Em setembro de 2020, a Lei Geral de Proteção de Dados (LGPD, Lei no 13.709/2018) finalmente entrou em vigor, consolidando a estruturação do sistema legal brasileiro de privacidade e proteção de dados, em que pese as sanções administrativas terem sua eficácia a partir de 1º de agosto do corrente ano.
Lembramos que, em fevereiro de 2011, o Anteprojeto que culminou na LGPD encontrou campo fértil para se desenvolver em nosso país e 10 anos depois do início dos debates na sociedade civil, celebramos o Dia Internacional da Proteção de Dados com diversos avanços no tema.
No ano de 2020, debates profundos sobre os limites do uso de dados pessoais para o enfrentamento da Pandemia do Coronavírus (COVID-19), por exemplo, culminaram com leading case chegando ao Supremo Tribunal Federal (STF), o qual anulou Medida Provisória que dispunha sobre o compartilhamento de dados com órgão governamental, bem como trouxe a confirmação da elevação da proteção de dados como direito fundamental. Já os questionamentos judiciais sobre o tratamento de informações de geolocalização para avaliação de políticas públicas de isolamento foram rechaçados, em razão da aplicação de anonimização (técnica por meio da qual os dados perdem a possibilidade de associação, direta ou indireta, a um indivíduo).
Tais questões, somadas ao perigo de judicialização em massa e às dúvidas das organizações para adequação segura à norma, motivadas pela ausência de parâmetros consistentes de interpretação da LGPD, demostram ainda mais a importância de a Autoridade Nacional de Proteção de Dados (ANPD), já implantada e acenando um importante engajamento construtivo com a iniciativa privada, regulamentar diversos pontos da LGPD que se encontram em aberto e demandarão posicionamento do órgão, englobando temas como transferência internacional de dados, requisitos de segurança da informação, prazos para direitos dos titulares e para comunicações de incidentes, delimitação de conceitos como interesse legítimo e anonimização, entre outros.
As organizações também podem desempenhar papel fundamental na referida regulamentação da LGPD, por meio do instituto da autorregulação regulada existente na norma, por meio do qual se permite que o setor produtivo leve suas boas práticas para a ANPD chancelá-las.
O tema também foi destaque em outras nações, incluindo os Estados Unidos da América (EUA), que em 1º de janeiro de 2020 confirmaram a entrada em vigor da legislação do Estado da Califórnia, denominada CCPA (California Consumer Privacy Act), e já o seu aprimoramento por meio da sanção do CPRA (California Privacy Rights Act), que entrará em vigor a partir de 1º de janeiro de 2023, trazendo maior proteção aos titulares de dados. Além disso, tem sido observados debates para a sanção de legislação federal nos EUA, havendo previsão de que a entrada de Joe Biden na Presidência da República possa acelerar a tramitação de 2 Projetos mais destacados acerca do assunto.
Permanecendo no cenário internacional, no ano de 2020 vivenciamos na União Europeia a anulação do Privacy Shield, praticamente 4 anos após o seu estabelecimento, diante da constatação de que os seus termos estavam sendo descumpridos recorrentemente. Ainda no continente Europeu, destacamos a consolidação das Autoridades de Proteção de Dados locais, que passaram a emitir orientações e sanções relacionados ao GDPR (General Data Protection Regulation).
Para o ano de 2021, um ponto de atenção é a quantidade de incidentes de segurança envolvendo dados pessoais reportados pelas organizações, com a obrigatoriedade trazida pela LGPD de dar maior transparência a essas questões.
Nesse sentido, além das medidas para mitigar eventos danosos, é fundamental que as organizações revisem suas rotinas e seus planos de resposta a incidentes de segurança, especialmente contemplando as obrigações legais dispostas e garantindo que será possível atendê-las dentro de prazo razoável, o qual ainda está pendente de definição pela ANPD, que também deve se debruçar na criação da Política Nacional de Proteção de Dados, além da já destacada regulamentação da LGPD.
Surgirá como consequência amplo espaço para a adoção de métodos alternativos de solução de conflitos, até mesmo como preconizado pela LGPD, visando mitigar a judicialização desses incidentes e alcançar a resolução das demandas que vierem a ser trazidas pelos titulares de dados e pelas organizações afetadas.
Outro tema que entrará na ordem do dia das corporações será o atendimento dos direitos dos titulares, que já passaram a exercê-los perante as organizações, especialmente para buscar delas relatório com os dados armazenados, atualização e exclusão de informações, a estes não se limitando.
A governança e o DPO (Data Protection Officer), portanto, precisam estar muito bem implantados e alinhados nas rotinas das corporações, com o objetivo de que se consiga estar em conformidade com as questões que devem se destacar neste ano de 2021, especialmente tendo como objetivo estabelecer relação de confiança com o titular, por meio de atuação transparente, bem como conciliando tecnologias e políticas com a conscientização das pessoas sobre a relevância do tema.
Ainda no tema governança, importante a avaliação de empresas terceirizadas e atualização dos respectivos contratos corporativos, entendendo se demandarão ajustes e aditivos para conformidade ao novo cenário de proteção de dados e segurança da informação.
Observamos, portanto, que o ano de 2020 deixou importantes lições sobre privacidade e proteção de dados, no Brasil e em outras nações do mundo, tendo sido o marco de entrada em vigor da LGPD, que elevou o patamar do Brasil, em relação ao nível de tratamento do assunto, internacionalmente.
Neste ano de 2021, o grande volume de incidentes de segurança que serão reportados, aliado ao fato de que a ANPD e a governança das corporações estão ainda se amoldando ao novo cenário, teremos desafios importantes e que demandarão atenção dos envolvidos, que precisarão apresentar as soluções adequadas e eficientes a estes novos desafios que se descortinam.
*Rony Vainzof e Caio César Carvalho Lima, sócios do Opice Blum, Bruno e Vainzof Advogados Associados
