A Lei nº 13.709/2018 – Lei Geral de Proteção de Dados ou LGPD como é conhecida – completou 5 anos na segunda-feira (14) e desde que entrou em vigor algumas considerações podem ser destacadas, mas antes, é válido uma retrospectiva da lei.
Em 14 de agosto de 2018 a LGPD foi publicada com o propósito de proteger a privacidade e os dados pessoais de cidadãos de todo o Brasil. É importante ressaltar que dados pessoais são todos aqueles que tornam uma pessoa identificável: nome, CPF, RG, e-mail, telefone, entre outros. Em setembro de 2020, a LGPD entrou em vigor.
Outro ponto para salientar é que a LGPD foi inspirada na General Data Protection Regulation (GDPR), que visa proteger informações sensíveis dos indivíduos da União Europeia, sendo aplicada em 2018.
Criação da ANPD
Para fiscalizar a LGPD, foi criada também em 2018 a ANPD (Autoridade Nacional de Proteção de Dados), pela Medida Provisória n. 869, para garantir que empresas, com acesso a dados pessoais de clientes, cumpram as determinações da lei.
Em agosto de 2019, a ANPD foi convertida na Lei nº 13.853, mas houve um processo de adaptação para aplicação das sanções, em casos de violação. Com isso, a ANPD iniciou efetivamente suas atividades em novembro de 2020, com a nomeação do Diretor-Presidente no Diário Oficial da União.
Mas o que mudou após 5 anos?
Em 2020, o Supremo Tribunal Federal (STF) considerou a proteção dos dados pessoais como um direito fundamental autônomo. Em seguida, o decreto de Emenda Constitucional (EC) nº 115 passou a considerar tal direito como essencial e este foi incluído no Art. 5º da Constituição.
Dois anos depois, o STF determinou que o compartilhamento de dados pessoais entre órgãos públicos não poderia ser ilimitado. Desse modo, deveria seguir as restrições da LGPD, incluindo a utilização apenas dos dados indispensáveis com um propósito claro e legítimo. O compartilhamento também deveria ser divulgado de maneira apropriada.
Em fevereiro de 2023 foi publicado o Regulamento de Dosimetria e Aplicação de Sanções administrativas e definiu o que seria considerado como infração grave, média e leve. Além disso, o documento ainda previu o cálculo de multas.
Ainda neste ano, o Superior Tribunal de Justiça (STJ) estabeleceu que o vazamento de dados pessoais não caracteriza dano moral presumido – deixando parênteses no caso de informações sensíveis. Com isso, a medida entrou no rol do artigo 11º da LGPD, deixando claro que apenas os dados listados na legislação são considerados sensíveis.
O Guia de Cookies da ANPD também compreende que cookies de publicidade precisam do consentimento do usuário para funcionar. Somente os considerados essenciais podem operar de maneira que não prejudiquem a privacidade do usuário.
Outro fato relevante é que recentemente, em julho deste ano, a ANPD aplicou a primeira sanção em razão do descumprimento da LGPD. Uma microempresa atuante na área de telecomunicações violou três artigos da lei. Pela falta de nomeação de um encarregado responsável pelo tratamento dos dados pessoais – profissional também conhecido como Data Protection Officer ou DPO – a empresa recebeu uma advertência da ANPD e duas multas de R$ 7,2 mil pela coleta indevida de dados e pela ausência de resposta às solicitações da autarquia.
A decisão da ANPD em aplicar a multa a uma microempresa causou surpresa no mercado com muitas repercussões. A ação deixa explícito que independentemente do tamanho da empresa, ela deve estar em conformidade com a legislação, afinal dependendo da gravidade da infração pode acarretar 2% do faturamento do negócio.
Segundo lista publicada pela ANPD, existem 16 processos de 27 empresas que estão em processo de investigação pela autarquia. Na lista constam instituições públicas e privadas.
O que esperar da LGPD nos próximos anos?
Neste mês de agosto, a ANPD abriu consulta pública à minuta com as normas de transferências internacionais de dados, bem como a um estudo sobre a hipótese legal do legítimo interesse. Ademais, ao menos 20 normas e interpretações regulatórias da LGPD deverão ser publicadas neste biênio. Orientações sobre anonimização e uso de dados por igrejas também serão divulgadas em breve pela ANPD.
Desde que foi criada a LGPD contribuiu para a conscientização de empresas – privadas e públicas – sobre o uso adequado de dados pessoais sensíveis. Até mesmo os usuários estão mais atentos quanto à própria privacidade. No entanto, especialistas ainda defendem que é preciso detalhar pontos na legislação e que ainda há muito a ser feito. Fato é, que há muitos debates a respeito da contribuição da LGPD para a sociedade e que o Brasil ainda está em fase de desenvolvimento da lei.
