Notícias
O Futuro da Proteção de Dados
Até a promulgação da Lei Geral de Proteção de Dados – LGPD, o ordenamento pátrio contava com normas infraconstitucionais setoriais sobre a proteção de dados pessoais, contudo a existência de tais legislações, muitas vezes conflitantes entre si, não era suficiente para uma tutela adequada, especialmente pelo problema da fragmentação e do constante fluxo de dados entre diferentes esferas e setores, nem adequada à realidade tecnológica e digital.
No Dia Internacional de Proteção de Dados, celebrado em 28 de janeiro de 2022, é possível comemorar o avanço deste tema no Brasil. Inspirada na experiência internacional, a lei brasileira buscou que a proteção desse direito fosse sistematizada em uma legislação contemporânea, uniforme e geral sobre o tema. À luz dos acontecimentos dos últimos anos, no Brasil, pode-se afirmar que tais anseios e expectativas da doutrina acabaram sendo consagrados. A esse respeito, veja a edição da LGPD (Lei Geral de Proteção de Dados), em 2018; a Proposta de Emenda à Constituição (PEC) nº 17, em 2019; e o julgamento da Medida Cautelar da ADI 6387, pelo Supremo Tribunal Federal (STF), em 2020.
Por Antonielle Freitas, sócia do Viseu e líder da prática de proteção de dados
Agenda regulatória 2023-2024 da LGPD no Brasil
A Agenda Regulatória, divulgada pela ANPD em 08/11/22, enquanto instrumento de planejamento que norteia ações regulatórias prioritárias, destacou os seguintes temas para o biênio 2023 e 2024, sendo que, ao todo, estão previstas 20 ações:
1) O Regulamento de dosimetria e aplicação de sanções administrativas, uma vez que a LGPD prevê que caberá à ANPD definir como ocorrerão as sanções administrativas diante de infrações à Lei, bem como os critérios que orientarão o cálculo do valor das multas; e
2) O tratamento de dados pessoais de crianças e adolescentes, ressaltando a necessidade de analisar os impactos de plataformas e jogos digitais disponibilizados na Internet na proteção de dados de menores.
Além destas, as demais ações estão voltadas para:
3) Direitos dos titulares de dados pessoais;
4) Comunicação de incidentes e especificação do prazo de notificação;
5) Transferência Internacional de dados pessoais;
6) Relatório de impacto à proteção de dados pessoais;
7) Encarregado de proteção de dados pessoais;
8) Hipóteses legais de tratamento de dados pessoais,
9) Definição de alto risco e larga escala;
10) Dados pessoais sensíveis – organizações religiosas;
11) Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa;
12) Anonimização e pseudonimização;
13) Regulamentação do disposto no art. 62 da LGPD;
14) Compartilhamento de dados pelo Poder Público;
15) Diretrizes para a política nacional de proteção de dados pessoais e da privacidade;
16) Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança;
17) Dados pessoais sensíveis – dados biométricos;
18) Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança;
19) Inteligência artificial; e
20) Termo de ajustamento de conduta – TAC.
Dificuldades enfrentadas pelas empresas para garantir segurança e privacidade de dados
Notamos que as maiores dificuldades enfrentadas pelas empresas estão intimamente relacionadas à complexidade de, em uma perspectiva multidisciplinar, compreender as finalidades vinculadas ao tratamento de determinado dado pessoal.
Outro desafio encontra-se em compreender que, para cada espécie de tratamento de dados, é possível vincular uma base legal específica, de modo que, cumprindo as diretivas legais pertinentes, o tratamento torna-se seguro. Visualizando o exemplo em uma situação prática, é comum o seguinte questionamento: “Devo excluir todos os dados que captei para realização do contrato após sua execução?”
A resposta para este questionamento é que enquanto houver uma base legal que ainda ampare o tratamento dos dados pessoais, é possível mantê-los armazenados.
Pontuamos que o art. 16 da LGPD trata das hipóteses em que será autorizada a conservação dos dados, mesmo após o término do tratamento. Essas hipóteses são:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Ainda, no caso de coleta de consentimento expresso e específico do titular para encaminhamento de informativos de marketing, ainda que a base legal do art 7º, V da LGPD tenha deixado de amparar o tratamento baseado no contrato (diante do fim do contrato em questão), os dados podem ser mantidos para encaminhar a este cliente produtos/serviços estratégicos, viabilizando novas oportunidades de negócio, pois este tratamento se ampara em base legal diversa (art 7º, I da LGPD). A dificuldade, então, reside em ter esta visão ramificada e dinâmica entre os dados tratados e as finalidades/bases legais vinculadas ao seu tratamento.
Como avalia a implementação das leis de proteção de dados pelo mundo
A implementação das normas de privacidade e proteção de dados pelo mundo têm ganhado protagonismo jurídico diante da mudança cultural notada ao compreendermos os dados pessoais como bens da personalidade. Diante disso, o Brasil tem alcançado avanços importantes, como a inclusão da proteção de dados pessoais entre os direitos e garantias fundamentais pela Emenda Constitucional Nº 115/ 2022 e a criação da Autoridade Nacional de Proteção de Dados, para fiscalizar o cumprimento da LGPD.
Entretanto, ainda há desafios pela frente, tendo em vista que segundo os parâmetros europeus, o Brasil ainda não se encontra entre os países concebidos como adequados em termos de privacidade e proteção de dados. A consequência prática disso, é a restrição das possibilidades de realizar operações internacionais com fluxos de dados pessoais, principalmente para países da UE.
Até o momento, segundo a Comissão Europeia, a Argentina e o Uruguai são os dois únicos países da América Latina com este reconhecimento. Em que pese a transferência internacional de dados constar entre os temas listados na Agenda 2023-2024, o avanço na normatização e na fiscalização é importante para que não haja entraves no comércio internacional com impactos econômicos expressivos.
A Comissão Europeia define os países adequados em uma relação disponibilizada no link https://lnkd.in/dhRSyYhH. São reconhecidos: Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroe, Guernsey, Israel, Ilha de Man, Japão , Jersey, Nova Zelândia, República da Coreia, Suíça e Reino Unido sob o GDPR e o LED, e o Uruguai.
Normas de proteção de dados no Metaverso
Certamente, as normas de proteção de dados se aplicam ao metaverso. O ambiente virtual consiste, basicamente, em um espaço digital que combina aspectos e várias tecnologias, incluindo mídias sociais, realidade aumentada, realidade virtual, jogos online e criptomoedas.
Em seu art. 1º, a LGPD prevê que “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais”. No mesmo sentido, vai a EC 115/2022 prevendo que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.
Ocorre que, por peculiaridades envolvidas na própria tecnologia inerente ao Metaverso, surgem vários desafios ligados à proteção de dados, como a captação massiva de dados biométricos, referentes à raça/etnia, sobre identidade de gênero e dados de menores, por exemplo.
Pensando em assegurar a proteção destas informações, seria crucial adotar medidas rígidas de tratamento e armazenamento de dados, evitando o compartilhamento indevido, determinar responsabilidades pelo tratamento dos dados e diretrizes para tratamento transparente e coleta de consentimento, o que não é tão simples neste ambiente onde toda uma rede descentralizada pode estar envolvida.
Avanços e conquistas para sistematizar a segurança de dados no Brasil
Embora o Brasil não possua uma cultura voltada para a proteção de dados pessoais como acontece na Europa, a privacidade há muito goza de proteção pela legislação, desde a Lei do Habeas Data, o Código Civil (CC), a Lei de Acesso à Informação (Lei nº 12.527/2011- LAI), a Lei do Cadastro Positivo, o Código de Defesa do Consumidor(Lei nº 8.078/90 – CDC), o Marco Civil da Internet (Lei n° 12.965/2014), a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) e a criação da Autoridade Nacional de Proteção de Dados (ANPD), além da Constituição Federal, que estabelece no artigo 5º, inciso LXXIX, o direito à proteção de dados pessoais como direito constitucional autônomo —”é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.
Outra Lei que merece destaque é a Lei nº 14.155/21, que alterou o Código Penal (Decreto-Lei nº 2.848/40) para tornar mais graves os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet. Contudo, ainda não há um crime específico referente ao sequestro de dados, ou seja, aguarda-se um tipo penal que tutele, diretamente, o bem jurídico “dados pessoais”.
O Dia Internacional de Proteção de Dados representa uma oportunidade para organizações e indivíduos aumentarem a conscientização sobre privacidade e proteção de dados, divulgarem as melhores práticas e discutirem por que a privacidade é importante. E, neste ano, é possível comemorar o avanço deste tema no nosso país com a atribuição do Selo Padrão Ouro à ANPD. A avaliação, promovida pela Secretaria de Acompanhamento Econômico (SEAE) do Ministério da Economia, atual Ministério da Fazenda, leva em consideração critérios de suma importância como a previsibilidade, a qualidade regulatória, a participação social e a convergência regulatória. Neste sentido, a atribuição deste conceito indica como Legislação de Proteção de Dados Brasileira está adequadamente amparada e supervisionada.