PORTFÓLIO
6 anos da LGPD: a lei tem funcionado? Veja pontos positivos e de melhoria
Igor Almenara Carneiro
A Lei Geral de Proteção de Dados (LGPD) completou seis anos nesta semana. Identificada como Lei n° 13.709/2018, ela define uma variedade de normas visando garantir a segurança de dados pessoais da população brasileira.
Sancionada em 14 de agosto de 2018 pelo ex-presidente Michel Temer (MDB), a LGPD entrou em vigor somente em setembro de 2020. Em termos gerais, a legislação determina que o cidadão tem direito sobre os próprios dados, mesmo se mantidos em empresas estrangeiras, proporcionando mais transparência e controle sobre as informações pessoais.
Desde de que começou a valer, a LGPD deu novos contornos para a internet brasileira, proibindo o uso indiscriminado da população local para qualquer fim, incluindo o direcionamento de publicidade.
Além disso, a legislação determinou que a coleta de dados aconteça sempre com consentimento do usuário, exceto em casos de mandados judiciais ou para garantir a segurança pública em casos de investigações criminais.
Praticamente todas as empresas precisaram atender aos padrões exigidos pela legislação, até mesmo garantindo para garantir a discrição e a devida proteção dos dados.
Qualquer atividade que utilize dados pessoais precisa respeitar a LGPD, seja coleta, produção, recepção, classificação, acesso, armazenamento e reprodução.
Redes sociais mudaram drasticamente
Assim como aconteceu na Europa com a estreia do Regulamento Geral sobre a Proteção de Dados (GDPR), a LGPD mudou drasticamente a forma com que redes sociais lidam com os dados dos usuários.
Plataformas como Facebook, Instagram e X (Twitter) precisaram ser bem mais claras em relação ao tratamento de dados dos consumidores, e isso também afetou as decisões estratégicas das empresas.
É a LGPD que protege os internautas brasileiros de terem seus dados utilizados para treinar inteligência artificial. A lei também municiou a Autoridade Nacional de Proteção de Dados (ANPD) para proteger brasileiros de empresas dedicadas ao disparo de mensagens em massa.
Falando ao TecMundo, Marcelo Cárgano, advogado e coordenador do Japan Desk no escritório Abe Advogados, salientou que a LGPD foi importante como um começo de construção de uma cultura de proteção de dados pessoais no país.
“Não se pensava em dados pessoais no Brasil antes da lei. A expressão até existia em locais como o Marco Civil da Internet e o país tinha legislações esparsas anteriores, mas com a LGPD que a gente passa a pensar e entender melhor a importância dos dados pessoais”, destaca.
Qual foi a primeira empresa a ser multada por violar a LGPD?
A primeira multa por violação da LGPD não aconteceu há muito tempo: em julho de 2023, a empresa de comunicação Telekall Infoservice foi condenada a pagar R$ 14,4 mil somados em duas multas. A companhia ofertava “listagem de contatos de WhatsApp para fins de disparo de mensagens”.
Segundo a ANPD, a fiscalização apontou para mais de 500 incidentes de segurança originados a partir de 3 mil requerimentos de titulares de dados. A entidade menciona que foram aplicadas 18 sanções — duas delas, multas.
Há melhorias a se fazer
Porém, a legislação não é impecável e a evolução acelerada de tecnologias impõe desafios importantes para a regulação. Em entrevista ao TecMundo, a Data Protection Officer (DPO) do escritório Viseu Advogados, Antonielle Freitas, menciona que há partes ainda não tão bem definidas na LGPD.
“A proteção de dados de crianças e adolescentes é um exemplo de área que requer atenção especial. A ANPD reconhece essa necessidade e propõe no seu mapa de temas prioritários a doção de medidas de salvaguarda específicas para o ambiente digital”, pontuou a especialista. Para isso, precisariam ser definidas técnicas para verificar o consentimento e a idade dos usuários de plataformas digitais — algo presente em algumas redes sociais, por exemplo.
As ferramentas com inteligência artificial generativa também trazem questões importantes. “A LGPD não aborda especificamente a IA, deixando um vácuo regulatório que precisa ser preenchido para garantir que os avanços tecnológicos não comprometam a proteção de dados pessoais”, disse Freitas.
Quanto a IA, a ANPD menciona o Projeto de Lei (PL) 2338/2023 atualmente em tramitação. A legislação ressalta preocupações sobre possíveis aspectos racistas da tecnologia e concede à ANDP a responsabilidade de coordenar as demais agências regulatórias do setor.
A responsabilização por casos de vazamento de dados, também uma questão mencionada na legislação, não é tão bem detalhada quanto deveria, na visão da executiva. “A lei estabelece penalidades para tais incidentes, mas não oferece um quadro claro de responsabilidade”, esclareceu a entrevistada.
Cultura de privacidade é importante
Marcelo Cárgano lembrou do caso Meta. A gigante dona do Facebook, WhatsApp e Intagram foi proibida de usar dados dos brasileiros para treinar sua plataforma de IA e, por causa disso, não lançou sua ferramentas de inteligência artificial por aqui.
Ele concordou com a decisão da ANPD porque a legislação brasileira proíbe a utilização de dados sensíveis como questões à saúde, orientação sexual, religião etc, que poderiam ser tratados pela Meta.
“Você fez um post no Facebook há 10 anos e não estava esperando que a Meta usaria para treinar IA. A política de privacidade da Meta não era transparente e não era clara. Não se sabia por quanto tempo seus dados seriam utilizados, por exemplo”, citou.
Antonielle Freitas concorda que a LGPD “é um passo essencial para a proteção de dados no Brasil”, mas diz que ela não é suficiente para garantir a proteção completa dos dados de brasileiros. “A lei estabelece um marco regulatório robusto e cria uma cultura de privacidade, mas a efetividade da proteção depende de vários fatores”, complementa.
Para isso, para ela, é crucial que a ANPD exerça seu dever de fiscalização com eficiência em casos como o da Meta, assim garantindo que as empresas envolvidas façam um bom tratamento de dados pessoais. Além disso, é necessário conscientizar os cidadãos sobre a importância da preservação de informações. “A ANPD também pode desempenhar um papel fundamental ao fornecer informações claras e acessíveis sobre os direitos dos titulares dos dados”, defendeu.
“A maioria dos brasileiros ainda não possui muito conhecimento sobre seus direitos em relação à proteção de dados”, disse Freitas. Ele menciona a importância de uma colaboração entre governo, empresas e instituições educacionais em campanhas de conscientização pública.
A LGPD é a principal arma da ANPD
Os vazamentos de dados são assunto recorrente no noticiário, principalmente no TecMundo. Os casos internacionais, por vezes, não chamam a atenção do público brasileiro, mas há casos locais graves, como os dados roubados da Netshoes, que afetam milhões de consumidores do país.
A LGPD por si só não pode impedir que vazamentos gerados a partir de ciberataques aconteçam, mas é ela quem permite que a ANPD fiscalize as empresas que atuam no país. A agência deve promover a implementação de melhores práticas de segurança da informação através de guias e recomendações.
Também é da ANPD a responsabilidade de fiscalizar e aplicar sanções a empresas que não cumprem requisitos de segurança estabelecidos pela LGPD. “Essa fiscalização rigorosa serve como um incentivo para que as empresas invistam continuamente em suas infraestruturas de segurança”, mencionou.
A Autarquia menciona que, mesmo com pouco tempo de atuação, já é referência internacional. A ANPD está presente em organizações multilaterais como a Global Privacy Assembly e a Rede Iberoamericana de Proteção de Dados.
“Apesar de nova, a autoridade tem tido um papel decisivo na transformação do cenário brasileiro de proteção de dados e, consequentemente, no aumento da efetividade da LGPD, visto que cabe ao Órgão, além da aplicação da lei, a interpretação do texto”, ressaltou em publicação na última quarta-feira (14).