Após quase cinco anos de vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), o Brasil avançou na regulamentação do tema, mas ainda engatinha na fiscalização e punição de empresas, na comparação com outros países que são referência no assunto. Segundo levantamento do L.O. Baptista Advogados, no ano de 2024, União Europeia, Reino Unido, Estados Unidos, Argentina e Austrália, somados, aplicaram US$ 1,7 bilhão em multas por infrações relacionadas à proteção de dados. O Brasil não aplicou nenhuma.
Cinco processos sancionadores foram encerrados no país em 2024, mas todos contra órgãos públicos. Dois tinham como alvo o Ministério da Saúde; um, o Instituto Nacional do Seguro Social (INSS); outro era contra a Secretaria de Estado de Educação do Distrito Federal (SEEDF); e o último envolvia a Secretaria de Assistência Social, Combate à Fome e Políticas sobre Drogas, de Pernambuco. Conforme o parágrafo 3º do artigo 52 da LGPD, os entes públicos não estão sujeitos à pena de multa.
Até hoje, a única empresa multada pela ANPD foi a Telekall Infoservice, no ano de 2023. A penalidade foi de R$ 14,4 mil, por comercializar dados para campanhas eleitorais.
Segundo especialistas, a discrepância se explica pelo fato de os países que serviram de base para a comparação, em sua maioria, já contarem com um sistema de proteção de dados há décadas. Bianca Mollicone, sócia do Pessoa & Pessoa Advogados e especialista em proteção de dados e compliance, lembra que a Europa vem se debruçando sobre o tema desde a década de 1970. No Brasil, a LGPD foi sancionada em 2018, e só começou a ser aplicada em 2020, sendo impactada pela pandemia. “A atuação do governo, hoje, é compatível com o grau de amadurecimento do Brasil em relação ao tema”, diz.
Patricia Peck, sócia-fundadora do Peck Advogados e especialista em direito digital, afirma que a ANPD fez uma escolha, ao menos em um primeiro momento, de aplicar advertências e apostar no dano reputacional, em vez de impor multa. “Essa é uma escolha normal de largada. Mas em um dado momento, para ir para a próxima etapa, vai ser necessário aplicar mais multas, que é o que a gente vê que funciona nos outros países”, diz.
Outro fator que pesa para essa discrepância pode ser a falta de cultura do brasileiro de reclamar para a autoridade, que ainda é pouco conhecida. Em 2021, a ANPD fez um convênio com a Secretária da Secretaria Nacional do Consumidor (Senacon), do Ministério de Justiça, para atuar em conjunto com os órgãos de defesa do consumidor. Segundo Patricia Peck, as empresas com relação de consumo têm sido multadas pelo Procon e autuadas pelo Ministério Público, que estariam suprindo a função sancionatória na proteção de dados. “Esses órgãos já têm uma estrutura mais capilarizada. E o cidadão também está mais acostumado a reclamar para o Procon.”
Em 2024, os principais alvos das sanções no exterior continuaram sendo as empresas de tecnologia, especialmente big techs, e indústrias de varejo e comércio. Essas já são as empresas mais visadas desde o ano de 2022, quando o L.O. Baptista Advogados começou a pesquisar o tema. A maior multa individual de 2024 (e da história), de US$ 1,4 bilhão, foi aplicada contra a Meta, dona do Facebook, WhatsApp e Instagram, pelo governo do Texas, nos Estados Unidos, por captura e uso de dados biométricos sem autorização legal.
Mas outros setores começaram a se destacar ao longo do ano, e devem continuar dando trabalho para as agências reguladoras em 2025: bancos e companhias do setor financeiro, além de empresas ligadas à saúde. “Em todos esses segmentos existe significativa exposição de titulares de dados pessoais a atividades intensivas de tratamento realizadas pelas empresas”, explica Fabrício Polido, sócio da área de direito digital do L.O. Baptista.
O Uruguai, por exemplo, aplicou advertências ou instruções para conformidade contra sete instituições financeiras, a maioria por contatos não solicitados, via mensagem ou ligação. O país não aplica multas. Argentina e Austrália também investigaram empresas do setor.
A Argentina multou uma empresa do setor de saúde por contatos indesejados. Nos Estados Unidos, um tribunal da Pensilvânia chancelou o acordo que obrigou uma empresa médica a indenizar cerca de 134 mil pessoas em US$ 65 milhões por vazamento de dados de registros médicos e fotos dos pacientes, que passaram por tratamento de câncer.
Segundo Polido, nos últimos anos as infrações aplicadas pelos órgãos reguladores e judiciais vêm se sofisticando, alcançando a captura e tratamento de dados biométricos como o reconhecimento facial. “Outra novidade que pode chamar a atenção dos reguladores é a chamada raspagem de dados, quando uma empresa captura dados disponíveis publicamente na internet e comercializa como se fosse uma base de dados pessoais, só que sem passar pelas bases legais de tratamento”, complementa.
Embora esses temas possam indicar um rumo para o desenvolvimento da proteção de dados no Brasil, dificilmente haverá uma explosão de novas multas e sanções no país em 2025, a depender da própria agenda de prioridades da ANPD. Por enquanto, o foco do órgão está na regulação que, segundo destaca o L.O. Baptista, tem avançado.
Ao longo de 2024, a ANPD editou resoluções importantes, como a que torna obrigatória a nomeação de um encarregado pelos dados (DPO) e a publicização dessa informação. No fim do ano, a entidade informou que fiscaliza 20 empresas que não se adequaram, dos setores de tecnologia, telefonia, educação, saúde e varejo. Também determinou os requisitos para transferências internacionais de dados, ressalta Polido.
Conforme a Resolução nº 23, de 2024, que traz as diretrizes para este ano, o órgão ainda se debruçará sobre a regulação dos direitos dos titulares de dados, do compartilhamento de dados pelo poder público e do tratamento de dados pessoais de crianças e adolescentes.
Em relação à coleta de dados biométricos, por exemplo, um estudo da ANPD registrou aumento em diversos contextos, como atividades escolares, controle de fronteiras, estádios de futebol e transações financeiras. A lista de prioridades prevê a atuação, “mediante regulamentação ou documentos de caráter orientativo, com vistas ao estabelecimento de parâmetros que assegurem a realização do tratamento de dados biométricos de forma equilibrada e compatível com a legislação”
.
Um dos principais pontos cegos é a regulamentação dos padrões técnicos mínimos de segurança. O artigo 46 da LGPD prevê que a ANPD defina esse patamar, mas o dispositivo ainda não foi regulamentado. Ele está na lista de prioridades do órgão. A ausência de critérios dificulta a sanção, dizem os especialistas.
“O sistema de garantias fica incompleto se não ficar claro quais são os requisitos mínimos de segurança, até para as empresas se sentirem tranquilas por estar em conformidade com a legislação”, afirma Patricia Peck.
Especialistas alertam, porém, que a proteção da privacidade não pode inviabilizar os avanços tecnológicos. “É preciso garantir os direitos dos titulares sem impedir a inovação, para que a proteção de dados não vire uma camisa de força para o desenvolvimento”, diz Bianca Mollicone.
Artigo publicado no Valor Econômico.