Avanços e Desafios nos 5 anos de vigência da Lei Geral de Proteção de Dados Pessoais

Hoje a Lei Geral de Proteção de Dados Pessoais (LGPD) completou 5 anos da sua publicação. Passados alguns anos de vigência da legislação, é possível fazer um balanço dos avanços e desafios observados até aqui.

Entre os avanços, é possível destacar em primeiro lugar o fato de haver uma legislação que conferiu sistematicidade e organicidade à proteção dos dados pessoais no ordenamento jurídico brasileiro. Embora já existissem referências normativas às informações pessoais na Lei de Acesso à Informação (art. 31, da Lei  12.527/2011) e no Marco Civil da Internet, como princípio orientador para o uso da internet (art. 3º, III, da Lei 12.965/2014), ainda assim eram referências esparsas que não esclareciam de que modo o uso de dados pessoais era realizado – e nem como os cidadãos poderiam obter informações sobre os seus dados. Coube à LGPD disciplinar claramente os direitos do titular de dados pessoais, tanto para agentes de tratamento públicos como privados, e estabelecer as balizas sobre as quais os tratamento de dados devem ser realizados.

Outro avanço importantíssimo trazido pela LGPD é a disciplina da governança da proteção dos dados pessoais e da privacidade. Em seu art. 50, a lei estabelece que, em suas regras de boas práticas, os agentes de tratamento levarão em consideração a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. Ao incluir a análise de riscos, o legislador orientou os agentes de tratamento, públicos e privados, a repensarem suas práticas de uso dos dados pessoais sob a ótica da probabilidade e impacto da ocorrência de um risco, obrigando, assim, a uma revisão completa de todos os processos e práticas de utilização de dados pessoais nas organizações.

Por fim, um dos avanços que devem ser destacados é a criação de uma entidade fiscalizatória de âmbito nacional, a Autoridade Nacional de Proteção de Dados Pessoais, que possui competências não apenas para aplicar as sanções estabelecidas no art. 52 da LGPD, como também para interpretar a legislação e orientar a sua aplicação em casos concretos. A Autoridade, que se estruturou como uma autarquia de natureza especial, atualmente vinculada ao Ministério da Justiça e Segurança Pública, já tornou pública a aplicação da sua primeira sanção, além de publicizar os processos sancionatórios em andamento. Embora seja ainda uma atuação fiscalizatória tímida, a publicização de tais processos é muito salutar, pois aponta para os parâmetros utilizados pela Autoridade na aplicação de sanções aos agentes de tratamento. É de se destacar que as Notas Técnicas e os Guias Orientativos publicados pela autarquia são importantes referências para todos os agentes de tratamento, apontando, de modo didático, para as boas práticas que devem ser adotadas.

Em relação aos desafios, um que pode ser citado é a insegurança jurídica decorrente das possíveis interpretações das normas de proteção de dados pessoais. A LGPD, por exemplo, é aberta a diferentes compreensões, especialmente na sua aplicação às infinitas possibilidades de tratamentos de dados pessoais. Tal pluralidade causa insegurança por parte dos agentes de tratamento de dados pessoais, a despeito dos esforços da Autoridade em regulamentar e orientar a aplicação das leis e das boas práticas. Um exemplo é o tratamento de dados pessoais de crianças e adolescentes. O enunciado CD/ANPD nº 1, de 22 de maio, de 2023, por exemplo, esclareceu que o tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da LGPD, não sendo o art. 14 a única possibilidade de uso de tais dados. Até maio/2023, no entanto, houve muita incerteza sobre o modo como os dados pessoais de crianças e adolescentes deveriam ser utilizados, especialmente pelo Poder Público na execução de políticas públicas e no cumprimento de obrigações legais. Assim como esta questão, ainda há outras passíveis de múltiplas interpretações, gerando incertezas para os agentes de tratamentos de dados, públicos e privados.  

Outro desafio importante diz respeito ao entendimento da LGPD realizado pelos tribunais. Não existem jurisprudências consolidadas ainda na interpretação dos magistrados da legislação, gerando aplicações muito divergentes nos casos concretos. Um dos julgados emblemáticos dessa divergência é o recente julgamento pela Segunda Turma do STJ, no Agravo em Recurso Especial 2.130.619/SP. Em síntese, os magistrados estabeleceram que os incidentes de privacidade envolvendo dados pessoais não sensíveis não geram danos morais presumidos de forma automática, afastando a tese do dano moral in re ipsa. Porém, ainda existem pontos que precisam de esclarecimentos. Como aponta Maurício Tamer, no artigo STJ e a ausência de dano moral in re ipsa em vazamentos de dados:

"A decisão da Corte traz coerência com sua jurisprudência, reconhecendo que o incidente, em si, não é algo que caracteriza um abalo presumido com base nas experiências humana e social médias. No entanto, como dito, a decisão traz outro fundamento de menção sutil e que carece de igual atenção. Afirma a Segunda Turma que o dano moral poderia ser presumido se "de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural."

Esse precedente ainda não pacificou o tema, gerando muitas divergências doutrinárias e jurisprudenciais, apontando para a longa jornada que ainda deverá ser trilhada pelos tribunais antes que se atinja maturidade suficiente no debate acerca dos temas centrais da aplicação das normas de proteção de dados pessoais.

Por fim, a aplicação da LGPD pelo Poder Público traz ainda imensos desafios. O art. 4º, III, da LGPD, ao excluir da incidência de aplicação da lei os tratamentos realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, retirou do campo de incidência da aplicação da LGPD uma parte significativa dos usos de dados pessoais feitos pela Administração Pública. É urgente que seja discutido o quanto antes pelo Congresso Nacional a chamada “LGPD Penal”, cujo anteprojeto encontra-se engavetado, ainda sem um relator para dar andamento à tramitação.

Outro aspecto que traz dificuldades é a compreensão dos conceitos de controlador e operador para a Administração Pública. É comum que no setor público a tomada de decisão sobre os tratamentos de dados pessoais seja compartilhada entre vários atores, o que dificulta a compreensão de quem de fato deve elaborar as documentações e prestar os esclarecimentos necessários ao titular de dados pessoais. Uma última dificuldade de destaque é o regramento sobre compartilhamento de dados pessoais, que traz ainda muitas incertezas, especialmente em relação ao que dispõe o art. 26, § 2º (que obriga o Poder Público a comunicar à Autoridade Nacional de Proteção de Dados sobre todos os contratos e convênios que tem por objeto a transferência, a entidades privadas, de dados pessoais constantes de bases de dados da Administração Pública). Talvez seja necessária uma “LGPD exclusiva da Administração Pública”, mais adequada às especificidades dos tratamentos massivos, compartilhados e interoperáveis que cada vez mais serão necessários à execução das políticas públicas e ao cumprimento de obrigações legais e regulatórias.

Conclui-se que em seus 5 anos de vigência a LGPD obteve grandes avanços, colocando a proteção de dados pessoais no dia-a-dia do cidadão brasileiro e obrigando empresas, entidades públicas, atores do terceiro setor e profissionais autônomos a levarem a sério os cuidados com os dados pessoais. Alguns desafios, no entanto, ainda permanecem, e precisarão ser superados para que se construa no Brasil uma verdadeira cultura de proteção de dados pessoais.

Ana Paula Vasconcellos- diretora do Fórum de Proteção de Dados dos Municípios e Coodenadora Técnica de Protecao de Dados da Prefeitura da Cidade do Rio de Janeiro