Com o início de um novo ano e uma extensa agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD), são retomados e revistos os trabalhos para garantir a proteção de dados nas organizações, sendo muitos dos esforços guiados pelos temas que serão foco da ANPD, com base nos regulamentos, guias orientativos e processos de fiscalização publicados pela Autoridade.
Uma parcela significativa das organizações que atuam no Brasil está em dia com a adequação de suas práticas à Lei Geral de Proteção de Dados (LGPD). Desde a sua publicação e entrada em vigor, muitas empresas têm buscado a conformidade por meio da condução de treinamentos para capacitação dos times, escolha e preparação do encarregado pelo tratamento de dados pessoais (Data Protection Officer - DPO), elaboração e revisão de documentos importantes, como políticas internas e externas de proteção de dados, contratos com terceiros, além da verificação das atividades envolvendo dados pessoais.
A ANPD tem tido papel ativo para garantir a compreensão e o cumprimento da LGPD, para além de sua competência sancionatória, por meio da publicação de diversas notas técnicas, enunciados, guias orientativos, resoluções e outras normas regulatórias. Nos últimos anos, foram abordados nessas medidas temas como a dosimetria e aplicação de sanções administrativas, aplicação da LGPD para agentes de tratamento de pequeno porte, processo fiscalizatório e sancionatório pela ANPD, entre outros.
No entanto, apesar dos mais diversos assuntos já abordados pela Autoridade até o momento, ainda há temas da legislação que demandam regulamentação adicional e que devem ser priorizados pela ANPD neste ano. Junto a esses, há os pontos mais sensíveis já tratados na LGPD e que requerem maiores orientações para que as organizações possam estruturar ações coordenadas para atenderem aos parâmetros necessários.
Um tópico em evidência global é a regulamentação do uso da inteligência artificial (IA). O tema em ebulição tem trazido debates de todas as esferas no segmento jurídico, do direito autoral à proteção de dados. No Brasil, com toda a movimentação no congresso em torno, principalmente, do Projeto de Lei de Inteligência Artificial (PL nº 2.338/2023), o olhar da ANPD tem se direcionado bastante ao assunto.
No ano passado, foi aberta pela Autoridade consulta à sociedade sobre sandbox regulatório de inteligência artificial e proteção de dados pessoais, cujo objetivo é criar um ambiente controlado e monitorado pela autoridade reguladora para permitir o uso e teste de novas tecnologias envolvendo a IA. A consulta explorou os sistemas de IA que deveriam ser abordados, transparência algorítmica, o envolvimento das empresas, direitos de titulares, papel do setor público, além de outras questões.
Com o crescente uso de IA nas empresas e desenvolvimento proprietário, é fundamental, da perspectiva da proteção de dados, que sejam estabelecidas políticas claras de uso interno, além de diretrizes alinhadas como os parâmetros internacionais para as empresas que desenvolvem essa tecnologia. É recomendável que sejam conduzidas auditorias específicas, especialmente em operações societárias, com esse foco. As políticas devem abranger pontos como os objetivos e limites da aplicação de IA, mecanismos de revisão de decisões, responsabilidade nas decisões baseadas em IA, entre outros. Dessa forma, será possível promover uma governança adequada e evitar violações da privacidade dos titulares, assim como possíveis vieses ou discriminações.
Outra temática objeto de atenção da ANPD é a alta de incidentes de segurança da informação. O problema que tem colocado as empresas em alerta foi responsável por um custo médio global de US$ 4,45 milhões por incidente, um aumento de 15% ao longo de três anos, de acordo com levantamento feito pela IBM Security em seu relatório de Custo das Violações de Dados de 2023.
Durante o primeiro semestre de 2023, a ANPD recebeu um total de 163 notificações de incidentes de segurança que representaram uma ameaça aos dados pessoais. Esse valor apresentou um aumento de 15,6% em comparação ao ano anterior. Diante desse contexto, torna-se cada vez mais crucial que as empresas adotem mecanismos adequados de prevenção e implementem um plano de resposta eficaz para mitigar os riscos associados a esses incidentes, tanto para os indivíduos afetados quanto para a continuidade de suas operações.
As estatísticas destacam a preocupação crescente com a segurança dos dados e a necessidade de proteger as informações pessoais. As empresas devem se preparar não apenas para prevenir, mas também para solucionar incidentes de segurança e mitigar os riscos e danos deles decorrentes. Um plano de resposta eficaz envolve a identificação precoce de ameaças, práticas de segurança sólidas, treinamento dos colaboradores, backup confiável de dados e comunicação clara com os titulares afetados e com a ANPD.
Como terceiro ponto prioritário, tem-se a transferência internacional de dados. Apesar de a LGPD estabelecer diretrizes para a transferência de dados para fora do Brasil, ainda não foram divulgadas normas regulatórias, cláusulas padrão ou documentos orientativos específicos sobre o assunto. Entretanto, a ANPD começou o processo de regulamentação em 2023, visando a esclarecer essas questões. Uma versão preliminar desse regulamento foi disponibilizada para consulta pública e espera-se que a versão final seja publicada em breve.
Com isso, haverá uma norma específica que estabelecerá obrigações para os responsáveis pelo tratamento de dados envolvidos nessas operações. Assim, as organizações enfrentarão um período de transição no qual precisarão ajustar seus processos e implementar novos documentos, bem como revisar cláusulas contratuais, especialmente no que diz respeito à transferência de dados pessoais entre empresas do mesmo grupo ou prestadores de serviços com bases de dados localizadas no exterior.
Por fim, a ANPD sinalizou que as operações de tratamento de dados pessoais de crianças e adolescentes serão pauta de ainda mais atenção, e integrarão os Temas Prioritários para o Biênio 2024-2025. Em 2022, foi realizado um estudo preliminar acerca da regulamentação do tópico, o qual teve progresso significativo em 2023 com a divulgação do Enunciado da ANPD tratando da aplicação de bases legais no tratamento de dados de crianças e adolescentes.
Conjuntamente com os temas aqui explorados, a ANPD mapeou outras questões em sua Agenda Regulatória para 2024. Considerando essas principais tendências identificadas, as empresas precisarão seguir no caminho da adequação, para que estejam devidamente preparadas para possíveis mudanças ao longo deste ano. Manter uma postura ativa de governança e estar em conformidade com a LGPD se torna além de essencial, alinhando-se às exigências e expectativas de um mercado que já incorporou as questões de proteção de dados em suas práticas corporativas.
