No que tange à regulamentação do uso, seguindo a tendência global, a proteção e transferência de dados pessoais, a Lei Geral de Proteção de Dados (LGPD) apresentou suas primeiras facetas em agosto de 2018 por meio do PLC nº 53/2018.

Desde então, a esfera da proteção de dados no território nacional cresceu exponencialmente, gerando um misto de entusiasmo a partir do maior respeito à privacidade e segurança gerados pela criação da lei, juntamente com um grande receio, fundado no temor que os cidadãos, sobretudo os empresários, passaram a ter frente a iminente necessidade de adaptação ao novo.

Algo é certo: assim como nos três anos anteriores, 2021 expandirá ainda mais tal campo, em razão da entrada em vigor das sanções da LGPD no segundo semestre deste ano, novas normativas que estão por vir, entre outros aspectos que serão brevemente abordados no presente texto.

Todavia, antes de adentrar nos próximos passos, é fundamental olharmos para o caminho até aqui percorrido que, apesar de não tão longo, é denso em detalhes, começando com a tão esperada entrada em vigor da LGPD no dia 18 de setembro de 2020.

Após dois anos e dois meses de discussões e análises legislativas, a LGPD passou a emitir seus efeitos sobre todos os tratamentos de dados realizados por pessoas naturais ou por pessoas jurídicas de direito público ou privado, ou de economia mista, que mantém em sua base de informações, transmite, recepciona, ou conduza qualquer espécie de tratamento de dado pessoal, ainda que tais dados se resumam apenas ao nome e e-mail do titular.

Um dos motivos pelo qual a nova lei não vigorou antes tem por fundamento a preocupação com as empresas de pequeno e médio porte que, na grande maioria dos casos, não estariam aptas a se adequarem aos parâmetros legais da LGPD até a data aprazada por conta da pandemia do coronavírus. Vale pontuar que, nesse contexto, considerou-se, inclusive, que a lei entrasse em vigor tão somente em 2021.

Embora o início de sua vigência não ter sido novamente postergada, outro meio foi encontrado para resguardar e conceder mais oportunidades a tais empresas, sendo este a determinação de que os dispositivos sancionatórios, aplicáveis a quem desrespeitar as diretrizes legais, entrarão em vigor no próximo 1º de agosto.

No entanto, apesar dos dispositivos sancionatórios não estarem em pleno vigor, a LGPD serviu de base legal para condenar empresas que deixaram de observá-la, como ocorreu no caso da construtora Cyrella e do órgão de proteção de crédito Serasa.

Após o exíguo período de 11 dias de vigência da LGPD, no dia 29 de setembro de 2020, a construtora Cyrella foi condenada ao pagamento de R$10.000,00 (dez mil reais), à título de danos morais, a um cliente que, após comprar um imóvel no ano de 2018, começou a ser assediado por instituições financeiras e empresas de decoração, que mencionavam sua recente compra com a construtora.

As fundamentações das condenações têm por cerne o indevido compartilhamento de dados do consumidor com empresas alheias à relação original, além de violar dispositivos da Lei Geral de Proteção de Dados, também viola a própria Constituição, a qual busca salvaguardar a honra, a imagem, a privacidade, bem como a autonomia individual, por exemplo.

Outro caso de relevo e de igual modo, a Justiça do Distrito Federal determinou que a Serasa suspendesse a venda de dados pessoais de consumidores, sob pena de imposição de multa diária. Tal atividade configura uma das principais atividades desenvolvidas pela empresa, envolvendo a venda de dados de mais de 150 milhões de brasileiros e gerando R$0,98 por consulta à empresa. Nota-se, portanto, que a LGPD tem gerado impactos diretos nas atividades econômicas das empresas.

Destaca-se que a razão ensejadora desta última condenação se deu porque tal atividade econômica diverge das diretrizes da LGPD que visam garantir ao titular o poder decisório acerca do trânsito e da utilização de seus dados pessoais. E, consonante com o caso da construtora Cyrella, o nobre magistrado entendeu que a conduta da Serasa violou não somente a LGPD, mas também o Código Civil, o Código de Defesa do Consumidor e o Marco Civil da Internet.

Nesse prisma, em 15 de outubro de 2020, foi publicada em edição extraordinária no Diário Oficial da União, a indicação dos atuais cinco diretores da Autoridade Nacional de Proteção de Dados (ANPD).

A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da administração pública federal e foi, de fato, criada após a sanção da Medida Provisória 869/2018, convertida na Lei 13.853/2019 (dispõe sobre a proteção de dados pessoais e cria a ANPD).

A figura da ANPD é de suma importância para efetiva aplicação da Lei Geral de Proteção de Dados, eis que será cabível a esta autoridade o zelo pela proteção dos dados pessoais. Para isso ela possui competências singulares, entre elas, a edição de regulamentos e procedimentos sobre proteção de dados pessoais, privacidade, a fiscalização do tratamento de dados, aplicação de punições em caso de descumprimento da legislação, o dever de proporcionar à população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais, de medidas de segurança, bem como promover e elaborar estudos sobre a Lei Geral de Proteção de Dados.

Nota-se que, o papel da ANPD em síntese consiste em orientar de forma preventiva a implementação da LGPD, tanto em órgãos do governo, quanto nas empresas. Após isso, sua figura se torna mais rígida, contemplando a responsabilidade de fiscalização, de eventuais advertências e punições a quem descumprir a legislação de dados.

Após esclarecimentos sobre sua relevância, resta saber quem irá compor a Autoridade Nacional de Proteção de Dados. Importante salientar que sua composição está em processo de formação a qual se moldará em 23 titulares, não remunerados, com mandato de dois anos, e de diferentes setores: seis do Executivo Federal, um do Senado Federal, um da Câmara dos Deputados, um do Conselho Nacional de Justiça, um do Conselho Nacional do Ministério Público, um do Comitê Gestor da Internet no Brasil, quatro da sociedade civil com atuação comprovada em proteção de dados pessoais, quatro de instituição científica, tecnológica e de inovação, e quatro de entidade do setor empresarial ligado à área de tratamento de dados pessoais. Apesar de ligada à Presidência da República a ANPD tem preservada e garantida sua autonomia técnica por meio de lei.

Dentre as suas contribuições, em 04 de dezembro de 2020, com o intuito de proporcionar maior entendimento à sociedade sobre seus trabalhos e sobre a LGPD, a ANPD publicou uma FAQ (Frequently Asked Questions – também conhecido como a cartilha de “Perguntas Frequentes” que tem a finalidade de esclarecer os pontos em que mais existem dúvidas em determinado assunto), em sua página oficial na qual é possível ter uma noção básica, mas essencial, acerca do assunto de forma descomplicada, o que viabiliza a acessibilidade à todos.

 Tal documento busca alcançar a sociedade como um todo e apresentar seus direitos em relação a seus dados pessoais e, consequentemente, sua privacidade.

Na mesma data, a ANPD também publicou um Manual de Aplicação da Marca, que nada mais é que uma moldura a ser seguida na utilização desta. Nos dizeres deste manual, o símbolo presente na marca “representa o conceito de proteção de dados da nossa pátria no ambiente digital”. Esse material, basicamente, regula a forma que pode ser aplicada a marca “ANPD”, as cores, fontes, proporções, formas de assinatura que devem ser utilizadas quando da divulgação da marca, exemplificando ainda as formas que não são permitidas para uso.

Seguindo a linha do tempo dos principais acontecimentos acerca da LGPD no ano de 2020, no dia 09 de dezembro de 2020, a Assembleia Legislativa do estado de São Paulo publicou o Decreto nº 65.347 que expõe diretrizes para a aplicação da LGPD no âmbito do estado paulista.

Contando com 18 dispositivos, o decreto paulista define que, no âmbito da Administração Pública Direta, a função do controlador (figura responsável por tomar decisões e gerenciar os tratamentos de dados), será exercida por meio dos Secretários de Estado e do Procurador Geral do Estado, ao passo que a do encarregado (figura responsável efetuar o tratamento), será atribuída ao Ouvidor Geral do estado de São Paulo.

Outro ponto do referido Decreto que merece destaque é a ampliação do rol de funções específicas do encarregado, atribuindo a este a elaboração de relatórios de impacto à proteção de dados e da adoção das medidas necessárias para a publicação dos relatórios, na forma solicitada pela Autoridade Nacional de Proteção de Dados.

O Decreto Estadual sinaliza que a LGPD gerou reflexos diretos, bem como exigiu adequações tanto no setor privado quanto no setor público.

Pouco menos de um mês após a chegada do Decreto Paulista, no dia 04 de janeiro de 2021, a Agência Nacional de Telecomunicações (ANATEL), foi a responsável por outro notável marco na caminhada nacional de adequação.

Objetivando a promoção da segurança cibernética nas redes e serviços de telecomunicações, a ANATEL aprovou o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicação que versa acerca de sua atuação juntamente com o Grupo Técnico em Segurança Cibernética, a mitigação de riscos em infraestruturas críticas, dentre outros subtemas decorrentes da segurança de dados.

A princípio, referido regulamento será aplicável somente às prestadoras de serviços de telecomunicações de interesse coletivo, com exceção às de Pequeno Porte (PPP). Contudo, não excluiu a possibilidade de outros agentes, ainda que de Pequeno Porte, que possuam direitos de exploração de satélites, e outras empresas envolvidas direta ou indiretamente na gestão ou desenvolvimento de redes e serviços, passem a ser alvo de aplicação posterior, por meio de decisão motivada do Conselho Diretor.

Olhando para o norte, o setor nacional de proteção de dados pode vislumbrar exponente movimentação de todos os membros da ANPD em 2021, pois, conforme mencionado, a partir de 1º de Agosto deste ano os dispositivos sancionatórios entrarão em vigor.

Em outras palavras, as empresas que realizam tratamento de dados pessoais encontram-se nos seus últimos meses para efetuar as adequações necessárias aos princípios e normas da LGPD.

Seguramente, 2021 trará como ponto elementar, sobretudo, as atividades empresarias a efetiva adequação à LGPD, frente ao fato de que a utilização de dados como ativo concorrencial aumentou exponencialmente e, sem dúvidas, atualmente configura um dos ativos dos mais importantes de qualquer setor.

Interessante trazer à lembrança, o ataque cibernético sofrido pelo Supremo Tribunal de Justiça no início do mês de Novembro de 2020, que tornou todo o sistema judiciário inacessível. A observação deste acontecimento é necessária para o ano de 2021, pois a Lei n. 13.709/2018 (LGPD) traz, em seu artigo 6º, VII, que o tratamento de dados pessoais pela Administração Pública, direta e indireta, deverá observar diversos princípios, dentre eles, o princípio da segurança que estabelece a necessidade do emprego de medidas técnicas e administrativas aptas a proteger os dados pessoais.

Se nota que, um ataque hacker à um banco de dados público traz inúmeros prejuízos, desde acesso à dados sigilosos, como alteração de dados pessoais, entre outros. Será nesse cenário que a adequação da LGPD e a fiscalização pela ANPD atuarão de forma significativa. Com isso, pode-se esperar uma atenção profunda dos membros da Autoridade Nacional de Proteção de Dados a fim de evitar novos casos como este.

Impossível falar sobre o ano de 2020 e seus reflexos para 2021 sem citar o vírus Covid-19. A pandemia obrigou muitas pessoas a se adaptarem à tecnologia, seja através do home office, aulas e compras online. Essa adversidade trouxe como moral o peso da tecnologia no mundo em que vivemos, além de abrir os olhos de empresas no mundo todo.

A segurança dos dados terá um passo crucial neste ano, pois devido às vantagens, e consequente aumento, do uso da internet no período de pandemia mais pessoas têm cadastrado seus dados nas redes, o que acaba por elevar o cuidado e atenção aos dispositivos da LGPD pela sociedade de modo geral.

Nesse contexto, a aplicação de um plano de ação preventivo que promova a proteção dos dados pessoais e a segurança dos fluxos de dados, além de transmitir confiança aos parceiros e consumidores, tornou-se um divisor de águas capaz de indicar quais as empresas que estão aptas a acompanhar as transformações atuais e atender as novas demandas da sociedade.

Isso porque, a não observação da lei em caso de violação de privacidade, pode resultar em graves danos à imagem ou à continuidade da atividade empresarial, sem mencionar a possibilidade da aplicação de multas, administrativas ou judiciais.

Assim, é fato que no ano de 2021 se intensificará a busca pela remodelação de contratos que preveem que os contratantes estejam adequados à LGPD. Mas não somente isto, a empresa deverá estar efetivamente em conformidade, pois, a perda de competividade e a inaptidão jurídica de atender as diretrizes da LGPD poderão determinar o fracasso dos próprios negócios.

A boa notícia é que ainda há tempo para a efetiva e concreta adequação à LGPD, desde que seja iniciado o quanto antes, bem como compreenda que o processo de adequação é constante e profundo, na medida em que permeia todos seus serviços e atividades, importando em verdadeira evolução da cultura atualmente vivenciada.

Este material foi elaborado para fins de informação e debate e não deve ser considerado uma opinião legal para qualquer operação ou negócio específico.

Roberto Schorr (roberto.schorr@gomesaltimari.com.br)

Rafaella Mendonça (rafaella@gomealtimari.com.br)

Thauane Prieto (thauane@gomesaltimari.com.br)