Toda Copa do Mundo é uma oportunidade para brasileiros relembrarem grandes conquistas. Se quatro anos atrás não levamos o título, tivemos uma grande vitória: a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), que estabeleceu novos direitos e deveres e promoveu conhecimento sobre o uso de dados pessoais e seu impacto. Neste artigo, pretendemos apresentar uma retrospectiva de 2022 sobre o tema.
ANPD ganha autonomia – Uma novidade positiva foi a transformação da Autoridade Nacional de Proteção de Dados (ANPD) em autarquia. Esta mudança corrigiu uma fraqueza do sistema de proteção de dados nacional, pois a ANPD era órgão integrante da Presidência, gerando temores sobre sua independência. A mudança também alinha o Brasil às melhores práticas internacionais, o que traz impactos econômicos positivos, pois favorece a inserção do País nas cadeias globais de valor da economia digital, que dependem da transferência internacional de dados pessoais, e favorece a entrada do Brasil em organismos como a OCDE, que havia expressamente recomendado que o Brasil garantisse maior independência à ANPD.
Verdade seja dita, mesmo enquanto órgão integrante da Presidência, a ANPD vinha tendo relevante produção regulatória. Em 2022 não foi diferente. Neste ano, a ANPD aprovou regramento aplicável a agentes de tratamento de pequeno porte, com o objetivo de facilitar sua adequação à LGPD (desde que não realizem tratamento de dados de alto risco). A redução da carga regulatória destes agentes busca um equilíbrio entre desenvolvimento econômico e a proteção aos titulares.
A contribuição da sociedade tem sido uma das marcas da produção regulatória da ANPD, que somente neste ano abriu processos de consulta sobre o tratamento de dados de crianças e adolescentes; tratamento em larga escala e de alto risco; dosimetria e aplicação de sanções administrativas; registro simplificado das operações de tratamento; encarregado de proteção de dados (DPO); e transferências internacionais de dados.
A produção da ANPD em 2022 também ocorreu de dois outros modos. Primeiro, pela produção de manuais, sendo o mais recente o guia “Cookies e Proteção de Dados Pessoais”. A ANPD, aliás, começou arrumando a própria “casa”, emitindo recomendações sobre a coleta de cookies pelo portal Gov.br. A ANPD publicou ainda guias sobre o tratamento de dados para fins acadêmicos, tratamento de dados pelo poder público, e, importantíssimo neste ano, sobre a aplicação da LGPD em eleições.
Segundo, a ANPD tem atuado em questões específicas, como na análise conjunta com Cade, Ministério Público Federal (MPF) e Senacon da nova política de privacidade do WhatsApp, quando suspendeu a decisão da Meta (controladora do Facebook) de restringir o acesso ao aplicativo dos usuários que não concordassem com a alteração.
Lei de Serviços Digitais entra em vigor – Outra novidade de 2022 foi a entrada em vigor na Europa da Lei de Serviços Digitais (DSA), que regula serviços digitais que atuam como intermediários, como mercados online (“marketplaces”) e redes sociais. A lei complementa regras de proteção de dados e ao consumidor. Por exemplo, ficam proibidos a publicidade direcionada com base em dados pessoais sensíveis ou via a criação de perfis de crianças e o uso dos chamados “padrões escuros” (sobre os quais fala-se mais abaixo). Outro ponto notável é o estabelecimento de obrigações assimétricas para intermediários a depender de seu tamanho e natureza de seus serviços. Certas obrigações são limitadas a plataformas com pelo menos 45 milhões de usuários (equivalente a 10% da população europeia), enquanto plataformas menores estão isentas da maioria das obrigações. A lei busca resguardar a democracia e o Estado de Direito e deve virar referência global para a regulação de intermediários online.
Incidentes e multas – Em 2022 continuamos a observar casos relevantes de penalidades no Brasil como no exterior. Nos EUA, um executivo da Uber se tornou o primeiro diretor de uma empresa a ser condenado criminalmente por acobertar um incidente de vazamento de dados. A corte entendeu que o réu havia cometido obstrução de justiça por ter escondido o vazamento ocorrido em 2016 e que expôs dados pessoais de mais de 50 milhões de usuários.
No Brasil, o MPF ajuizou ação civil pública contra as empresas Algar e Celepar, estatal paranaense, alegando que o disparo de mais de 324 mil SMS com conteúdo ideológico lesou diversos direitos dos titulares à luz da LGPD, requerendo a condenação das empresas ao pagamento de danos morais individuais no valor de R$ 3.000,00 por titular de dados – valor superior a R$ 974 milhões – e danos morais coletivos no valor de mais de R$ 97 milhões. Se os réus vierem a ser condenados, será a maior condenação já ocorrida no Brasil com base na LGPD.
O que esperar para 2023 – Três questões estão na mente de muitos especialistas. Em primeiro lugar está a agenda regulatória da ANPD para o biênio 2023-2024. O item de maior destaque é o regulamento de dosimetria e aplicação de sanções administrativas, em fase final de elaboração, que deverá dar início à atuação da ANPD como órgão sancionador. Outros itens que a Autoridade começa a regular em 2023 são o compartilhamento de dados pelo poder público e o tratamento de dados de crianças e adolescentes.
Outro assunto que deve ganhar tração em 2023 são os “dark patterns” ou “padrões obscuros”, técnicas de design que induzem seus usuários a fazer escolhas que prejudiquem seus interesses, como o uso de linguagem confusa ou abuso de vieses cognitivos humanos. Órgãos reguladores estrangeiros têm divulgado diretrizes sobre o tema e a mencionada DSA tenta proibi-las. No Brasil, a ANPD trouxe no já mencionado guia de Cookies uma lista de práticas desaconselhadas que reflete parte do atual entendimento sobre padrões obscuros.
Dois projetos de lei merecerão atenção. O primeiro é sobre inteligência artificial, tema que tangencia a proteção de dados. Uma comissão de juristas elabora material para subsidiar um projeto de regulamentação da IA no Brasil, que deverá ser baseada em riscos, similar ao estudado em outros lugares no mundo. O segundo é a proposta da “LGPD Penal”, já que a LGPD não se aplica ao tratamento de dados pessoais realizado para segurança pública, defesa nacional, segurança do Estado ou investigação e repressão de infrações penais. Em um contexto de aumento do uso de reconhecimento facial para segurança pública, trata-se de lacuna cada vez mais delicada. Um projeto de lei (fortemente baseado em anteprojeto de 2020) foi apresentado neste ano, mas foi amplamente criticado por enfraquecer direitos e proteções dos cidadãos.
Por fim, algo a se ter em mente ano que vem ao pensar a proteção de dados é o indiciamento de mãe e filha nos EUA por alegado crime de aborto após ambas terem suas informações pessoais, incluindo mensagens trocadas entre si, compartilhadas pelo Facebook com a polícia. Este caso demonstra o impacto que o compartilhamento de dados pessoais pode ter sobre a vida das pessoas – e como a rápida digitalização do mundo (na esteira da pandemia de Covid-19) requer que adotemos práticas de proteção de dados cada vez mais seguras.
Marcelo Cárgano, advogado e coordenador do Japan Desk no escritório Abe Advogados.
