Lei de proteção de dados entra em nova fase este ano

Agenda regulatória prevê definição de 20 itens até dezembro.

Por João Luiz Rosa — De São Paulo

Quase 18 meses depois da implantação da Lei Geral de Proteção de Dados (LGPD), o Brasil fez avanços significativos na defesa da privacidade, mas ainda tem um longo percurso a cumprir.

“Estamos no caminho certo, mas não chegamos ao patamar da Europa, que discute a proteção de dados desde os anos 70 e 80, ou mesmo de países mais próximos como México, Argentina e Uruguai, que também têm legislações mais antigas”, diz José Eduardo Pieri, advogado especializado em tecnologia e sócio do escritório Palma Guedes Advogados.

O desafio, agora, é expandir a cultura de proteção de dados pessoais, concordam especialistas e autoridades. Aprovada em 2018, a LGPD entrou em vigor dois anos mais tarde cercada de temores de que poderia prejudicar os negócios por causa dos custos de adaptação, das restrições impostas ao tratamento das informações e das penas nos casos de infração. Hoje, com o aprendizado acumulado pelas empresas nos últimos meses, a visão predominante é diferente.

Embora seja o principal interessado, titular das informações nem sempre está consciente dos cuidados que deve tomar “A ausência de padrões no uso de dados pessoais cria insegurança jurídica, que não é benéfica para os negócios porque gera custo”, diz Carlos Affonso Souza, diretor do Instituto de Tecnologia e Sociedade do Rio (ITS Rio) e professor da Faculdade de Direito da Universidade do Estado do Rio de Janeiro (UERJ).

“As empresas estão percebendo que o faroeste existente [antes da LGPD] não era melhor. Nesse ambiente, a proteção de dados gera vantagens competitivas, não custo.” Um dos efeitos da lei é proporcionar uma certa isonomia no tratamento reservado aos dados - e nos investimentos feitos para protegê-los - entre empresas com perfis e tamanhos semelhantes.

Ao estabelecer um conjunto de padrões mínimos de segurança e privacidade, a legislação ajuda a reduzir eventuais disparidades. “Isso faz com que empresas que investem mais em proteção não saiam penalizadas frente a outras que não têm a mesma preocupação”, diz Pieri. Há outras vantagens competitivas em jogo. Parte dos consumidores está mais atenta à maneira como as marcas tratam seus dados e passou a usar a segurança das informações como critério na hora de escolher produtos e serviços.

Estudo feito pela americana Cisco em 26 países, incluindo o Brasil, mostra que 70% das empresas estão obtendo ganhos “significativos” ou “muito significativos” com seus investimentos em privacidade. Uma das principais vantagens indicadas na pesquisa é ganhar a confiança dos clientes. No Brasil, o retorno médio é de 2,8 vezes o valor investido, mais que a média internacional, de 1,8 vez. Para o levantamento, intitulado

“Data Privacy Benchmark Study 2023”, a Cisco ouviu 3 mil profissionais de segurança. Apesar do cenário econômico hostil, a previsão é que o investimento médio nesse segmento aumentará de US$ 1,2 milhão em 2020 para US$ 2,7 milhões neste ano. No Brasil, 97% dos entrevistados dizem que a privacidade tornou-se um imperativo de negócio e 90% afirmam que o consumidor não compraria de uma empresa que não garante a segurança de suas informações.

A legislação é parte central desse círculo virtuoso. Embora digam que se adequar às regras envolve esforços e custos significativos para suas empresas, 79% dos entrevistados afirmam que as leis de proteção de dados têm impacto positivo; no Brasil, o número é ainda maior, de 81%.

“É muito importante que as empresas compreendam que o investimento em privacidade tem potencial de gerar não somente valor de negócios em vendas, como agregar segurança às operações e, o principal, mais confiança dos consumidores”, afirma Marcia Muniz, diretora jurídica da Cisco América Latina e Canadá e Data Protection Officer (DPO).

Além do consumidor, as políticas de proteção de dados têm atraído a atenção de outro público essencial aos negócios - o investidor. Processos de “due dilligence”, pelos quais uma empresa avalia os benefícios e riscos de uma aquisição, passaram a considerar também o grau de segurança digital na formação do preço a ser pago, diz Pieri. “Ninguém quer comprar uma empresa cuja proteção de dados seja péssima.” O ano de 2023 promete ser decisivo para o tema no Brasil.

Em funcionamento desde novembro de 2020, a Autoridade Nacional de Proteção de Dados (ANPD) tem uma agenda regulatória de 20 itens a definir no período 2022/2023. São pontos que regulamentam a LGPD. A definição mais aguardada é a chamada dosimetria, que estipula a punição para cada tipo de violação.

“A dosimetria precisa levar em consideração vários fatores: o risco, o dano, o tamanho da empresa, se é a primeira violação, se houve reincidência... Isso vale tanto para companhias privadas como órgãos públicos”, diz Waldemar Gonçalves Ortunho Junior, diretor-presidente da ANPD.

O órgão aguarda a dosimetria para fazer eventuais punições. Indicado na semana passada, caberá ao relator apresentar parecer ao conselho diretor da ANPD, composto de cinco membros.

A previsão é que a definição saia ainda este mês, afirma. Em 2022, a ANPD recebeu 1.110 denúncias, 703 petições de titulares de dados e 287 comunicados de incidentes de segurança. Foram instaurados 40 processos de fiscalização até agora. Desses, 16 já foram concluídos e outros 16 estão em curso no âmbito da regulação responsiva, em que cabem medidas preventivas e de orientação. Existem 8 processos administrativos instaurados - são esses os casos passíveis de punição.

Na estrutura da ANPD estão 81 funcionários. Para comparar, a autoridade de privacidade no Reino Unido tem uma equipe de 900 pessoas, diz Ortunho. Nos próximos meses, caberá à ANPD regulamentar a transferência internacional de dados, os direitos dos titulares e os novos formulários para comunicados de incidentes de segurança, entre outros temas.

O objetivo não é virar uma “fábrica de multas”, afirma o diretor-presidente da ANPD, “mas conscientizar todos os envolvidos”. É o caso dos titulares dos dados pessoais. Embora seja o principal interessado, o indivíduo nem sempre está consciente dos cuidados que deve tomar.

“A pessoa entra na farmácia e dá o CPF sem perguntar para o que será usado”, comenta Souza, do ITS Rio. Esse comportamento reflete um desequilíbrio na relação custo/benefício da economia de dados.

Por influência da internet, em particular das redes sociais e sites de comércio eletrônico, o consumidor se habituou a ceder seus dados para obter serviços digitais, sem perceber que está pagando por eles ao compartilhar informações valiosas.