Onde estamos e para onde vamos? A Lei Geral de Proteção de Dados em 2022
Ao início de cada ano, é comum fazermos uma retrospectiva sobre o que passou e, também, planejar o que esta por vir, e isso não poderia ser diferente quando falamos sobre Privacidade e Proteção de Dados. Assim, tendo em vista que a Lei Geral de Proteção de Dados (LGPD) teve, em 2021, seu primeiro ano completo de vigência, é interessante analisarmos quais os avanços obtidos, bem como quais as perspectivas para a privacidade e a proteção de dados no Brasil em 2022.
A Autoridade Nacional de Proteção de Dados
O primeiro ponto de destaque da LGPD em 2021 foi o início das atividades da Autoridade Nacional de Proteção de Dados (ANPD). Formalmente instituída ainda no fim de 2020, a ANPD iniciou o ano de 2021 em processo de estruturação, fato este de suma importância para o pleno desenvolvimento da LGPD. Logo no primeiro mês do ano, a ANPD publicou sua Agenda Regulatória para o biênio 2021-2022, documento voltado ao planejamento das ações regulatórias consideradas prioritárias e que serão objeto de estudo ou tratamento pela Autoridade durante sua vigência. Também em janeiro de 2021, a ANPD iniciou a tomada de subsídios para regulamentação da aplicação da LGPD para microempresas, empresas de pequeno porte e startups.
No decorrer do ano, outras medidas importantes também foram tomadas pela ANPD, dentre elas o processo para constituição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), o estabelecimento de seu regimento interno, além de ter sido aprovado o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados.
Assim, temos que, em 2021, a ANPD iniciou, de fato, o exercício de suas competências legais, o que deve ser considerado como algo positivo, já que é a Autoridade que tem a competência para zelar pela proteção dos dados pessoais, fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, além de ser responsável por regulamentar os diversos pontos em aberto da LGPD. Como ponto negativo, entretanto, podemos citar a não regulamentação de temas muito importantes da LGPD, como os direitos dos titulares e as transferências internacionais de dados pessoais, ambas matérias que têm forte impacto na aplicabilidade da Lei Geral de Proteção de Dados.
Para o ano de 2022, há muito o que se esperar da ANPD. Já neste início de ano, a ANPD, em conjunto com o Tribunal Superior Eleitoral, publicou orientações específicas sobre o tratamento de dados pessoais relacionado às eleições. Não bastasse isso, conforme definido em seu regulamento do processo de fiscalização e do processo administrativo sancionador, logo neste primeiro mês de 2022 a ANPD deve iniciar o primeiro ciclo de monitoramento. Há previsão, ainda para o primeiro semestre de 2022, de que a ANPD publique resoluções sobre temas de suma importância, como os direitos dos titulares e o Encarregado de proteção de dados, além de outras medidas.
LGPD e o mercado brasileiro
Desde sua aprovação, em 2018, a Lei Geral de Proteção de Dados vem demandando atenção do mercado brasileiro. Com a vigência da Lei, em setembro de 2020, a privacidade e a proteção de dados passaram a ser temas recorrentes nas empresas brasileiras, uma vez que as novas
disposições legais, a nível geral, demandam a tomada de ação nos mais diversos setores empresariais. Esse movimento se intensificou, ainda mais, no ano de 2021, uma vez que, em agosto, entraram em vigência as famigeradas penalidades administrativas previstas na LGPD, estando, assim, completamente vigente a nova lei.
Segundo dados apurados em pesquisa específica sobre o tema1, que contou com 366 empresas participantes dos mais variados níveis e tamanhos, apenas cerca de 10% das organizações acreditam estar em nível avançado de adequação à LGPD, sendo que a maior parte das empresas entende que ainda está no meio desta jornada.
Outro dado relevante é a percepção de dificuldade na implementação das medidas necessárias para o cumprimento da LGPD. Conforme apurado, mais de 62% das organizações afirmam ter contado com serviços externos para a condução de seus projetos de adequação, o que demonstra que a expertise envolvida no tema e a novidade trazida pela LGPD ainda demandam bastante mão de obra qualificada. Neste sentido, cerca de 75% das organizações participantes da pesquisa afirmam que sua jornada de adequação teve média ou alta complexidade.
A partir destes dados, temos que 2021 foi um ano em que o mercado se dedicou à adequação aos termos da LGPD, de modo que as empresas que ainda não tinham se movimentado nos anos anteriores, passaram a adotar medidas para garantir o cumprimento da nova Lei. Entretanto, nota-se que as pequenas e médias empresas, por sua vez, muitas vezes ainda estão nos passos iniciais desta jornada, de modo que esta realidade de adequação deve perdurar ainda por mais algum tempo.
Para 2022, tendo em vista as regulamentações previstas pela ANPD e o desenvolvimento prático da LGPD, devemos ter um ano bastante aquecido no mercado nacional. Ainda que a LGPD tenha entrado em vigência em 2020, há diversos pontos de sua redação que demandam regulamentação, de modo que as publicações da ANPD sobre estes tópicos com certeza surtirão em novos ajustes nas organizações. Não bastasse isso, o próprio aculturamento da população quanto à privacidade e a proteção de dados culminará em novas necessidades empresariais, não só do ponto de vista do atendimento de requisitos regulatórios e demandas judiciais, mas também no que toca ao próprio desenvolvimento de negócios, como a necessidade de um olhar cuidadoso sobre privacidade e proteção de dados quando do desenvolvimento de novos projetos, produtos e serviços.
LGPD e o Poder Judiciário
Apesar das atividades da ANPD terem se iniciado, de fato, apenas no início de 2021, a LGPD iniciou sua vigência no terceiro trimestre de 2020, sendo, portanto, aplicável pelo Poder Judiciário desde então.
Conforme dados apurados entre setembro de 2020 e agosto de 20212, foram encontradas 584 decisões relacionadas à LGPD, sendo que 274 destas efetivamente tinham como escopo a aplicação da Lei Geral de Proteção de Dados. Analisando mais de perto, verifica-se que mais de 40% das decisões judiciais apuradas no levantamento foram publicadas pela Justiça do Trabalho, enquanto 47% das decisões foram emanadas pela Justiça Estadual. Além disso, verifica-se que o
estado de São Paulo foi o líder em decisões judiciais relacionadas à LGPD neste período, com especial destaque para o Tribunal de Justiça do Estado de São Paulo e para o Tribunal Regional do Trabalho da 2ª Região. Em termos quantitativos, verifica-se que a maior parte das decisões trata do capítulo I da LGPD (Disposições Preliminares), com grande menção aos fundamentos, conceitos e princípios da Lei, temas estes constantes em 62 das decisões analisadas.
Para o ano de 2022, podemos esperar ainda mais decisões judiciais sobre o tema, uma vez muitas a ações que versam sobre privacidade e proteção de dados devem ser julgadas durante o ano. Além disso, este ano também deve ser marcado pela formação das primeiras jurisprudências sobre o tema, uma vez que cada vez mais demandas tendem a ser julgadas nas instâncias superiores. Outra novidade de extrema relevância para o ano de 2022 é a inclusão da proteção de dados na Constituição Federal, com status de direito fundamental, medida aprovada pelo Senado Federal em outubro de 2021 e que pende de promulgação, em sessão do Congresso Nacional ainda a ser marcada.
LGPD, proteção de dados e segurança da informação
Se tem um ponto em que há mais fatos negativos do que positivos quanto à privacidade e a proteção de dados no ano de 2021, com certeza este se refere aos incidentes relacionados a dados pessoais ocorridos no decorrer do último ano.
Em que pese a preocupação com a proteção de dados venha crescendo no Brasil, muito em razão da criação e vigência da LGPD, o último ano foi marcado por diversas ocorrências de segurança da informação e incidentes que envolveram dados pessoais. Durante o ano de 2021, o Brasil foi o quinto maior alvo de ataques cibernéticos do mundo3, tendo sofrido, apenas no primeiro trimestre do ano, mais de 9 milhões de ocorrências neste sentido. Conforme noticiado durante todo o ano passado, os ataques cibernéticos não só vitimaram grandes empresas brasileiras e multinacionais, dos mais variados segmentos e setores, mas também diversos órgãos e instituições governamentais, como o Sistema Único de Saúde (SUS), Conecte SUS, Polícia Rodoviária Federal, Ministério da Economia, Controladoria Geral da União (CGU) e Instituto Federal do Paraná.
Infelizmente, para o ano de 2022 o panorama não é muito diferente. Não bastasse o crescente aumento de ataques direcionados ao Brasil e às organizações que aqui atuam, as novas tecnologias a serem implementadas durante o ano de 2022 abrirão, também, novas brechas de segurança cibernética. Segundo dados do relatório anual de riscos globais da Control Risks4, o Brasil deve ser considerado como um local de alto grau de risco cibernético para o ano de 2022.
Por parte das organizações, a segurança cibernética deve ser um dos pontos de atenção para este ano. Além do relevante aumento de ataques, o início do monitoramento pela ANPD e a plena vigência das penalidades administrativas previstas na LGPD tornam o tema ainda mais importante, devendo as organizações que atuam no Brasil direcionar seus esforços para garantir o melhor grau de proteção de dados possível, de acordo com sua realidade.
Conclusão
Conforme demonstrado no decorrer do presente artigo, o ano de 2021 foi marcado por diversos avanços nas áreas de privacidade e proteção de dados, podendo ser considerado como um ano de desenvolvimento e consolidação da LGPD.
O início das atividades da Autoridade Nacional de Proteção de Dados, com a publicação de suas primeiras normativas e instrumentos, além da repercussão da LGPD nos tribunais nacionais, demonstram que a privacidade e a proteção de dados passaram a ser encarados como realidade no Brasil. Da mesma forma, a movimentação do mercado em busca de adequação às disposições legais e a crescente preocupação das organizações em adotar medidas de conformidade em seus projetos, produtos e serviços demonstram, também, que apesar de ainda estarmos em estágio inicial, há um crescente aculturamento empresarial sobre o tema.
O maior destaque negativo, entretanto, foi a baixa maturidade brasileira quanto à segurança cibernética, o que restou evidente tanto em organizações privadas quanto nas públicas. Para 2022, além dos diversos avanços nas temáticas reguladas pela LGPD, esperamos que a segurança da informação também evolua de forma exponencial, de modo a evitar que os problemas sofridos no último ano sejam, ao menos, inferiores neste ano que está começand