Ana Busch
Em agosto deste ano, a Lei Geral de Proteção de Dados, a LGPD, completou cinco anos. A lei define como dados pessoais devem ser tratados no Brasil e se tornou central para a discussão da regulação de novas tecnologias como a inteligência artificial. Também ajudou a trazer à tona discussões importantes relacionadas à segurança digital. Mostrou que os dados são parte do cotidiano de todos. Ainda assim, a lei nunca foi objeto de uma grande campanha pública de conscientização.
Para falar desses e outros temas relacionados à lei, o +QD entrevistou o advogado e especialista Fabrício da Mota Alves, sócio coordenador de direito digital no Serur Advogados e conselheiro titular no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
+QD: Com a Emenda Constitucional 115/2022, a proteção de dados pessoais se tornou um direito fundamental no Brasil. Mas embora esteja escrito na lei que o direito à privacidade e à proteção de dados pessoais é essencial à vida digna das pessoas, esse é um direito, como tantos outros, difícil de exercer. Se para a população mais privilegiada, já não é fácil conter a intromissão diária de ligações de telemarketing nos telefones celulares – um problema menor –, o que dizer do que pode acontecer com as pessoas menos letradas digitalmente. Como o senhor imagina que seja possível tornar essa lei mais efetiva?
Fabricio da Mota Alves: A efetividade da lei e do direito fundamental de proteção de dados pessoais, assim como de qualquer norma ou direito, tem uma raiz cultural profunda, e essa é a principal e mais relevante forma de perenização da garantia na sociedade. Porém, para além dessa perspectiva cultural, há nuances técnicas e jurídicas indispensáveis.
O sistema de fiscalização precisa ser dotado de um ferramental legal minimamente robusto, apto a dar condições de atuação e preservar os incentivos jurídicos adequados para impor respeito e manter um comportamento adequado dos agentes regulados, responsáveis pelo processamento dos dados pessoais.
Ou seja, não basta a lei, é preciso encerrar de vez sua regulamentação e editar as devidas orientações administrativas, que são os parâmetros objetivos indispensáveis para fixação das condutas de conformidade e as infrações.
Também é preciso dotar a ANPD de aparato técnico, ou seja, adotar tecnologias avançadas para monitoramento, análise e resposta a possíveis infrações. O uso de inteligência artificial, por exemplo, pode auxiliar na identificação de vazamentos de dados ou no rastreamento de transferências indevidas de dados pessoais.
A ANPD já vem trabalhando nisso, mas, além da base jurídica e da infraestrutura tecnológica, também é crucial a capacitação contínua dos servidores, não só em aspectos jurídicos, mas também em conhecimentos técnicos, para que possam compreender e atuar frente às complexidades do ambiente digital. Somente com esta combinação de cultura, técnica e capacitação, as decisões e orientações serão justas, corretas e menos passíveis de questionamentos judiciais viabilizando um ambiente mais seguro ao cidadão e justo às empresas.
+QD: Mesmo cinco anos após a publicação da lei, ainda existe uma lacuna em relação à cultura. Nunca houve uma grande campanha nacional de conscientização da população em relação à LGPD, como ocorreu em outros países onde esse tipo de legislação foi implementada. Na sua opinião, o que é preciso fazer para que a Lei Geral de Proteção de Dados faça parte da linguagem corrente da população?
Fabricio da Mota Alves: Apesar de o Brasil possuir a lei e já ter constitucionalizado o direito da proteção de dados, tudo isso tem sido impulsionado pelo Poder Legislativo.
É imprescindível que o governo federal abrace o tema e o insira em seu plano de governo, criando campanhas de comunicação social nacionais, fortalecendo o órgão regulador.
Especialmente o hoje inoperante CNPD – do qual faço parte e que não se reuniu uma única vez em 2023 – e estimulando governos estaduais, distritais e municipais a fazer o mesmo.
Do contrário, será sempre um assunto lateral, de segundo plano, tornando o país inadimplente com a obrigação assumida na Constituição Federal.
+QD: A LGPD determina que todas as empresas brasileiras, de qualquer porte e setor, devem se adequar. Mas algumas empresas sequer começaram a trabalhar na adequação de seus processos e documentos. Por que arriscar com algo que pode ser simples?
Fabricio da Mota Alves: A não conformidade à lei tem consequências diversas, não somente punitivas públicas.
Há abalo reputacional, responsabilidade civil, riscos empresariais diversos.
Uma fusão entre empresas, por exemplo, hoje precisa envolver due diligence de privacidade, sob pena de não prosperar frente aos riscos da operação. Aos poucos, empresas de maior maturidade começam a exigir de fornecedores a conformidade legal, tornando esse um requisito de contratação de serviços. Fora os problemas jurídicos quando há outros regime jurídicos envolvidos na atividade-fim, como uma relação de consumo, cenário que envolve mais de um regulador e órgão fiscal.
Simplesmente não vale a pena mais correr esse risco. Sem mencionar os prejuízos decorrentes de vazamentos e outros incidentes de segurança. Até mesmo questionamentos trabalhistas passam a ser feitos com base na LGPD, legitimando a atuação de sindicatos de trabalhadores e do próprio MPT. Nesse ecossistema, a fiscalização da ANPD, que começou agora, será apenas uma das preocupações.
Para garantir a conformidade, mesmo diante de orçamentos limitados, existem opções viáveis jurídica e financeiramente. Terceirizar as funções de Encarregado de Proteção de Dados (DPO) é uma delas. Tem um impacto menor no orçamento e garante atuação especializada e qualificada. Além disso, contratar uma consultoria comprovadamente experiente nesse campo de atuação para apoiar as diversas áreas ou até mesmo o DPO que acumula funções tende a ser um investimento inteligente.
+QD: A ANPD tem se posicionado a favor da regulamentação da inteligência artificial. Mas com o uso de IA cada vez mais disseminado entre crianças e adolescentes, o senhor acredita que é preciso que haja alguma alteração significativa na lei para incluir uma atuação preventiva para proteção de dados pessoais desses públicos mais vulnerável no uso desse tipo de tecnologia?
Fabricio da Mota Alves: A ANPD já tem se posicionado sobre o tratamento de dados pessoais de crianças e adolescentes com bastante incidência e assertividade. Inclusive no processamento de incidentes de segurança que envolvam essa categoria de titular.
Resta agora acompanhar a fiscalização para constatarmos seu apetite regulatório sobre esse ambiente de vulnerabilidade.
+QD: Existe um outro desafio complexo para a ANPD, que é regular a transferência internacional de dados e os requisitos para a comunicação de incidentes de segurança, sem impactar a economia e a inserção do Brasil no mercado global. Até que ponto isso é uma questão que pode ser resolvida apenas no âmbito da autoridade?
Fabricio da Mota Alves: Certamente, a transferência internacional de dados não se encerra na ANPD. O assunto deve ser encarado como uma política pública de Estado, especialmente quanto ao trabalho que deve vir para assegurar a declaração de país adequado pela União Europeia.
Estamos agora no primeiro passo, que é a regulamentação do assunto pela ANPD.
