A Lei Geral de Proteção de Dados Pessoais (LGPD), desde sua publicação, em 2018, e entrada em vigor, em 2020, tem causado um impacto significativo no mercado nacional e internacional, condicionando mudanças nas práticas corporativas de empresas de todos os portes e segmentos.
A atuação da Autoridade Nacional de Proteção de Dados (ANPD), baseada na publicação de notas técnicas, enunciados e normas regulatórias focadas em temas específicos de proteção de dados (como dosimetria, imposição de sanções administrativas e aplicação da LGPD para agentes de tratamento de pequeno porte) confirma essa realidade.
Em meio a uma cultura de proteção de dados em constante desenvolvimento, hoje celebramos o Dia Internacional da Privacidade. Diante de tantas mudanças nos últimos cinco anos, para o que devemos nos preparar em 2024?
- Gestão de incidentes de segurança
A sofisticação das ameaças cibernéticas coloca a gestão de incidentes de segurança como um tema prioritário em 2024, em especial quando envolvem dados pessoais. Apenas no 1º semestre de 2023, a ANPD recebeu 163 notificações de incidentes de segurança que colocaram em risco pessoas físicas (o que representou um aumento de 15,6% com relação ao ano anterior, de acordo com seu Relatório de Ciclo de Monitoramento de 2023).
De acordo com o relatório de cibersegurança da Check Point, divulgado em 2023, ataques cibernéticos aumentaram em 38% de 2021 para 2022, em escala global. Assim, torna-se cada vez mais indispensável que as empresas implementem mecanismos de prevenção adequados e um plano de resposta eficaz para mitigar os riscos do incidente para seus titulares e sua operação.
- Transferência internacional de dados
Apesar de a LGPD apresentar regras e garantias gerais para lidar com transferências de dados para outros países, normas regulatórias, cláusulas padrão e outros documentos orientativos sobre o tema ainda não foram publicados. Em busca de esclarecer os pontos deixados em aberto na Lei, a ANPD iniciou seu processo de regulamentação em 2023.
Com a apresentação da minuta preliminar de seu regulamento em consulta pública no final de 2023, é esperado que o texto final dessa regulação seja publicado em breve e apresente as obrigações para os agentes de tratamento envolvidos nessas operações.
As empresas passarão por um período de adaptação, adoção de novos documentos e revisão de cláusulas contratuais, considerando a transferência de dados pessoais que ocorrem entre empresas do mesmo grupo e/ou prestadores que possuem bases de dados localizadas fora do país.
- Uso de Inteligência Artificial no tratamento de dados pessoais
Diante dos riscos que tecnologias de inteligência artificial podem trazer para a privacidade dos titulares, a LGPD já reconhece, em seu texto, a importância de regulamentar decisões automatizadas.
Em sintonia com o debate público, a ANPD tem tido uma ativa participação nessas discussões a partir de estudos sobre operações que fazem uso dessas tecnologias e com a publicação de suas análises sobre do Projeto de Lei de Inteligência Artificial (PL nº 2.338/2023). Assim, os desdobramentos desse debate tendem a trazer relevantes frutos no campo da proteção de dados em 2024.
A Autoridade abriu uma consulta pública para tomada de subsídios para um sandbox regulatório sobre Inteligência Artificial (IA) e proteção de dados. O sandbox tem por objetivo a criação de um ambiente controlado e monitorado por uma autoridade reguladora para a utilização e teste de novas tecnologias (como a IA). Assim, a ANPD busca coletar experiências e conhecimentos para elaboração de regulação sobre IA, com base no tratamento de dados realizado por aprendizado de máquina e IA generativa.
- Tratamento de dados pessoais de crianças e adolescentes
O tratamento de dados pessoais de menores de idade é um tema prioritário, principalmente em razão das disposições restritivas que a LGPD apresenta. A regulamentação do assunto já foi objeto de estudo preliminar no final de 2022 e avançou em 2023, com a publicação do Enunciado da ANPD sobre a aplicação de bases legais no tratamento de dados de crianças e adolescentes.
A Autoridade reforçou que essa pauta está entre seus Temas Prioritários para o Biênio 2024-2025 e deverá ganhar ainda mais espaço, especialmente devido à crescente inserção digital desse grupo.
- Tratamento de dados pessoais na esfera eleitoral
Na esfera eleitoral, o tema tem ganhado cada vez mais atenção. Em 2021, a ANPD firmou um Acordo de Cooperação Técnica com o Tribunal Superior Eleitoral (TSE), para implementação de ações de cooperação relacionadas à aplicação da LGPD no âmbito eleitoral. Em 2022, em conjunto com o TSE, lançou o “Guia orientativo: aplicação da Lei geral de proteção de dados pessoais (LGPD) por agentes de tratamento no contexto eleitoral”.
Para as Eleições de 2024, o tema continua em foco. Já foram divulgadas as minutas das Resoluções para as Eleições de 2024, as quais, embora ainda pendentes de debate em audiência pública, já trazem previsões sobre temas como direcionamento segmentado de propaganda eleitoral, tratamento de dados sensíveis e possibilidade de a Justiça Eleitoral determinar a realização de relatório de impacto.
- Processos administrativos e judiciais
Em 2020, ganhou destaque a notícia da primeira condenação judicial com fundamento na LGPD. De acordo com os primeiros resultados da pesquisa “Painel LGPD nos Tribunais”, realizada pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), houve aumento expressivo do número de decisões contendo debate relevante sobre a temática de proteção de dados pessoais. Enquanto no ano de 2021 foram filtradas 274 decisões; em 2022 foram localizadas 629, ou seja, aumento de cerca de 130%.
No âmbito dos processos administrativos, de acordo com a última lista divulgada pela ANPD, a Autoridade possui em andamento 3 processos de monitoramento, 13 processos de fiscalização e 8 processos administrativos sancionadores instaurados. Desde a edição do Regulamento de Dosimetria, já houve a divulgação de 3 decisões com aplicação de sanções.
É de se esperar que a esfera contenciosa ganhe cada vez mais intensidade, com alto poder de impacto se considerado que a multa que pode ser aplicada pela ANPD pode chegar até 2% do valor do faturamento, limitada, no total, ao valor de 50 milhões de reais por infração, sem prejuízo de eventuais discussões de indenizações. Apesar de o Superior Tribunal de Justiça já ter proferido recente posicionamento no sentido de que o titular de dados vazados deve comprovar dano efetivo ao buscar indenização, há nos Tribunais de Justiça divergência nesse tocante.
Questões adicionais foram mapeadas pela ANPD em sua Agenda Regulatória para 2024. Com as principais tendências em perspectiva, é possível se preparar para as novas regras que se delinearão no decorrer deste ano e até mesmo para evitar ou lidar com litígios. Considerando um mercado cada vez mais atento e criterioso em questões de proteção de dados, é importante que as empresas se mantenham firmes em sua trajetória de governança e adequação à LGPD.
Por fim, destacamos que as perspectivas trazidas para o cenário brasileiro estão em linha com o que se tem discutido no âmbito internacional. Nesse sentido, também fazem parte de discussões em todo o mundo a movimentação para a regulamentação sobre inteligência artificial, a alta incidência de processos envolvendo a violação da proteção de dados de titulares, a escalada de casos de incidentes de segurança, o tratamento de dados de menores, além das multas aplicadas por violações aos regulamentos.
Bruna Borghi Tomé, Carla do Couto Battilana e Marcela Waksman Ejnisman, sócias de TozziniFreire Advogados nas áreas de Cybersecurity & Data Privacy, Direito Eleitoral Empresarial e Digital e Tecnologia e Inovação.
