Em 14 de agosto de 2018, após 8 anos de debates, foi sancionada a Lei 13.709, que instituiu a Lei Geral de Proteção de Dados (LGPD) no Brasil. O país estava atrás de diversas nações nesse tema e sofria pressão da sociedade por mais definições sobre a privacidade de dados, além de atender a um requisito crucial para relações comerciais com outros mercados.
A lei entrou em vigor em 18 de setembro de 2020, com as sanções previstas começando apenas em 1º de agosto de 2021. Resumidamente, a LGPD estabelece um conjunto de regras para a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, inclusive em meios digitais, por pessoas físicas ou jurídicas, públicas ou privadas. A lei também proíbe o uso de dados pessoais para discriminação ilícita ou abusiva e prevê punições para infrações, como advertências, multas diárias de até R$ 50 milhões e a proibição parcial ou total de atividades relacionadas ao tratamento de dados.
Nesse período, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), responsável por garantir a proteção de dados pessoais com base na LGPD. A ANPD é encarregada de elaborar diretrizes para a política nacional de proteção de dados e privacidade, fiscalizar e aplicar sanções em caso de não conformidade com a lei. Isso inclui a realização de auditorias e a investigação de práticas de tratamento de dados que possam violar a legislação.
Mas por que ainda enfrentamos vazamentos de dados quase diariamente? Existem alguns pontos a considerar. Em primeiro lugar, há uma constante “luta de gato e rato”; as empresas estão sempre tentando alcançar os atacantes em termos de proteção e detecção. A maioria das empresas ainda reage a incidentes em vez de preveni-los, e os atacantes evoluem rapidamente, exigindo que os métodos de detecção sejam constantemente aprimorados — especialmente com os novos desafios trazidos pela Inteligência Artificial.
Em segundo lugar, o mercado negro de informações se tornou um negócio lucrativo. O que começou com garotos rebeldes nos anos 2000 evoluiu para organizações especializadas em roubo de informações sensíveis, recrutando pessoas estrategicamente colocadas em empresas. Terceiro, ao analisar a atuação da ANPD nos últimos 3 anos, vemos um número reduzido de autuações públicas. Como sabemos, sem uma “exposição” pública, muitas empresas não se preocupam, o que perpetua a sensação de impunidade. Embora nem todas as ações possam ser divulgadas, infelizmente, é assim que muitas empresas e pessoas agem: só tomam atitudes após um problema ou quando sabem que uma empresa do mesmo setor foi impactada e penalizada.
Voltando à pergunta: como foram esses 4 anos de LGPD no Brasil? Não podemos negar que houve avanços. A privacidade de dados tornou-se um tema amplamente discutido na sociedade e nas empresas, que agora precisam estabelecer limites mais claros para a coleta e o uso de dados pessoais. A preocupação com o tratamento e a transparência dos dados aumentou significativamente, e as empresas tiveram 3 anos para adequar seus sistemas e processos. A própria ANPD tem evoluído, estabelecendo guias mais detalhados, canais de atendimento e tornando as regras da LGPD mais claras. Sua atuação também se expandiu, com parcerias institucionais e, mais recentemente, assumindo a coordenação do Sistema Nacional de Regulamentação e Governança de Inteligência Artificial (SIA), através do PL 2338/23, que trata do uso de inteligência artificial no Brasil. Este projeto ainda precisa ser aprovado no Senado, mas já suscita discussões favoráveis e contrárias sobre a responsabilidade da ANPD na regulação da IA no Brasil.
Apesar de toda essa evolução, não podemos esperar 100% de conformidade por parte de todas as empresas em todos os processos e sistemas, pois isso seria uma utopia. No entanto, há uma preocupação real sobre o tema, e a importância da privacidade de dados é amplamente reconhecida, merecendo a atenção de toda a sociedade.
