Em 14 de agosto a Lei Geral de Proteção de Dados, conhecida por LGPD, completará 6 anos da sua promulgação. Fortemente inspirada no General Data Protection Rule (GDPR), legislação europeia sobre o tema, a LGPD trouxe uma ampla normatização da matéria no país, tendo aplicação transversal em todos os ramos do Direito. A maior parte da Lei entrou em vigor em setembro de 2020, enquanto os artigos 52 a 54, referentes às sanções administrativas, entraram em vigor em 1º de agosto de 2021.
De lá para cá a LGPD vem induzindo a uma mudança de cultura, capitaneada pela Autoridade Nacional de Proteção de Dados (ANDP), que tem como uma das missões regulamentar a Lei em diversos pontos.
Regulamentação pela ANPD
Enquanto o ano de 2022 foi marcado por processos de tomada de subsídios pela Autoridade, em 2023 houve um avanço significativo na regulamentação: a ANPD publicou, em fevereiro daquele ano, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que disciplina as penalidades impostas por violações à LGPD e, em maio do mesmo ano, edita o Enunciado CD/ANPD Nº 1, de 22 de maio de 2023, sobre o tratamento de dados pessoais de crianças e adolescentes.
Em 2024, além de seguir na atividade fiscalizatória, a ANPD também intensifica o processo regulamentador aprovando resoluções muito importantes, tais como o Regulamento de Comunicação de Incidente de segurança, instituição do Sistema Eletrônico de Informações (SEI) no âmbito da ANPD, e também a Resolução sobre a atuação do encarregado pelo tratamento de dados pessoais.
Sanções Aplicadas pela ANPD
Em julho de 2023, a ANPD aplicou a uma microempresa a primeira sanção por descumprimento da lei, limitando o valor para cada infração a 2% do faturamento bruto, conforme art. 52, II, da LGPD, totalizando R$14.400,00 em multas[1].
Em 2024 a ANPD aplicou mais duas sanções, dessa vez a dois órgãos públicos brasileiros[2]. No primeiro caso, a ANPD apurou que uma falha de segurança em 2021 expôs de maneira indevida o conteúdo de formulários de inscrição de um programa feito por determinada instituição. Por um equívoco humano de configuração da plataforma, foram expostos dados cadastrais e de saúde (dados sensíveis) de 3.030 menores e seus responsáveis, sendo considerado, portanto, um incidente grave[3].
A Autoridade cobrou, em um primeiro momento, que as devidas medidas fossem tomadas para sanar a falha e exigiu envio do registro de operações de tratamento de dados pessoais (ROT), elaboração de relatório de impacto à proteção de dados pessoais (RIPD), comunicação aos titulares afetados e plano de gestão de incidentes de segurança da informação e privacidade.
LGPD nos Tribunais
Como a Justiça brasileira tem lidado com LGPD nesses quatro anos da sua entrada em vigor?
De acordo com o Relatório do Painel LGPD nos Tribunais[4], que condensa pesquisa, com início em 2020, sobre possíveis tendências e posicionamentos dos Tribunais no desenvolvimento de uma cultura de proteção de dados pessoais no Brasil, houve crescimento substancial de processos judiciais tratando sobre esse tema. Entre a primeira edição (2020 – 2021) e a segunda edição (2021 – 2022) foi constatado um crescimento de 306% do número de documentos coletados e analisados. Já entre a segunda edição (2021 – 2022) e a terceira edição (2022 – 2023), o crescimento do número de documentos foi de 419%, conforme gráfico 2 abaixo:
Fonte: Relatório Painel LGPD nos Tribunais
Segundo o Relatório[5], na segunda edição da pesquisa (2021-2022), houve 629 novas decisões judiciais sobre o tema classificadas com alto grau de relevância, e tendo como alguns dos principais focos de discussão os casos de incidentes de segurança e problemas relacionados à identificação de bases legais caso-a-caso.
Verificou-se que as discussões principiológicas deram lugar a questionamentos sobre a aplicação prática da lei, demonstrando maior complexidade nos casos trazidos perante o judiciário e maior aprofundamento no tema por parte de juízes e desembargadores.[6]
Em relação aos Tribunais, nas três edições da pesquisa, o Tribunal de Justiça de São Paulo (TJSP) foi o tribunal com o maior número de decisões, sendo também constatada uma participação significativa de casos na justiça trabalhista.
Na terceira edição do Relatório (2022 – 2023), destacam-se, além do TJSP, o Tribunal Regional do Trabalho da 2ª Região (TRT2), Tribunal Regional do Trabalho da 3ª Região (TRT3) e Tribunal Regional do Trabalho da 4ª Região (TRT4) e o Tribunal de Justiça do Paraná (TJPR).
Nesse contexto, é possível identificar a recorrência de três principais áreas: Direito do Consumidor, Direito do Trabalho e Direito Civil, que representam, respectivamente, 43%, 36% e 27% do total dos casos analisados, conforme tabela abaixo:
LGPD e Direito do Consumidor
O Direito do Consumidor é, portanto, uma das áreas mais citadas nos casos analisados, sendo que a maioria trata de ações de reparação de danos. Uma dessas ações chegou à Segunda Turma do STJ em 2023, no julgamento do AREsp nº 2.130.619/SP42, com relatoria do Ministro Francisco Falcão, e ficou bastante conhecida na comunidade jurídica devido aos debates acalorados em torno da fundamentação da decisão, que entendeu que o vazamento de dados não tem a capacidade, por si só, de gerar dano moral indenizável.
Ou seja, de acordo com o entendimento extraído a partir desse julgamento, o dano moral não é presumido, sendo necessário que o titular comprove eventual dano decorrente da exposição dos dados pessoais a terceiros. Alguns julgados inclusive mencionam que informações como nome e número de telefone seriam públicas e obtidas através de simples busca na internet, podendo ser divulgadas pelo próprio titular. Além disso, outro ponto importante é o entendimento de que o rol de dados sensíveis na LGPD é taxativo.
LGPD e Direito do Trabalho
Entre os principais tribunais que tiveram decisões relevantes destacadas, a justiça trabalhista teve grande protagonismo, com o TRT2, TRT3, TRT4 apresentando os maiores números de decisões.
Em relação aos temas, chama atenção a grande quantidade de debates sobre pedidos de produção de provas digitais, incluindo geolocalização, e acesso a outras provas, como documentos diversos, além de outras questões incidentais debatidas no curso do processo, como os debates sobre publicidade de dados em processos trabalhistas.
Quanto aos debates sobre pedidos de provas digitais, aproximadamente 87% dos casos tratam do debate sobre a utilização de dados de geolocalização em processos judiciais para comprovação de jornada de trabalho. Muitos casos são movidos por empregadores que pleiteiam a produção desse tipo de prova.
Assim, vem se formando um entendimento interessante de que a disponibilização de dados de geolocalização exige necessidade extraordinária, por se tratar de medida que impacta de forma significativa a intimidade e a privacidade do titular do dado, sendo o pedido comumente negado.
Nesses casos, muitas vezes, também se avalia a possibilidade de obtenção da mesma prova por outros meios menos invasivos, como a utilização de cartões de ponto e prova oral. Frequentemente, são mencionados os incisos X e XII do Art. 5º da Constituição Federal, em conjunto com o inciso 7º, VI, da LGPD, para tratar da necessidade de se interpretar a base legal do exercício regular de direito à luz do princípio da inviolabilidade da vida íntima e privada do empregado.
Nos poucos casos em que a prova de geolocalização é deferida, considerou-se que a prova digital é permitida pela legislação, sendo citada a base legal para exercício regular de direito prevista no Art. 7º, VI da LGPD, além do Art. 10, § 3º, e Art. 22, do Marco Civil da Internet, e do Art. 369 do CPC. Em decisão proferida pelo Tribunal Regional do Trabalho da 12ª Região, nos autos do processo nº 0001072-08.2021.5.12.000850, por exemplo, compreendeu-se que a obtenção de dados de localização não exige que sejam acessadas outras informações como mensagens de WhatsApp, não violando, assim, a intimidade e privacidade do usuário.
Revisão de Decisões Automatizadas
Por fim, outro tema relevante que vem sendo cada vez mais abordado na justiça trabalhista é a revisão de decisões automatizadas em casos que envolvem trabalhadores de plataformas digitais de transporte. Muitos casos têm sido decididos nos tribunais com a negativa do exercício desse direito dos titulares, garantido pela LGPD no Art. 20. Os casos vão desde pedidos de restituição de contas em redes sociais, deferidos sem reconhecimento de dano moral e fundamentados no uso não profissional da conta, a ações trabalhistas nos Tribunais Regionais do Trabalho com pedidos de reconhecimento de vínculo combinadas com revisão de decisões automatizadas por exclusão dos condutores dos veículos da plataforma de forma unilateral[7].
Por outro lado, a quantidade de casos que envolvem o debate sobre decisões automatizadas, e a constatação de que este é o direito do titular mais discutido nos casos analisados, ressaltam a importância desse tema. Contudo, as decisões que abordam a aplicação do Art. 20 tendem a negar sumariamente as solicitações dos titulares, o que tem gerado preocupação, pois se trata de direito extremamente importante no contexto de digitalização das relações sociais e dos impactos que sistemas de inteligência artificial podem causar sobre direitos fundamentais.
Proteção de Dados e Inteligência Artificial
A utilização da Inteligência Artificial tem avançado no Brasil e no mundo, trazendo inúmeras preocupações com a proteção de dados pessoais, usados em larga escala para os mais diversos treinamentos de modelos de IA Generativa. Atenta a esse fato, em julho de 2023 a ANPD publica análise preliminar do Projeto de Lei nº 2338/2023 (proposta de regulação da IA no Brasil que está sendo objeto de debate no Congresso Nacional). A análise reforça o posicionamento da ANPD no fomento à inovação em IA, desde que feita de forma responsável, e conclui que a ANPD, por ser a autoridade responsável por zelar pela proteção de dados pessoais no país, assume também protagonismo na regulação de IA, no que se refere à proteção de dados pessoais.[8]
O documento conclui que é imprescindível a compatibilização das sobreposições e conflitos existentes entre o PL e a LGPD, em especial no que concerne às atribuições legais da ANPD, inclusive as de caráter fiscalizatório. Entre os aspectos de maior atenção, destacam-se situações em que sistemas de IA realizam tratamento de dados pessoais, notadamente em matérias como os direitos da pessoa afetada por sistema de IA e os direitos dos titulares, a correlação entre sistemas de IA de alto risco e o tratamento de dados pessoais, e os mecanismos de governança de IA e de proteção de dados pessoais.
Segundo a ANDP, para incentivar a inovação responsável, é necessário que o PL trate de forma mais específica sobre a proteção de dados pessoais nos sandboxes de Inteligência Artificial que envolvam o tratamento desses dados, em especial quanto a sistemas de IA de alto risco. Além disso, salienta a necessidade de disposições no Projeto de Lei sobre as funções e atribuições a serem desempenhadas pela ANPD nos sandboxes regulatórios de IA que envolvam o tratamento de dados pessoais.
Por fim, alerta a Autoridade em sua Análise Preliminar ao PL 2338 que, a fim de garantir segurança jurídica e convergência regulatória, é fundamental garantir o papel da ANPD como autoridade-chave no que se refere à regulação e à governança da IA no Brasil.
O último relatório da Comissão Temporária Interna sobre Inteligência Artificial no Brasil, de julho de 2024, prevê, no PL 2338/2023, a criação do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), integrado e coordenado pela Autoridade Nacional de Proteção de Dados, demonstrando o imbricamento entre proteção de dados e inteligência artificial e o papel preponderante da ANPD.
A Importância da Governança em Proteção de Dados e IA
Ao longo destes seis anos de promulgação da LGPD, titulares, empresas, tribunais, ANPD e sociedade em geral vêm caminhando para a construção conjunta de uma cultura de proteção de dados, com diversos temas já definidos. O aumento da relevância do tema no país torna cada vez mais imprescindível que as organizações estabeleçam e aprimorem sistemas de governança e controle de privacidade, afastando o risco de multas e processos judiciais.
Além disso, a crescente utilização da IA nas organizações e os riscos que tais tecnologias podem trazer à proteção de dados dos titulares também se traduz na necessidade de se articularem mecanismos de governança na sua utilização, com levantamento dos riscos, construções de políticas e treinamentos dos colaboradores.
[1] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd. Acesso em: 01/08/2024
[2] Vale frisar que, por serem instituições públicas, ambas não estão sujeitas a multas pecuniárias, mas às outras sanções previstas na Lei.
[3] Incidente que envolveu dados pessoais sensíveis (relacionados à saúde), de um número significativo de titulares, dentre os quais menores de idade.
[4] Disponível em: https://lbca.com.br/pdf/Relatorio-Painel-LGPD-nos-Tribunais.pdf. Acesso em: 01/08/2024.
[5] ibidem
[6] Disponível em: https://lbca.com.br/pdf/Relatorio-Painel-LGPD-nos-Tribunais.pdf. Acesso em: 01/08/2024.
[7] Nesse ponto, é importante ressaltar que esse assunto, até o momento, não está pacificado nos tribunais. Atualmente, não há um consenso sobre a relação existente entre os condutores e as plataformas, se seria trabalhista ou um contrato de prestação de serviço. A justiça do trabalho reconheceu, em algumas instâncias, o vínculo trabalhista. Um episódio emblemático no ano de 2023 foi o ajuizamento pelo Ministério Público do Trabalho (MPT) de uma ação civil pública perante a 4ª Vara do Trabalho de São Paulo, que decidiu pela obrigatoriedade de registro de carteira a todos os motoristas ativos e condenou uma plataforma digital a pagar 1 bilhão de reais em danos morais coletivos. A matéria chegou ao TST e, uma vez mantida a decisão de 1ª instância, atualmente se encontra no Supremo Tribunal Federal (STF) com reconhecida repercussão geral (Tema 1291), tratada no Recurso Extraordinário (RE 144633653).
[8] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-analise-preliminar-do-projeto-de-lei-no-2338-2023-que-dispoe-sobre-o-uso-da-inteligencia-artificial. Acesso em: 01/08/2024.