Hoje, celebramos um marco importante na história da proteção de dados no Brasil: os 7 anos da publicação da Lei Geral de Proteção de Dados (LGPD). O tema, em constante evolução, acarretou diversas transformações nos últimos anos. Para comemorar esses 7 anos de LGPD, destacamos 7 mudanças significativas na área:
- Proteção de dados como direito fundamental
Com a promulgação da Emenda Constitucional nº 115/2022, a Proteção de Dados Pessoais foi reconhecida como um direito fundamental no Brasil. A emenda não apenas reconhece o direito à proteção de dados pessoais, mas também atribui à União a competência exclusiva para legislar sobre o tema.
A proteção de dados pessoais, antes tratada por normas infraconstitucionais na legislação brasileira, passou a ser reconhecida como direito fundamental no Brasil, e colocada em paridade com outros direitos fundamentais consagrados na Constituição Federal (CF), como a liberdade de expressão, o direito à vida e à dignidade da pessoa humana.
A inclusão da proteção de dados no artigo 5º da CF reforça a importância da proteção de dados para a dignidade humana, especialmente em um mundo cada vez mais digital. Essa adição proporciona uma maior segurança jurídica, tanto para os cidadãos quanto para as organizações que tratam os dados pessoais. Isso implica que normas que contrariam ou enfraquecem essa proteção sejam consideradas inconstitucionais, garantindo que os indivíduos tenham uma salvaguarda legal contra abusos e violações de privacidade. Ao mesmo tempo, essa proteção serve como base para a validade das normas infraconstitucionais que a reforçam, como a LGPD.
- Mudança na interpretação do legítimo interesse (LI)
Desde a entrada em vigor da LGPD, a interpretação do conceito de "legítimo interesse" tem sido um dos tópicos mais controversos da lei. Essa base legal permite que o controlador trate dados pessoais sem o consentimento do titular, desde que haja um interesse legítimo que não se sobreponha aos direitos e liberdades fundamentais deste. Com o aumento dos debates sobre a aplicação e as limitações do LI, especialmente em contextos como marketing e tratamento de dados de menores de idade, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu parâmetros mais claros para sua utilização.
O Guia de Legítimo Interesse, por exemplo, introduziu critérios objetivos para sua aplicação, incluindo o modelo de Avaliação de Legítimo Interesse (LIA, na sigla em inglês). Essa avaliação deve levar em consideração a natureza do interesse em questão, a relação entre as partes envolvidas e a expectativa do titular, proporcionando assim maior segurança jurídica aos controladores que utilizam essa base legal.
- Regulação da Transferência Internacional de Dados (TID)
A Resolução CD/ANPD nº 19/2024 trouxe maiores detalhes acerca dos requisitos para transferências internacionais de dados pessoais. Por exemplo, ela exige que o controlador implemente garantias contratuais que assegurem a proteção dos dados, como cláusulas-padrão contratuais e medidas técnicas e administrativas que reduzam os riscos de vazamentos. O objetivo da regra é garantir a continuidade da proteção dos dados, independentemente do local onde estejam sendo tratados.
Antes dessa resolução, o artigo 33 da LGPD era pouco aplicável devido à ausência de regulamentação do tema. Agora, há disposições específicas tratando de cláusulas-padrão contratuais, inclusive com o modelo publicado pela ANPD, e dos processos referentes à aprovação de normas corporativas globais, decisões de adequação ou reconhecimento de equivalência.
No entanto, ainda há grandes expectativas em relação ao assunto, pois a ANPD ainda não emitiu nenhuma decisão de adequação e alguns mecanismos para transferência internacional previstos na LGPD, como selos, certificados e códigos de conduta, não foram regulados na Resolução. Por isso, esperamos novidades nesse sentido.
- Aumento na fiscalização e aplicação de sanções
Nos últimos anos, a ANPD tem exercido um papel ativo na fiscalização e na aplicação de sanções em decorrência de infrações à LGPD. A Resolução CD/ANPD nº 4/2023, define a dosimetria e aplicação de sanções administrativas, estipulando critérios como a gravidade da infração, a vantagem obtida pelo controlador e a capacidade de reparação do dano.
A atuação da ANPD na busca em garantir que as penalidades sejam proporcionais e que promovam a efetiva conformidade das organizações com a LGPD continua crescendo, à medida em que nossa autoridade cresce em tamanho, influência e exposição.
- Diretrizes específicas para o tratamento de dados pessoais de crianças e adolescentes
O Enunciado CD/ANPD nº 1/2023 trouxe esclarecimentos sobre as diretrizes específicas para o tratamento de dados pessoais de crianças e adolescentes. A princípio, havia a interpretação de que a base legal aplicável no tratamento de dados pessoais de crianças e adolescentes seria o consentimento.
Entretanto, com a publicação do enunciado, a ANPD esclareceu que, embora o consentimento seja uma base legal aplicável, outras bases também podem ser utilizadas, desde que respeitem o princípio do melhor interesse do menor.
Isso amplia o leque de possibilidade para o tratamento de dados pessoais desse grupo social vulnerável, não por representar uma flexibilização de seus direitos, mas por garantir que as atividades possam se acomodar nas hipóteses legais mais apropriadas – inclusive quando o consentimento não for o melhor caminho.
- ANPD e a regulamentação da inteligência artificial
A ANPD tem se destacado em questões relacionadas à inteligência artificial (IA). Dentre as suas ações, ressalta-se a criação de um Piloto de Ambiente Regulatório Experimental (Sandbox) focado em IA e Proteção de Dados, que permite que a ANPD supervise o desenvolvimento e a testagem de projetos de sistemas de inteligência artificial, promovendo a experimentação de novas técnicas, tecnologias e modelos de negócio inovadores.
Além disso, a atuação da ANPD na fiscalização do uso de IA em relação à Proteção de Dados tem se intensificado nos últimos anos. Entre os tópicos abordados nos processos de fiscalização da autoridade, destacam-se casos que envolvem indícios de irregularidades no uso de sistemas de identificação biométrica e infrações à LGPD relacionadas à formação de perfis comportamentais a partir de dados pessoais sensíveis.
Ademais, após longos debates jurídicos e acadêmicos sobre qual autoridade deveria supervisionar o desenvolvimento da IA no Brasil, uma das versões do Projeto de Lei (PL) que regula o tema (nº 2.338/2023), indicou a ANPD como coordenadora do Sistema Nacional de Regulamentação e Governança da Inteligência Artificial (SIA). O que parecia ser o fim da discussão, veio acompanhado por uma reviravolta: após aprovação no Senado, o texto voltou para a Câmara e está sendo revisado por uma comissão especial. A expectativa é que o próximo parecer seja publicado em novembro de 2025, após 10 audiências públicas temáticas, 5 seminários regionais e 1 internacional.
O argumento em prol da supervisão de IA pela ANPD é que, ainda que a IA se desdobre para inúmeros fins, aqueles relacionados ao tratamento massivo de dados pessoais apresentam os maiores riscos.
- Aumento da consciência sobre riscos cibernéticos e reporte de incidentes de segurança para a ANPD
Com a implementação da LGPD, a proteção de dados pessoais tornou-se um princípio fundamental na governança das organizações no Brasil. Paralelamente, houve um aumento das ameaças cibernéticas, exigindo das organizações um enfoque mais rigoroso para o gerenciamento eficaz de incidentes de segurança. Afinal, o avanço na digitalização traz consigo o avanço na sofisticação das ameaças digitais.
Nesse cenário, a ANPD tem disponibilizado orientações e resoluções que auxiliam as empresas a se adaptarem às novas exigências regulatórias, incluindo a Resolução CD/ANPD nº 1/2024, que detalha os procedimentos que as empresas devem seguir para comunicar incidentes à ANPD e aos titulares, além de painéis interativos sobre tais comunicações feitas à Autoridade.
Bianca Okuma, estagiária na área de Cybersecurity & Data Privacy, também colaborou para o artigo.
