carregando...

Notícias

O Futuro da Proteção de Dados

27 de janeiro de 2023

Até a promulgação da Lei Geral de Proteção de Dados – LGPD, o ordenamento pátrio contava com normas infraconstitucionais setoriais sobre a proteção de dados pessoais, contudo a existência de tais legislações, muitas vezes conflitantes entre si, não era suficiente para uma tutela adequada, especialmente pelo problema da fragmentação e do constante fluxo de dados entre diferentes esferas e setores, nem adequada à realidade tecnológica e digital.

No Dia Internacional de Proteção de Dados, celebrado em 28 de janeiro de 2022, é possível comemorar o avanço deste tema no Brasil. Inspirada na experiência internacional, a lei brasileira buscou que a proteção desse direito fosse sistematizada em uma legislação contemporânea, uniforme e geral sobre o tema. À luz dos acontecimentos dos últimos anos, no Brasil, pode-se afirmar que tais anseios e expectativas da doutrina acabaram sendo consagrados. A esse respeito, veja a edição da LGPD (Lei Geral de Proteção de Dados), em 2018; a Proposta de Emenda à Constituição (PEC) nº 17, em 2019; e o julgamento da Medida Cautelar da ADI 6387, pelo Supremo Tribunal Federal (STF), em 2020.

Por Antonielle Freitas, sócia do Viseu e líder da prática de proteção de dados

Agenda regulatória 2023-2024 da LGPD no Brasil 

A Agenda Regulatória, divulgada pela ANPD em 08/11/22, enquanto instrumento de planejamento que norteia ações regulatórias prioritárias, destacou os seguintes temas para o biênio 2023 e 2024, sendo que, ao todo, estão previstas 20 ações:

1) O Regulamento de dosimetria e aplicação de sanções administrativas, uma vez que a LGPD prevê que caberá à ANPD definir como ocorrerão as sanções administrativas diante de infrações à Lei, bem como os critérios que orientarão o cálculo do valor das multas; e

2) O tratamento de dados pessoais de crianças e adolescentes, ressaltando a necessidade de analisar os impactos de plataformas e jogos digitais disponibilizados na Internet na proteção de dados de menores.

Além destas, as demais ações estão voltadas para:

3) Direitos dos titulares de dados pessoais;

4) Comunicação de incidentes e especificação do prazo de notificação;

5) Transferência Internacional de dados pessoais;

6) Relatório de impacto à proteção de dados pessoais;

7) Encarregado de proteção de dados pessoais;

8) Hipóteses legais de tratamento de dados pessoais,

9) Definição de alto risco e larga escala;

10) Dados pessoais sensíveis – organizações religiosas;

11) Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa;

12) Anonimização e pseudonimização;

13) Regulamentação do disposto no art. 62 da LGPD;

14) Compartilhamento de dados pelo Poder Público;

15) Diretrizes para a política nacional de proteção de dados pessoais e da privacidade;

16) Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança;

17) Dados pessoais sensíveis – dados biométricos;

18) Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança;

19) Inteligência artificial; e

20) Termo de ajustamento de conduta – TAC.

Dificuldades enfrentadas pelas empresas para garantir segurança e privacidade de dados

Notamos que as maiores dificuldades enfrentadas pelas empresas estão intimamente relacionadas à complexidade de, em uma perspectiva multidisciplinar, compreender as finalidades vinculadas ao tratamento de determinado dado pessoal.

Outro desafio encontra-se em compreender que, para cada espécie de tratamento de dados, é possível vincular uma base legal específica, de modo que, cumprindo as diretivas legais pertinentes, o tratamento torna-se seguro.  Visualizando o exemplo em uma situação prática, é comum o seguinte questionamento: “Devo excluir todos os dados que captei para realização do contrato após sua execução?”

A resposta para este questionamento é que enquanto houver uma base legal que ainda ampare o tratamento dos dados pessoais, é possível mantê-los armazenados.

Pontuamos que o art. 16 da LGPD trata das hipóteses em que será autorizada a conservação dos dados, mesmo após o término do tratamento. Essas hipóteses são:

I – cumprimento de obrigação legal ou regulatória pelo controlador;

II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Ainda, no caso de coleta de consentimento expresso e específico do titular para encaminhamento de informativos de marketing,  ainda que a base legal do art 7º, V da LGPD tenha deixado de amparar o tratamento baseado no contrato (diante do fim do contrato em questão), os dados podem ser mantidos para encaminhar a este cliente produtos/serviços estratégicos, viabilizando novas oportunidades de negócio, pois este tratamento se ampara em base legal diversa (art 7º, I da LGPD). A dificuldade, então, reside em ter esta visão ramificada e dinâmica entre os dados tratados e as finalidades/bases legais vinculadas ao seu tratamento.

Como avalia a implementação das leis de proteção de dados pelo mundo

A implementação das normas de privacidade e proteção de dados pelo mundo têm ganhado protagonismo jurídico diante da mudança cultural notada ao compreendermos os dados pessoais como bens da personalidade. Diante disso, o Brasil tem alcançado avanços importantes, como a inclusão da proteção de dados pessoais entre os direitos e garantias fundamentais pela Emenda Constitucional Nº 115/ 2022 e a criação da Autoridade Nacional de Proteção de Dados, para fiscalizar o cumprimento da LGPD.

Entretanto, ainda há desafios pela frente, tendo em vista que segundo os parâmetros europeus, o Brasil ainda não se encontra entre os países concebidos como adequados em termos de privacidade e proteção de dados. A consequência prática disso, é a restrição das possibilidades de realizar operações internacionais com fluxos de dados pessoais, principalmente para países da UE.

Até o momento, segundo a Comissão Europeia, a Argentina e o Uruguai são os dois únicos países da América Latina com este reconhecimento. Em que pese a transferência internacional de dados constar entre os temas listados na Agenda 2023-2024, o avanço na normatização e na fiscalização é importante para que não haja entraves no comércio internacional com impactos econômicos expressivos.

A Comissão Europeia define os países adequados em uma relação disponibilizada no link https://lnkd.in/dhRSyYhH. São reconhecidos: Andorra, ArgentinaCanadá (organizações comerciais), Ilhas FaroeGuernseyIsraelIlha de ManJapão , JerseyNova Zelândia,  República da Coreia,  Suíça  e Reino Unido sob o GDPR e o LED, e o Uruguai.

Normas de proteção de dados no Metaverso

Certamente, as normas de proteção de dados se aplicam ao metaverso. O ambiente virtual consiste, basicamente, em um espaço digital que combina aspectos e várias tecnologias, incluindo mídias sociais, realidade aumentada, realidade virtual, jogos online e criptomoedas.

Em seu art. 1º, a LGPD prevê que “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais”. No mesmo sentido, vai a EC 115/2022 prevendo que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

Ocorre que, por peculiaridades envolvidas na própria tecnologia inerente ao Metaverso, surgem vários desafios ligados à proteção de dados, como a captação massiva de dados biométricos, referentes à raça/etnia, sobre identidade de gênero e dados de menores, por exemplo.

Pensando em assegurar a proteção destas informações, seria crucial adotar medidas rígidas de tratamento e armazenamento de dados, evitando o compartilhamento indevido, determinar responsabilidades pelo tratamento dos dados e diretrizes para tratamento transparente e coleta de consentimento, o que não é tão simples neste ambiente onde toda uma rede descentralizada pode estar envolvida.

Avanços e conquistas para sistematizar a segurança de dados no Brasil

Embora o Brasil não possua uma cultura voltada para a proteção de dados pessoais como acontece na Europa, a privacidade há muito goza de proteção pela legislação, desde a Lei do Habeas Data, o Código Civil (CC), a Lei de Acesso à Informação (Lei nº 12.527/2011- LAI),  a Lei do Cadastro Positivo, o Código de Defesa do Consumidor(Lei nº 8.078/90 – CDC), o Marco Civil da Internet (Lei n° 12.965/2014), a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 –  LGPD) e a criação da Autoridade Nacional de Proteção de Dados (ANPD), além da Constituição Federal, que estabelece no artigo 5º, inciso LXXIX,  o direito à proteção de dados pessoais como direito constitucional autônomo —”é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

Outra Lei que merece destaque é a Lei nº 14.155/21, que alterou o Código Penal (Decreto-Lei nº 2.848/40) para tornar mais graves os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet. Contudo, ainda não há um crime específico referente ao sequestro de dados, ou seja, aguarda-se um tipo penal que tutele, diretamente, o bem jurídico “dados pessoais”.

O Dia Internacional de Proteção de Dados representa uma oportunidade para organizações e indivíduos aumentarem a conscientização sobre privacidade e proteção de dados, divulgarem as melhores práticas e discutirem por que a privacidade é importante. E, neste ano, é possível comemorar o avanço deste tema no nosso país com a atribuição do Selo Padrão Ouro à ANPD. A avaliação, promovida pela Secretaria de Acompanhamento Econômico (SEAE) do Ministério da Economia, atual Ministério da Fazenda, leva em consideração critérios de suma importância como a previsibilidade, a qualidade regulatória, a participação social e a convergência regulatória. Neste sentido, a atribuição deste conceito indica como Legislação de Proteção de Dados Brasileira está adequadamente amparada e supervisionada.