Balanço LGPD: Brasil avança na Proteção dos Dados

Segundo a ONU, a prioridade para 2023 é o cumprimento do ODS16, cujo objetivo visa garantir paz, justiça e instituições mais eficazes. Para fortalecer as comunidades, há o entendimento de que segurança e proteção de dados andam de mãos dadas para garantia da paz mundial, o que significa que o uso de tecnologias que possam desestabilizar os países, incluindo ataques que usem de fake news à ransomware, serão tratados como armas de guerra

O Brasil avançou nestes últimos 5 anos, desde a promulgação da Lei 13.709/2018 (LGPD), e muito. Tanto do ponto de vista de ter uma lei específica para tratar da matéria da proteção de dados, no mesmo nível que o padrão europeu trazido pelo Regulamento 2016/679 (GDPR), como por elevar à garantia Constitucional com a EC 115, que alterou o artigo 5º. da Constituição Federal.

Neste período, o país ganhou uma nova autoridade reguladora, a Autoridade Nacional de Proteção de Dados (ANPD) e um Conselho Nacional de Proteção de Dados (CNPD), com toda a governança necessária para executar, fiscalizar e aperfeiçoar a legislação.

De acordo com o Painel Ouvidoria em números da ANPD, atualizado a última vez em 28/02/2023, houve 7332 demandas respondidas desde 2021, das quais 1181 foram enviadas para a fiscalização. Ainda, 4363 demandas resultaram em resposta às dúvidas e emissão de orientações.

(https://app.powerbi.com/view?r=eyJrIjoiNWMxMGYwYTAtZTE3Ni00ZTA3LTg1NGYtZGVhODE3OGE4NzQ4IiwidCI6IjFjYzNjNTA4LTAxYzctNDQ2MC1iZDJiLWFmZTk1ZTgwYjhhZiJ9)

PROCESSOS DE FISCALIZAÇÃO

A Coordenação-Geral de Fiscalização divulgou os processos de fiscalização para apuração da conformidade à LGPD e instituições e órgãos que estão sendo investigados. Ao todo, são 16 processos e as 27 instituições públicas e privadas sob investigação e apuração administrativa.

A primeira multa administrativa por descumprimento à LGPD (Lei Geral de Proteção de Dados). A decisão aconteceu após a empresa de telemarketing Telekall Infoservice ser denunciada por ofertar uma listagem de contatos de WhatsApp de eleitores para a disseminação de material durante a campanha eleitoral. A ação é relativa à eleição municipal de 2020, em Ubatuba, litoral paulista. O órgão determinou multa de R$ 14,4 mil, além de advertência, mas não impôs medidas correlativas. O caso foi instaurado em março de 2022 e constatou o tratamento de dados pessoais sem respaldo legal (multa simples de R$ 7,2 mil). Também foi verificada a inexistência de um encarregado pelo tratamento de dados (advertência) e a não cooperação na fiscalização prevista pelo artigo 5º do Regulamento de Fiscalização (multa simples de R$ 7,2 mil).

De acordo com o levantamento feito pela SurfShark, empresa especializada em privacidade, o Brasil ocupou o 12º lugar entre os países que mais contabilizaram episódios de vazamento de dados no primeiro trimestre de 2022. A pesquisa também revelou que 286 mil brasileiros tiveram seus dados expostos através de informações na internet. Entre os vazamentos estão: e-mail, senhas, números de telefones, documentos pessoais (CPF, RG etc.) e outras informações sensíveis.

De acordo com relatório da empresa Tenable, em 2022, 40% dos vazamentos de dados do mundo ocorreram no Brasil, especialista em gerenciamento de exposição cibernética, em 2022, foram vazados 257 terabytes de dados no mundo, dos quais 984,7 milhões de dados (112 terabytes) no país. Um terço dos vazamentos se deve à desproteção de bancos de dados.

No cenário europeu, os órgãos reguladores de proteção de dados aplicaram € 2,92 bilhões em multas em 2022, o que representa um aumento de 168% em relação a 2021. A cifra recorde foi contabilizada a partir de uma pesquisa recente sobre GDPR e violação de dados realizada pelo escritório de advocacia internacional DLA Piper. O levantamento abrange todos os 27 Estados-membros da União Europeia, além do Reino Unido, Noruega, Islândia e Liechtenstein.

A maior multa foi de 1,2 bilhão de euros para Meta, aplicada pelo regulador irlandês e a menor foi de 28 euros aplicada na Hungria e cujo infrator é desconhecido. O setor que mais recebeu multas por violação ao GDPR foi a saúde. O setor recebeu, até o momento, 15% de todas as multas aplicadas desde março de 2018. Ao longo desses cinco anos de existência da legislação, foram 1.701 multas aplicadas, somando pouco mais de 4 bilhões de euros.

A Espanha foi o país que mais aplicou multas, 594. Itália está em segundo lugar (244), seguida por Romênia (126), Alemanha (122) e Hungria (66). Mas a Irlanda é o país que aplica as multas mais pesadas: 2,51 bilhões de euros. Luxemburgo está na segunda posição (746 milhões de euros), seguido por Itália (144,2 milhões de euros), França (294 milhões de euros) e Reino Unido (75,45 milhões). Acredita-se que este cenário deva ainda ocorrer no Brasil, pois a atuação fiscalizadora e punitiva da ANPD está só iniciando.

ADEQUAÇÃO

Segundo pesquisa realizada pela Daryus, 80% das empresas presentes no Brasil não estão completamente de acordo com a Lei Geral de Proteção de Dados (LGPD). Enquanto apenas 20% das companhias estão em consonância com a LGPD, 35% das companhias estão parcialmente adequadas às normas da lei e 24% ainda estão na fase inicial do processo de adaptação. Mais de 19% das entrevistadas não investem no setor. Apesar disso, 82% das empresas dizem entender que a proteção e privacidade de dados é importante. Entre aquelas que buscam se adequar, 53% contaram com o auxílio de uma consultoria especializada, frente a 27% que preferiram não contratar especialistas externos. Nesse último cenário, 69% das empresas definiram um executivo encarregado pelo tratamento de dados pessoais. Desses, 41% possuem formação em TI, 33% na área jurídica e 26% em outras áreas.

PRESENTE E FUTURO

Por certo, a ANPD já evolui em matérias relevantes como a publicação do Regulamento de dosimetria e aplicação de sanções administrativas, a comunicação de incidentes e a especificação do prazo de notificação, o relatório de impacto.

O que esperar para o futuro? Há urgência em regulamentar alguns artigos, como o sobre anonimização (12 e 13), direitos de titulares (18 e 19), padrões técnicos de cibersegurança (46), transferência internacional de dados pessoais (33), encarregado de dados pessoais (41), legado (63). Além destes, também ainda falta tratar questões como o tratamento de dados pessoais sensíveis por entidades religiosas, termo de ajustamento de conduta (TAC), inteligência artificial e diretrizes para política nacional e realizar a tão esperada Campanha Nacional de Conscientização para aumentar a cultura do brasileiro e das instituições na Proteção de Dados Pessoais.

Em termos regulatórios, o Brasil avançou muito, a ANPD publicou três Portarias, seis Resoluções, seis Guias Orientativos, sete Notas Técnicas, dois Estudos Técnicos, um Enunciado, este último para o tratamento de dados de criança e adolescentes, com a participação do CNPD, Enunciado CD/ANPD Nº 1, de 22 de maio de 2023, que pacificou a interpretação do artigo 14, em linha com o entendimento da IX Jornada de Direito Civil do Conselho de Justiça Federal, considerando que: “O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.” (https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-divulga-enunciado-sobre-o-tratamento-de-dados-pessoais-de-criancas-e-adolescentes/Enunciado1ANPD.pdf)

Artigo também publicado na Coluna do Fausto Macedo do Jornal O Estado de São Paulo.

Dra. PatriciaPeck, CEO e sócia fundadora do Peck Advogados, Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD) e Professora de Direito Digital da ESPM.

Agradecemos a parceria entre nossas empresas ao longo dos últimos 6 anos e a autorização para a publicação desse artigo, na celebração dos 5 anos da LGPD.

Aproveite e conheça nossa linha de certificações na área de Segurança, Cyber e Privacidade e Proteção de Dados – CLIQUE AQUI!