A Lei Geral de Proteção de Dados (LGPD) completou seu sexto aniversário nesta semana, desmentindo prognósticos de que "não pegaria"
A Lei n. 13.709, de 14 de agosto de 2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), fez seis anos de “idade” desmentindo vários prognósticos de que seria uma lei que “não pegaria” ou que seus efeitos seriam mínimos. Pelo contrário, a LGPD não apenas pegou, mas também será determinante para o futuro econômico de várias tecnologias, como a Inteligência Artificial, por exemplo.
Como forma de comemoração, falaremos do passado, do presente e do futuro dessa importante lei.
Há quem escolha ignorar o passado para se concentrar no futuro, mas não enxergar o passado de determinadas coisas pode nos fazer esquecer os motivos pelos quais elas existem.
A criação da LGPD foi determinada por diferentes fatores internos e externos. Entre estes últimos, se destaca o início da vigência da General Data Protection Regulation (GDPR), principal regulamento europeu para tratamento de dados, que ocorreu no dia 25 de maio de 2018. Segundo a norma, empresas europeias somente poderiam contratar empresas estrangeiras se estas estivessem localizadas em países que possuíssem grau de proteção igual ou superior ao estabelecido em seu território, o que excluía o Brasil. Dessa forma, sem a LGPD, entre Europa e Brasil, no tocante ao tratamento de dados pessoais, haveria um abismo intransponível, causando uma desvantagem competitiva enorme para as empresas nacionais e sua marginalização no cenário econômico mundial.
Leia mais: 6 estratégias para empresas se protegerem de ciberataques
Outro fator acelerador da criação da LGPD foi o escândalo da Cambridge Analytica, que, segundo se apura, pode ter mudado os rumos das eleições nos EUA, por meio de tratamento indevido de dados pessoais e oferecimento de propaganda eleitoral direcionada (como o voto nos EUA é facultativo, convencer o eleitor a sair de casa é a principal tarefa dos candidatos).
Contudo, para não nos alongarmos, insta reforçar que o cenário externo brasileiro tornava imperativo o advento de uma lei especifica e direcionada à regular o tratamento de dados pessoais, necessidade que foi satisfeita com a LGPD. Atacar a LGPD ou querer que ela não existisse seria desconsiderar os objetivos de sua criação, colocando o Brasil à margem da economia mundial.
Atualmente a LGPD vem gerando diversos efeitos concretos, modificando o cenário de proteção de dados até então existentes. Nenhuma empresa séria, por exemplo, deixou de ter contato ou de implementar modificações em seus processos internos e externos para contemplar a privacidade e a proteção dos dados pessoais. Tanto é assim que já há diversas decisões judiciais reconhecendo a demissão por justa causa de empregados que não cumprem as políticas impostas na prestação de serviços, o que espelha que as empresas afetadas orientaram, treinaram e normatizaram o tratamento de dados que realizam.
Na outra ponta, os titulares de dados (clientes, consumidores, etc.) passaram a ser melhor tutelados pelo Poder Judiciário e por autoridades administrativas após o advento da lei. Podemos citar, por exemplo, a decisão judicial contra uma concessionária do metrô de São Paulo, que estava coletando dados biométricos dos passageiros, ou contra uma conhecida rede social que, em duas ações civis públicas, foi condenada a pagar indenização de cerca de 5 mil reais aos 29 milhões de pessoas afetadas por um incidente de privacidade em suas dependências.
Por fim, merece destaque o fato de a Autoridade Nacional de Proteção de Dados Pessoais – ANPD ter iniciado fiscalizações em entidades públicas e privadas, sendo que no ano passado houve a primeira sanção administrativa contra empresa que aparentemente comercializava dados pessoais para disparo de material de cunho eleitoral.
É possível prever que a LGPD ganhará ainda maior relevância no futuro, seja porque a ANPD será melhor aparelhada para os processos fiscalizatórios, seja porque o adequado tratamento de dados pessoais será matéria-prima essencial para o desenvolvimento de novas tecnologias, entre elas, da Inteligência Artificial. Quanto mais dados, como nome, números identificadores, hábitos gerais, hábitos de consumo, informações de saúde, etc., melhor será o aprendizado e desempenho da tecnologia para determinadas tarefas. Contudo, quando dados pessoais são tratados, é clara a aplicação da LGPD, o que fará com que a atenção no desenvolvimento e uso da IA dobre, especialmente em dois aspectos: a ferramenta deve atender aos requisitos legais a que o tratamento de dados está submetido, sob pena de descumprimento da lei, bem como o tratamento de dados pessoais realizado pela contratante da IA deve estar de acordo com a lei.
É importante entender a distinção entre os dois pontos: usando a analogia de um banco, uma coisa é haver regulamento de requisitos de segurança para resguardar os valores que o mesmo custodia (requisitos de segurança da informação, armazenagem, etc.), outra coisa é zelar para que os valores custodiados tenham origem lícita ou não suspeita (como prevê as legislações sobre combate à lavagem de dinheiro). De igual forma, o que o fornecedor pode garantir, se quiser, é a primeira parte, ou seja, que sua ferramenta foi criada observando os preceitos legais. Contudo, não cabe a ele garantir que o contratante utilizará a IA de acordo com a lei. A contratante somente conseguirá atender à legislação se a conhecer e se manter um programa de governança de dados pessoais adequado e atualizado.
Em suma, a LGPD é uma realidade que já gerou muitos efeitos e gerará mais ainda no futuro, fato que só reforça o compromisso que as empresas devem assumir para se manter adequadas a essa importante legislação.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
Ricardo Oliveira é sócio do Cots Advogados, conselheiro suplente do Conselho Nacional de Proteção de Dados (CNPD), professor universitário e coautor de diversas obras que abordam a LGPD.
