6 anos de LGPD: O que ainda precisa ser feito?
Apenas 16% das empresas estão em conformidade, após seis anos da lei ser aprovada.
Apenas 16% das empresas estão em conformidade, após seis anos da lei ser aprovada. (Foto: Freepik)
No dia 14 de agosto de 2024, o Brasil comemora o 6° aniversário da Lei Geral de Proteção de Dados Pessoais (LGPD). A legislação marcou o avanço na proteção da privacidade e dos dados pessoais no país. Aprovada em 14 de agosto de 2018, a LGPD entrou em vigor em setembro de 2020, com sanções aplicáveis a partir de agosto de 2021.
A LGPD define dados pessoais como qualquer informação que possa identificar ou tornar identificável uma pessoa física ou jurídica, como nome, CPF, RG, e-mail e demais dados. A principal finalidade da LGPD é garantir que esses dados sejam utilizados de forma segura e transparente, evitando o uso indevido e assegurando a proteção e segurança jurídica dos cidadãos.
Em maio de 2021, dois anos após a sançãoda LGPD, o Supremo Tribunal Federal (STF), reconheceu a proteção de dados pessoais como um direito fundamental. Esse reconhecimento foi incluído na Constituição Federal em fevereiro de 2022, através da Emenda Constitucional Nº 115/22. Com a Constituição Federal de 1988, os direitos à intimidade, privacidade e sigilo das comunicações já haviam sido positivados, mas proteção de dados pessoais apenas passou a fazer parte do texto constitucional mais recentemente. Leis como o Marco Civil da Internet e a Lei de Acesso à Informação foram importantes precursoras que contribuíram para a formulação da LGPD.
Após a promulgação da lei, as empresas precisaram se ajustar à nova legislação, adotando práticas específicas. Isso envolveu a criação de políticas e procedimentos de privacidade, treinamento de funcionários e a implementação de tecnologias de segurança da informação. A LGPD estabelece multas e sanções para o descumprimento, o que -teoricamente- incentivou as empresas a se conformarem com a lei.
No entanto, a LGPD ainda não é plenamente cumprida em algumas partes do país. Um levantamento realizado pelo portal LGPD Brasil mostrou que, mesmo com a obrigatoriedade, apenas 16% das empresas do país estão em conformidade com a lei. Isso revela que, embora já tenha uma certa conscientização sobre a lei, ela ainda é bastante concentrada em grandes centros urbanos, e é necessário levar esse conhecimento para outras regiões do país.
O advogado e especialista em direito digital pela FGV, Lucas Maldonado D. Latini, aponta que uma das maiores dificuldades para a adequação à LGPD está na falta de conhecimento sobre a lei e como ela afeta as operações das empresas. Muitas organizações ainda não sabem que a legislação se aplica ao seu ramo de atuação. O advogado observa que a legislação abrange empresas de diversos setores, como finanças, educação, varejo etc. Todos precisam se adequar ou estão sujeitos a sanções.
Para ele, as disposições sobre a proteção de dados estavam dispersas em diversas leis, dificultando a interpretação e a aplicação desses direitos. “A unificação promovida pela LGPD trouxe clareza e coesão ao marco regulatório brasileiro. Além disso, tivemos a criação da Autoridade Nacional de Proteção de Dados (ANPD) para assegurar a fiscalização e o cumprimento da lei”, comenta. Hoje, a ANPD é a responsável por emitir resoluções e guias orientativos que ajudam os agentes de tratamento de dados a entender e cumprir as obrigações.
O que esperar para um futuro cada vez mais tecnológico?
Embora o marco regulatório tenha avançado significativamente desde sua implementação, há várias questões que ainda precisam ser abordadas pela Autoridade Nacional de Proteção da Dados (ANPD) para garantir que a aplicação continue a ser eficaz.
Um dos tópicos em foco é a regulamentação das transferências internacionais de dados. Em 2022, a ANPD lançou uma consulta pública para criar diretrizes sobre como os dados pessoais podem ser enviados para fora do Brasil. A LGPD exige que essas transferências sejam feitas de forma a garantir a proteção adequada dos dados em outros países. Para isso, a ANPD precisa estabelecer regras claras, inclusive sobre países em que considera ter níveis de proteção compatíveis com a legislação brasileira.
Outro ponto, é a regulamentação da Inteligência Artificial (IA). Até o momento, a legislação brasileira não aborda especificamente o uso da IA em relação à proteção de dados. A ANPD está participando das discussões do Projeto de Lei nº 2.338/2023, que visa estabelecer um marco legal para a IA e está sendo avaliado pelo Senado Federal.
O advogado destaca que um dos pontos mais importantes é que as empresas estabeleçam medidas de segurança, técnicas e administrativas, necessárias para a proteção dos dados pessoais. Essas diretrizes podem incluir padrões mínimos de segurança, uso de criptografia, firewalls e políticas de acesso,. A implementação de cada uma delas é uma forma de prevenir incidentes de segurança, como vazamentos de dados, e assegurar que as informações estejam protegidas contra acessos não autorizados.