Neste domingo (28), o mundo tem uma oportunidade importante de reflexão sobre a privacidade numa era dominada pelas big techs. A data foi definida como o Dia Internacional da Proteção de Dados Pessoais e, em 2024, o Brasil tem um marco significativo nesta área: os quatro anos da entrada em vigor da LGPD, que começou a ser implementada em agosto de 2020. A pergunta que a sociedade brasileira deve fazer é se realmente há o que comemorar.
A Lei Geral de Proteção de Dados Pessoais foi discutida, aprovada e começou a valer num contexto turbulento em que o tema se tornou uma agenda internacional, após diversos escândalos envolvendo o uso e abuso de informações dos usuários da internet, principalmente nas redes sociais.
O debate ganhou força após a interferência da Cambridge Analytica para beneficiar Donald Trump na sucessão presidencial nos EUA em 2016. A empresa de Steve Bannon também atuou no plebiscito do Brexit (2018), entre outros processos políticos.
As estratégias da empresa de business inteligence (BI) e marketing político incluiram o acesso ilegal aos dados pessoais e também informações sensíveis e de caratér comportamental, além de interações, de 87 milhões de usuários do Facebook.
A partir dessa base, a Cambridge Analytica mapeava com precisão tendências do eleitorado, temas de interesse, mensagens-chave com mais aderência e fake news aos quais os usuários se mostravam mais receptivos.
O passo seguinte era a aplicação de técnicas de big data, BI e marketing digital para a definição e execução de ações criminosas, como a produção de conteúdos com o objetivo de manipular a opinião pública por meio de desinformação. O trabalho envolvia o uso maçiço de robôs e perfis falsos.
Em 2019, a rede de Mark Zuckerberg acabou multada, pela Justiça dos Estados Unidos, em US$ 5 bilhões pela participação no maior vazamento de dados pessoais da História. O caso virou até documentário da Netflix, o assustador Privacidade Hackeada (2019).
LGPD no Brasil é inspirada no RGPD da União Europeia
Foi nesse cenário conturbado e sob pressão internacional, principalmente dos países da União Europeia, que o Brasil entrou na discussão sobre a regulamentação do uso de informações pessoais e elaborou, no final da década passada, a LGPD, inspirada em grande parte no Regulamento Geral sobre a Proteção de Dados.
O RGPD, vigente desde maio de 2016, definiu as diretrizes gerais sobre o tema, para que cada país da Europa criasse a sua própria legislação.
Como funciona a LGPD?
A LGPD é uma legislação fundamentalmente preventiva e que tem por objetivo assegurar a inviolabilidade dos dados pessoais. A legislação exige que os agentes responsáveis pelo tratamento desses dados adotem medidas eficazes a fim de garantir a segurança dessas informações.
Essas ações devem incluir, por exemplo, a designação de um Encarregado de Proteção de Dados (DPO) próprio ou terceirizado, a aquisição de soluções de segurança compatíveis com suas operações e o volume de dados que administram e, claro, mudanças profundas e transversais nos processos e rotinas.
“A LGPD exige um esforço da organização em todos os sentidos, não apenas de conformidade legal ou de melhorias na TI”, defende Alberto Borges, especialista em implantação da LGPD e sócio na Lumi Consultoria.
“É necessária uma transformação cultural intensa. Neste sentido, defendemos sempre que o cumprimento da lei não é uma tarefa apenas do jurídico, do setor de tecnologia ou do compliance. Demanda um engajamento fortíssimo de todas as áreas, entre elas a alta direção e a de gestão de pessoas, num processo que precisar ser continuado de forma permanente”, ressalta.
Alberto Borges, frisa ainda que as organizações precisam ver a LGPD como oportunidade de crescimento e não como mera obrigação e gasto, de forma a reverter os impactos legais em seu benefício.
“Muitas vezes, ao rever seus processos para se adequar à lei, empresas, unidades de saúde, entidades e instituições descobrem a chance de dar um salto, ao alavancar sua operação, reduzir custos ou aperfeiçoar a experiência do cliente”, explica.
LGPD: o que mudou em quatro anos?
Aprovada em 2018 e efetivada em 2020, a LGPD trouxe transformações nas relações sociais e econômicas, especialmente na área digital e principalmente em segmentos que usam dados pessoais de forma intensiva, como saúde, indústria farmacêutica, educação e marketing digital, entre outros.
Advogado da Escobar Advocacia, escritório especializado em Proteção de Dados, Juliano Félix avalia que, “embora os desafios ainda persistam, a legislação empoderou os titulares de dados pessoais sobre o uso de suas informações para fins comerciais”.
“Os usuários agora se preocupam não apenas com o cadastro em formulários, mas também com o destino de seus dados, impulsionando as organizações a adotarem maior transparência em suas práticas”, analisa.
Sobre a aplicação da lei, Juliano Félix desaprova a demora para que as punições começassem a ser aplicadas. “Apenas em 2023, a Autoridade Nacional de Proteção de Dados [ANPD] aplicou sua primeira multa, ou seja, quase três anos após a implementação da legislação”, critica.
A estreia coube à Telekall Infoservice, multada em R$14,4 mil por vender pacotes de disparo ilegal de propaganda política no Whatsapp. Ao todo, os contatos de 130 milhões de usuários obtidos por meio fraudulento integravam a base de dados da empresa.
A aplicação da LGPD em números de 2023
- 237 Comunicados de Incidentes de Segurança a ANPD
- 97 CIS referentes a ransoware
- 2º lugar em infrações é ocupado pela divulgação e acesso não autorizado de dados
Fonte: balanço da ANPD/Janeiro a novembro
Ramware está no topo das infrações à LGPD
Em seu balanço parcial publicado em novembro do ano passado, a Autoridade Nacional de Proteção de Dados revelou que, em 11 meses de 2023, recebeu 237 comunicados de incidentes de segurança, conhecidos pela sigla CIS.
No topo dessas infrações à LGPD, estavam 97 casos de ransomware. Nesse tipo de crime, bandidos cibernéticos usam programas (malware) para sequestro de dados, por meio de criptografia, acessando arquivos pessoais cuja exposição pode de alguma forma prejudicar a vítima.
Mediante extorsão, o usuário que teve as informações roubadas é obrigado a pagar um resgate, geralmente em criptomoedas, tática usada pelos criminosos para dificultar o rastreamento.
O segundo lugar em número de CIS foi ocupado pelos casos de exploração de vulnerabilidades, envio incorreto de dados, divulgação indevida e acesso não autorizado.
A ANPD reconhece a grande probabilidade de que o número real de incidentes envolvendo a segurança de informações pessoais no Brasil seja ainda muito maior devido à subnotificação. Em nível de comparação, 8,8 mil denúncias desse tipo chegaram ao Poder Judiciário da Inglaterra no ano passado. Na França, foram registrados quatro mil ocorrências do gênero.
LGPD avança em Pernambuco
Sócia na Hissa & Galamba Advogados, DPO e professora de Direito Cibernético e Privacidade e Proteção de dados, a advogada Carmina Hissa vê avanços da LGPD em Pernambuco. Sediado no Recife, o escritório tem contratos em todo o Brasil e atua fortemente no eixo São Paulo-Brasília.
“A procura de serviços dessa área em nosso escritório tem crescido, com grande participação de empresas que têm operações no estado e atuação nacional e internacional”, relata. “Fizemos alguns trabalhos recentes de adequação de grandes grupos sediados no mercado local, evidenciando que o setor produtivo local está atento às mudanças de paradigma trazidas pela lei”, afirma.
Na análise da especialista, embora a maioria das empresas locais se mostre mais preocupada com o tema depois que as punições da legislação passaram a valer, houve negócios em Pernambuco que se anteciparam à vigência da LGPD.
“Alguns dos nossos clientes aproveitaram a publicação prévia da legislação e começaram a adaptação já em 2019, mais de um ano antes da entrada em vigor”, contextualiza.
No mercado estadual, Carmina Hissa destaca a HSBS entre os cases de pioneirismo e maior sucesso em conformidade legal nessa área. Braço do grupo Nagem na área de tecnologia, a companhia recebeu, em 2023, a certificação ISO 27701, considerada a ISO de Privacidade, e também a certificação global de Segurança da Informação. Ambas atestam que o negócio cumpre todas as exigências internacionais e nacionais do setor.
Conheça a história da proteção de dados
O Dia Internacional da Proteção de Dados Pessoais marca a data da assinatura do primeiro tratado internacional no setor: a “Convenção para a Proteção de Indivíduos com Relação ao Processamento Automático de Dados Pessoais”, assinada em 1981, no início da popularização dos microcomputadores.
Quarenta e três anos após o acordo e muitos escândalos depois, o panorama global é de uma formalização crescente das garantias à privacidade e proteção de dados dos cidadãos.
Segundo balanço divulgado pela United Nations Conference on Trade and Development (UNCTD), até dezembro de 2023, cerca de 70% dos países possuíam alguma legislação neste sentido. Somente 15% das nações não contavam com leis ou projetos de legislação em tramitação sobre o tema.
Mestre em Direito pela Universidade de Chicago e sócia na Queiroz Cavalcanti Advocacia, Gabriela Figueiras ressalta que, nesse cenário, o setor produtivo está cada vez mais consciente de que a proteção de dados pessoais é fundamental para o sucesso da economia digital e não um obstáculo.
“O mercado tem demonstrado que a busca pela melhoria na governança de dados auxilia não somente a proteção das informações dos indivíduos, mas também a capacidade das organizações de colher benefícios da nova economia, ao oferecer produtos e serviços garantindo à sociedade respeito à privacidade”, observa.
Qual o futuro da privacidade?
Sobre o futuro da privacidade, os especialistas vêem na disseminação da inteligência artificial generativa um risco e uma oportunidade. Carmina Hissa pondera que a nova geração da IA pode impulsionar a proteção de dados, mas também possibilitar ferramentas muito mais poderosas de captura criminosa de dados pessoais.
“É um novo desafio, que está sendo discutido em todo o mundo e precisamos estar preparados para as duas situações”, reflete.
Gabriela Figueiras, por sua vez, vê no debate sobre inteligência artificial a chance de uma grande contribuição do Brasil para que o mundo dê um salto na proteção de informações pessoais.
“A discussão sobre IA integra as diretrizes da ANPD para o biênio 2024-2025. A agência quer tornar o país referência global em privacidade de dados pessoais e segurança cibernética e, para caminhar neste sentido, o tema inteligência artificial é essencial”, afirma.
Em resumo, para o bem e para o mal, o que vai acontecer com nossas informações no ambiente digital passa fundamentalmente por como a IA será desenvolvida e aplicada pela inteligência humana.
Leia mais sobre LGPD:
Com 36% de adesão à LGPD, início das multas deixa empresas em alerta
