Brasil avança na proteção dos dados nos últimos cinco anos
Patricia Peck, advogada especializada em Direito Digital, CEO e sócia fundadora do Peck Advpgados, indica os pontos positivos da instituição da Lei Geral de Proteção de Dados Pessoais (LGPD)
Segundo levantamento feito pela SurfShark, empresa especializada em privacidade, o Brasil ocupou o 12º lugar entre os países que mais contabilizaram episódios de vazamento de dados no primeiro trimestre de 2022. A pesquisa também revelou que 286 mil brasileiros tiveram seus dados expostos através de informações na internet. Entre os vazamentos estão: e-mail, senhas, números de telefones, documentos pessoais (CPF, RG etc.) e outras informações sensíveis.
Ainda de acordo com relatório da empresa Tenable, especialista em gerenciamento de exposição cibernética, em 2022, 40% dos vazamentos de dados do mundo ocorreram no Brasil, foram vazados 257 terabytes de dados no mundo, dos quais 984,7 milhões de dados (112 terabytes) no país. Um terço dos vazamentos se deve à desproteção de bancos de dados.
Apesar deste cenário, a boa notícia é que o Brasil evoluiu muito em relação à proteção de dados, desde que a Lei Geral de Proteção de Dados Pessoais (LGPD) foi instituída há 5 anos.
“O Brasil avançou nestes últimos 5 anos, desde a promulgação da Lei 13.709/2018 (LGPD). Tanto do ponto de vista de ter uma lei específica para tratar da matéria da proteção de dados, no mesmo nível que o padrão europeu trazido pelo Regulamento 2016/679 (GDPR), como por elevar à garantia Constituicional com a EC 115, que alterou o artigo 5º. da Constituição Federal”, afirma Dra. Patricia Peck, advogada especialista em Direito Digital, CEO e sócia-fundadora do Peck Advogados.
Segundo a Organiação das Nações Unidas (ONU), a prioridade para 2023 é o cumprimento do ODS16, cujo objetivo visa garantir paz, justiça e instituições mais eficazes. “Para fortalecer as comunidades, há o entendimento de que segurança e proteção de dados andam de mãos dadas para garantia da paz mundial, o que significa que o uso de tecnologias que possam desestabilizar os países, incluindo ataques que usem de fake news à ransomware, serão tratados como armas de guerra”, lembra a advogada especialista em Direito Digital.
Neste período de 5 anos, o país ganhou uma nova autoridade reguladora, a Autoridade Nacional de Proteção de Dados (ANPD) e um Conselho Nacional de Proteção de Dados (CNPD), com toda a governança necessária para executar, fiscalizar e aperfeiçoar a legislação.
De acordo com o Painel Ouvidoria em números da ANPD, atualizado a última vez em 28/02/2023, houve 7332 demandas respondidas desde 2021, das quais 1181 foram enviadas para a fiscalização. Ainda, 4363 demandas resultaram em resposta às dúvidas e emissão de orientações.
A Coordenação-Geral de Fiscalização divulgou os processos de fiscalização para apuração da conformidade à LGPD e instituições e órgãos que estão sendo investigados. Ao todo, são 16 processos e as 27 instituições públicas e privadas sob investigação e apuração administrativa.
A primeira multa administrativa por descumprimento à LGPD (Lei Geral de Proteção de Dados). A decisão aconteceu após a empresa de telemarketing Telekall Infoservice ser denunciada por ofertar uma listagem de contatos de WhatsApp de eleitores para a disseminação de material durante a campanha eleitoral. A ação é relativa à eleição municipal de 2020, em Ubatuba, litoral paulista. O órgão determinou multa de R$ 14,4 mil, além de advertência, mas não impôs medidas correlativas.
O caso foi instaurado em março de 2022 e constatou o tratamento de dados pessoais sem respaldo legal (multa simples de R$ 7,2 mil). Também foi verificada a inexistência de um encarregado pelo tratamento de dados (advertência) e a não cooperação na fiscalização prevista pelo artigo 5º do Regulamento de Fiscalização (multa simples de R$ 7,2 mil).
Ainda de acordo com a análise da Dra. Patricia Peck, no cenário europeu, os órgãos reguladores de proteção de dados aplicaram € 2,92 bilhões em multas em 2022, o que representa um aumento de 168% em relação a 2021. A cifra recorde foi contabilizada a partir de uma pesquisa recente sobre GDPR e violação de dados realizada pelo escritório de advocacia internacional DLA Piper. O levantamento abrange todos os 27 Estados-membros da União Europeia, além do Reino Unido, Noruega, Islândia e Liechtenstein.
A maior multa foi de 1,2 bilhão de euros para Meta, aplicada pelo regulador irlandês e a menor foi de 28 euros aplicada na Hungria e cujo infrator é desconhecido. O setor que mais recebeu multas por violação ao GDPR foi a saúde. O setor recebeu, até o momento, 15% de todas as multas aplicadas desde março de 2018. Ao longo desses cinco anos de existência da legislação, foram 1.701 multas aplicadas, somando pouco mais de 4 bilhões de euros.
A Espanha foi o país que mais aplicou multas, 594. Itália está em segundo lugar (244), seguida por Romênia (126), Alemanha (122) e Hungria (66). Mas a Irlanda é o país que aplica as multas mais pesadas: 2,51 bilhões de euros. Luxemburgo está na segunda posição (746 milhões de euros), seguido por Itália (144,2 milhões de euros), França (294 milhões de euros) e Reino Unido (75,45 milhões). Acredita-se que este cenário deva ainda ocorrer no Brasil, pois a atuação fiscalizadora e punitiva da ANPD está só iniciando.
“Em termos regulatórios, o Brasil avançou muito, a ANPD publicou três Portarias, seis Resoluções, seis Guias Orientativos, sete Notas Técnicas, dois Estudos Técnicos, um Enunciado, este último para o tratamento de dados de criança e adolescentes, com a participação do CNPD, Enunciado CD/ANPD Nº 1, de 22 de maio de 2023, que pacificou a interpretação do artigo 14, em linha com o entendimento da IX Jornada de Direito Civil do Conselho de Justiça Federal, considerando que: “O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.” ‘
Por certo, a ANPD já evolui em matérias relevantes como a publicação do Regulamento de dosimetria e aplicação de sanções administrativas, a comunicação de incidentes e a especificação do prazo de notificação, o relatório de impacto.
O que esperar para o futuro? “Há urgência em regulamentar alguns artigos, como o sobre anonimização (12 e 13), direitos de titulares (18 e 19), padrões técnicos de cibersegurança (46), transferência internacional de dados pessoais (33), encarregado de dados pessoais (41), legado (63)”, enumera Dra. Patricia Peck.
Além destes, também ainda falta tratar questões como o tratamento de dados pessoais sensíveis por entidades religiosas, termo de ajustamento de conduta (TAC), inteligência artificial e diretrizes para política nacional e realizar a tão esperada Campanha Nacional de Conscientização para aumentar a cultura do brasileiro e das instituições na Proteção de Dados Pessoais.