de incidentes de dados. Embora a ANPD tenha demonstrado estar ciente da necessidade de investir tempo e esforço na conscientização sobre a proteção de dados pessoais antes de assumir uma postura mais agressiva, as organizações devem se comprometer com a conformidade com a LGPD.
No primeiro semestre deste ano, o mercado, de modo geral, esperava estudo de cumprimento da LGPD pela Coordenação-Geral de Inspeção; aumento de solicitações de titulares de dados dirigidas a empresas e à ANPD para o exercício de seus direitos; um aumento contínuo no número de ataques cibernéticos e incidentes de segurança, como vazamentos de dados, devido ao crescimento progressivo do volume de dados pessoais circulando em ambientes e plataformas digitais.
O mercado aguarda a regulamentação da ANPD sobre a aplicação de penalidades administrativas; direitos dos titulares dos dados; prazos para reporte e notificação de Incidentes de Segurança da Informação; mecanismos de transferência internacional de dados pessoais, incluindo a definição do conteúdo de cláusulas contratuais padrão brasileiras, entre outros.
E mais: Data Protection Impact Assessment (DPIA) para casos em que o processamento representa um alto risco; e a definição e funções do Encarregado da Proteção de Dados, incluindo os casos de dispensa da obrigatoriedade de nomeação em função da natureza e dimensão da entidade ou do volume de operações do tratamento de dados.
Leonardo Cavalcante reconhece que, embora ainda que existam enormes desafios para a plena implementação e cumprimento adequado da LGPD, os avanços nesses últimos quatro anos trouxeram a certeza de que a privacidade de dados e a proteção de dados pessoais são direitos que vieram para ficar. Diante desses avanços, espera-se que as lacunas da LGPD sejam preenchidas em breve, trazendo maior segurança jurídica às organizações e proteção mais efetiva aos titulares de dados pessoais em um cenário global de economias cada vez mais orientadas por dados.
“Vivemos em uma sociedade movida a dados. Muitas atividades do nosso cotidiano envolvem a coleta, o uso e o compartilhamento de dados com empresas ou órgãos governamentais. Na internet, também compartilhamos dados, seja ao fazer compras, seja ao usar redes sociais. A LGPD define o tratamento de dados como toda operação realizada com dados pessoais, por exemplo: produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”
Leonardo Cavalcante, CEO FYDU Blockchain e Head Vellahub Innovation
Mesmo com a LGPD e a ANPD são necessários alguns cuidados para proteção de dados. Cavalcante aconselha: “o titular de dados pode proteger os seus dados pessoais criando backups dos dados armazenados, principalmente em nuvem, ativando a criptografia nos discos e mídias externas, como pendrives, criando senhas fortes, que contenham a combinação de caracteres especiais, letras maiúsculas, minúsculas e números.
Também deve evitar utilizar dados pessoais ou palavras comuns, habilitando a verificação de senhas em duas etapas, sempre que disponível, principalmente em sistemas de armazenamento em nuvem e aplicativos de mensagens, instalando somente aplicativos de fontes e lojas oficiais, atualizando sempre o sistema operacional e os aplicativos, apagando os dados armazenados antes de se desfazer dos equipamentos e das mídias, desconfiando de links recebidos por aplicativos de mensagens, limitando a divulgação ou fornecimento de dados pessoais na internet, inclusive para redes sociais, ou para empresas, aos casos estritamente necessários.
Lei traz vários benefícios
“Mas essa lei vai pegar?” No início da vigência da LGPD essa era a pergunta mais ouvida dos clientes – afirma Iago Capistrano Sá, advogado de Tecnologia & Inovação do APSV Advogados, secretário-geral adjunto da Comissão de Direito Digital, Startups e Inovação da OAB/CE e coordenador do Grupo de Estudos em Tecnologia, Informação e Sociedade (GETIS). Hoje, já não há qualquer margem para essa dúvida. Desde antes da vigência da lei (setembro de 2020), muita coisa aconteceu para firmar a efetividade da mesma.
“Para além da emenda constitucional que incluiu o direito à proteção de dados na Constituição Federal como direito fundamental, é importante destacar que uma autoridade nacional foi instituída (ANPD) e tem sido consideravelmente atuante, cumprindo suas funções de educar, fiscalizar e até punir. Mas, mais que fiscalização e punição, a ANPD tem provido regulamentos, enunciados, informativos e modelos de documentos.”
Iago Capistrano Sá, advogado de Tecnologia & Inovação do APSV Advogados
E não só a ANPD – entende –, mas outros entes ou órgãos reguladores podem atuar para garantir o respeito ao direito à proteção de dados das pessoas, a exemplo da Secretaria Nacional do Consumidor (SENACON). Bem, por essas e outras, a verdade é que a LGPD já pegou, “de fato e de direito”, e o dever de proteção de dados já é uma realidade.
Iago Capistrano afirma que a LGPD traz uma série de benefícios. Para a sociedade, acima de tudo, pois fortalece o respeito à privacidade dos indivíduos, o desenvolvimento da personalidade e a autodeterminação informativa – empoderamento de cada pessoa sobre o tratamento de suas informações. Para o setor privado, estabelece um diferencial de mercado às instituições em conformidade.
De acordo com estudos da Cisco (“Maximizing the Value of Your Data Privacy Investments”), o ganho competitivo em relação a outras empresas é de 42%; o aprimoramento em agilidade e poder de inovação é de 41%; e o aumento da confiabilidade dos clientes é de 74%. Para além disso, para cada U$ 1 (um dólar) investido, as empresas preocupadas com proteção de dados recebem U$ 2,70 (dois dólares e setenta centavos) em benefício – informa.
Já para o setor público, a adequação à LGPD, além de aprimoramento da inovação, planejamento estratégico e eficiência, também determina maior alinhamento ao interesse público e aumento da confiança do cidadão e da cidadã (com o fortalecimento da reputação institucional).
Para o advogado Iago Capistrano, os malefícios da lei em si e do respectivo processo de adequação “não são tão expressivos se considerarmos todos os pontos positivos”. Ainda assim – observa – é possível destacar que alcançar a conformidade à LGPD implica: Investimento, que pode ser oneroso para a empresa ou instituição pública; Complexidade do processo de adequação; Aparente “burocracia”, pela necessidade de manutenção e revisão dos serviços praticados; Possível impacto em modelos de negócios, exigindo ajustes ou mesmo encerramento de determinadas práticas antes realizadas.
É importante considerar que todos os “malefícios” têm por trás uma razão de segurança jurídica; afinal, “custos”, “burocracia” e “mudanças” são apenas consequências do respeito à privacidade e à proteção de dados exigidos legalmente – ressalta.
“É bem verdade que o processo de adequação à LGPD não é simples. Estar em conformidade com a lei requer a estruturação e manutenção de um programa com procedimentos, guias de conduta, controles e políticas. Esses entregáveis têm que ser aptos a demonstrar o comprometimento da instituição com a proteção de dados, prestar contas, dar transparência e estabelecer confiança. Nesse sentido, um dos maiores e mais importantes desafios é a conscientização da organização, independentemente do seu tamanho ou setor de atuação.”
Iago Capistrano Sá, advogado de Tecnologia & Inovação do APSV Advogados
Ele chama a atenção que essa conscientização deve englobar não apenas os funcionários em geral, mas, sobretudo, a alta gestão da empresa. A conscientização abrange a compreensão dos riscos associados ao tratamento inadequado dos dados pessoais, bem como o reconhecimento dos benefícios de estar em conformidade com a LGPD e outras leis de proteção de dados.
Além disso, são desafios: Recursos financeiros, já que o processo de adequação à LGPD exige investimento em consultoria, pessoal ou até tecnologia; Assegurar a conformidade e responsabilidade de terceiros com quem os dados são compartilhados, como prestadores de serviços e fornecedores – o que exige a revisão de práticas, contratos e acordos; Cuidado especial com o uso de dados pessoais sensíveis (como dados biométricos, de saúde e de raça ou etnia) e dados pessoais de vulneráveis (como crianças e adolescentes); Monitoramento e melhoria constantes – a proteção de dados é uma questão dinâmica, de modo que as instituições precisam estar constantemente revisando e se atualizando sobre as mudanças nas melhores práticas, ameaças cibernéticas e atualizações na legislação.
Mas, afirma Capistrano, uma coisa é certa: já passou da hora de as empresas e órgãos públicos se adequarem à LGPD – finaliza.
Saiba mais:
Empresas que descumprirem a LGPD já podem sofrer sanções
LGPD: para evitar sanções, empresas investem em adequações exigidas