Após seis anos de aprovação da lei, apenas 16% das empresas estão em conformidade, segundo levantamento realizado pelo portal LGPD Brasil. Isso revela que, embora já haja uma certa conscientização, ela ainda é bastante concentrada em grandes centros urbanos, sendo necessário levar esse conhecimento para outras regiões do país.
No dia 14 de agosto de 2024, o Brasil comemora o 6° aniversário da Lei Geral de Proteção de Dados Pessoais (LGPD). A legislação marcou um avanço na proteção da privacidade e dos dados pessoais no país. Aprovada em 14 de agosto de 2018, a LGPD entrou em vigor em setembro de 2020, com sanções aplicáveis a partir de agosto de 2021.
A LGPD define dados pessoais como qualquer informação que possa identificar ou tornar identificável uma pessoa física ou jurídica, como nome, CPF, RG, e-mail e demais dados. A principal finalidade da LGPD é garantir que esses dados sejam utilizados de forma segura e transparente, evitando o uso indevido e assegurando a proteção e segurança jurídica dos cidadãos.
Em maio de 2021, dois anos após a sanção da LGPD, o Supremo Tribunal Federal (STF) reconheceu a proteção de dados pessoais como um direito fundamental. Esse reconhecimento foi incluído na Constituição Federal em fevereiro de 2022, através da Emenda Constitucional Nº 115/22.
Com a Constituição Federal de 1988, os direitos à intimidade, privacidade e sigilo das comunicações já haviam sido positivados, mas a proteção de dados pessoais apenas passou a fazer parte do texto constitucional mais recentemente. Leis como o Marco Civil da Internet e a Lei de Acesso à Informação foram importantes precursoras que contribuíram para a formulação da LGPD.
Políticas e procedimentos de privacidade
Após a promulgação da lei, as empresas precisaram se ajustar à nova legislação, adotando práticas específicas. Isso envolveu a criação de políticas e procedimentos de privacidade, treinamento de funcionários e a implementação de tecnologias de segurança da informação. A LGPD estabelece multas e sanções para o descumprimento, o que – teoricamente – incentivou as empresas a se conformarem com a lei.
No entanto, a LGPD ainda não é plenamente cumprida em algumas partes do país. Um levantamento realizado pelo portal LGPD Brasil mostrou que, mesmo com a obrigatoriedade, apenas 16% das empresas do país estão em conformidade com a lei. Isso revela que, embora já haja uma certa conscientização, ela ainda é bastante concentrada em grandes centros urbanos, e é necessário levar esse conhecimento para outras regiões do país.
Lucas Maldonado D. Latini, advogado e especialista em Direito Digital pela FGV, do escritório Maldonado Latini Advogados, aponta que uma das maiores dificuldades para a adequação à LGPD está na falta de conhecimento sobre a lei e como ela afeta as operações das empresas.
Muitas organizações ainda não sabem que a legislação se aplica ao seu ramo de atuação. O advogado observa que a legislação abrange empresas de diversos setores, como finanças, educação, varejo etc. Todos precisam se adequar ou estarão sujeitos a sanções.
Para ele, as disposições sobre a proteção de dados estavam dispersas em diversas leis, dificultando a interpretação e a aplicação desses direitos. “A unificação promovida pela LGPD trouxe clareza e coesão ao marco regulatório brasileiro. Além disso, tivemos a criação da Autoridade Nacional de Proteção de Dados (ANPD) para assegurar a fiscalização e o cumprimento da lei”, comenta. Hoje, a ANPD é a responsável por emitir resoluções e guias orientativos que ajudam os agentes de tratamento de dados a entender e cumprir as obrigações.
O que esperar de um futuro cada vez mais tecnológico?
Embora o marco regulatório tenha avançado significativamente desde sua implementação, há várias questões que ainda precisam ser abordadas pela Autoridade Nacional para garantir que a aplicação continue a ser eficaz.
Um dos tópicos em foco é a regulamentação das transferências internacionais de dados. Em 2022, a ANPD lançou uma consulta pública para criar diretrizes sobre como os dados pessoais podem ser enviados para fora do Brasil. A LGPD exige que essas transferências sejam feitas de forma a garantir a proteção adequada dos dados em outros países. Para isso, a Autoridade precisa estabelecer regras claras, inclusive sobre países em que considera ter níveis de proteção compatíveis com a legislação brasileira.
Outro ponto é a regulamentação da Inteligência Artificial (IA). Até o momento, a legislação brasileira não aborda especificamente o uso da IA em relação à proteção de dados. A ANPD está participando das discussões do Projeto de Lei nº 2.338/2023, que visa estabelecer um marco legal para a IA e está sendo avaliado pelo Senado Federal.
O advogado destaca que um dos pontos mais importantes é que as empresas estabeleçam medidas de segurança, técnicas e administrativas, necessárias para a proteção dos dados pessoais. Essas diretrizes podem incluir padrões mínimos de segurança, uso de criptografia, firewalls e políticas de acesso.
A implementação de cada uma delas é uma forma de prevenir incidentes de segurança, como vazamentos de dados, e assegurar que as informações estejam protegidas contra acessos não autorizados.