12° Seminário de Privacidade e Proteção de Dados do CGI.br: um balanço da LGPD e olhares prospectivos a partir da lógica multissetorial

O Seminário de Privacidade e Proteção aos Dados Pessoais do Comitê Gestor da Internet no Brasil (CGI.br) chegou a sua décima segunda edição, a segunda em caráter virtual, para debater o primeiro ano de vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) e as expectativas futuras para esse novo ordenamento. Pelo formato virtual, o evento possibilita uma ampla audiência e participação do público, mantendo a tradição dos painéis multissetoriais compostos por especialistas e atores do campo da proteção de dados no Brasil. Como colocou Marina Feferbaum (Fundação Getúlio Vargas)  na mesa de abertura, a LGPD entrou em vigor quando o digital foi necessário como o único meio de se comunicar, quando virou rotina. Assim, Bia Barbosa (CGI.br) complementou que esse é um evento fundamental para  trocas e reflexões, e para levar o debate para outros setores da sociedade que estão chegando agora, abordando os desafios trazidos pela pandemia, onde o Seminário acolhe muito bem esses novos atores. 

Dentre as avaliações da LGPD e suas novidades no ordenamento jurídico brasileiro, o diretor e fundador da Data Privacy Brasil, Bruno Bioni, destacou que a LGPD é uma inovação, pois é vocacionada para fixar direitos e deveres, sistematizando nos artigos 7 e 11, um verdadeiro “cardápio de bases legais”. Bioni chamou a atenção para um olhar futuro sobre como acomodar as três bases legais de consentimento, legítimo interesse e execução de contrato. O artigo 14, que dispõe sobre tratamento de dados de crianças e adolescentes, também foi bastante debatido. Mario Viola (Banco Mundial) ponderou que deve-se iniciar o trabalho no guia de bases legais na Autoridade Nacional de Proteção de Dados (ANPD), observando a experiência internacional, onde existe a abertura para tratar dados de crianças e adolescentes com outras bases legais adequadas. 

O Seminário mantém sua tradição de, além das discussões do momento e olhares prospectivos, trazer painéis mais conceituais, como foi o caso do Painel 2 sobre anonimização de dados e a proteção dos titulares. Nesse momento, foi trazido o conceito  de dados anônimos – casos em que o dado foi coletado de forma em que não houve qualquer processo de identificação – bem como foi destacada a distinção entre dados pseudonimizados (mera substituição) e pseudoanonimizados (quando ocorre o insucesso na aplicação de técnicas de anonimização). Foi também falado sobre a  utilização de bases de dados anonimizadas para a produção de  inferências em sistemas de aprendizado de máquina, com exemplos de casos concretos trazidos por Diego Machado (Universidade Federal de Viçosa). Machado colocou que existe um trade-off entre a proteção dos dados e a sua utilidade , quando se trata da utilização de bases de dados anonimizadas. O ideal é garantir o máximo de proteção aos titulares, garantindo a utilidade das bases de dados em mecanismos de aprendizado de máquina.

O tema da concentração de poder econômico e os dados pessoais também foi foco de um painel, alinhando-se a um dos principais debates do momento na arena internacional, o antitruste. Como exposto por Beatriz Kira (Universidade de Oxford), existe uma intersecção importante entre as leis de proteção de dados e o direito da concorrência, que pode gerar resultados benéficos. Marcus Vinicius de Sá (Conselho Administrativo de Defesa Econômica) chamou a atenção para o acordo de cooperação entre o CADE e a ANPD, que prevê a realização de estudos conjuntos para estimular a troca de conhecimentos técnicos entre essas duas agências, que possuem uma relação próxima e fundamental.

Tutelas individuais e coletivas foi outro tema de destaque dentre os painéis desta edição do Seminário. Juliana Oms (Instituto Brasileiro de Defesa do Consumidor) expôs que a tutela da proteção de dados pessoais é afetada pelo mercado de modo que existe uma relação de desigualdade estrutural entre o agente de tratamento e o titular de dados em razão das assimetrias técnicas, econômicas e de poder. Essas assimetrias vão se sobrepor a outras como de grupos vulneráveis. A tutela coletiva, portanto, reúne diversos litigantes numa unidade coordenada, possibilitando a condução de estratégias duradouras e maiores recursos financeiros, de maneira a gerar impactos mais significativos. A tutela coletiva é, assim, fundamental para responsabilização por danos que ocorrem para além do individual.

O relatório de impacto à proteção de dados (RIPD) foi foco de um painel sobre metodologias de análise de risco. Maria Cecília Oliveira Gomes (Data Privacy Brasil) destacou que a implementação de políticas públicas no Brasil que usam reconhecimento facial, coleta massiva de dados, tratamento de dados sensíveis e monitoramento de pessoas geram riscos aos direitos fundamentais e liberdades civis dos titulares de dados, sendo estes os referenciais do relatório de impacto à proteção de dados. Nesse sentido, o RIPD deveria ser conduzido antes do início da atividade, seja no setor público ou privado. Pontuou, ainda, a importância de se compreender o que se considera como alto risco, porque é dele que decorre o elemento de obrigatoriedade na condução do RIPD. Estela Aranha (Comissão de Proteção de Dados e Privacidade da OAB/RJ), reforçou a necessidade de se conduzir o RIPD anteriormente ao início das atividades de tratamento, especialmente quando há aplicação de algoritmos de aprendizado de máquina, destacando que o relatório de impacto é um documento que deve ser constantemente revisitado.

O último painel desta edição fez um balanço do primeiro ano de vigência da LGPD. Laura Schertel Mendes (Instituto Brasiliense de Direito Público) apresentou resultados de uma pesquisa acerca de como a LGPD tem sido aplicada pelos tribunais no país. Mais de 500 decisões que citam a LGPD foram analisadas. Destas, aproximadamente 200 decisões apresentaram fundamentação mais concreta na LGPD, das quais 49% das decisões citavam o Capítulo I da Lei que dispõe sobre as disposições preliminares, demonstrando o grau de maturidade e de familiarização com a lei – trata-se dos fundamentos, conceitos, âmbito de aplicação da lei e princípios. Segundo a pesquisadora, esse resultado é natural nesse momento inicial de maturação da LGPD no nosso ordenamento jurídico. Dentre os principais temas retratados pelas decisões estão o tratamento de dados na investigação criminal; publicidade de dados pessoais e reclamações trabalhistas; pedidos de provas judiciais e a LGPD; compartilhamento e acesso a dados do poder público; e fraude nas relações de consumo decorrente de uso indevido de dados.

Neste mesmo painel, Carlos Affonso de Souza (Instituto de Tecnologia e Sociedade – ITS-Rio) chamou a atenção pelo fato de a lei “ter pegado”, falando também dos usos e abusos da LGPD – referindo-se ao problema com a Lei de Acesso à Informação (LAI) – assim como outros projetos de lei que usam a linguagem, a estrutura e as soluções trazidas na LGPD para cuidar de outros problemas, como nos Projetos de Lei (PLs) das fake news e de Inteligência Artificial, sendo a LGPD um elemento protagonista. Souza classificou o tema de incidentes de segurança como o grande destaque deste primeiro ano de LGPD, por ser a face visível da proteção de dados para os cidadãos – são os vazamentos que impactam o cidadão no dia a dia. Diante desse quadro, demonstrou preocupação com a criação de uma cultura de proteção de dados reativa – conscientização gerada em cima de repetidas violações de dados pessoais, o que poderia prejudicar uma verdadeira cultura de proteção de dados.

Além dos painéis multissetoriais, o Seminário promoveu mais uma vez os keynotes – palestras com convidados internacionais e nacionais em debates e exposições de temas contemporâneos. O primeiro foi de Bertrand de La Chapelle (Internet & Jurisdiction Policy Network), que apresentou o projeto Datasphere, uma nova abordagem para tratar de fluxo de dados transnacionais. Segundo La Chapelle, a atual abordagem baseada em território não funciona. É preciso aprimorar a confiança para fluxo de dados transfronteiriços: preservar o padrão da camada técnica, ao mesmo tempo que devemos promover confiança e padrões de usos corretos dos dados. Estamos falando de fronteiras territoriais e também virtuais, como das empresas (redes sociais, nuvens, etc.). Ele lembrou que a localização do armazenamento e processamento não é tudo o que importa, e que devemos questionar quem coleta e quem processa os dados, para quem, e qual o propósito e o uso dos dados, lembrando o caso da Cambridge Analytica-Facebook de 2018. Sua reflexão final foi de que é muito difícil harmonizar práticas globalmente, sendo preciso pensar em interoperabilidade. A Internet é uma conjunção de redes diferentes, pelo protocolo TCP/IP. Temos estruturas de governança diferentes o tempo todo, em plataformas digitais, em governos, em times de futebol, portanto, deve haver um respeito mínimo às regras de interação.

Outro keynote de destaque foi da diretora da Autoridade Nacional de Proteção de Dados (ANPD), Miriam Wimmer, que falou sobre o processo de construção de uma cultura de proteção de dados. A partir de uma retomada histórica, Wimmer lembrou que antes da LGPD, já existiam outras leis sobre privacidade, só não havia tanta conexão, pois muitas normas eram setoriais. Esse modelo fragmentado de proteção, pouco a pouco, torna-se insustentável, porque a economia digital é marcada pela crescente conexão entre setores distintos. O ano de 2018, com a aprovação da LGPD, é um marco, mas não é o fim da história de uma evolução que continua acontecendo. Destacou o contexto da pandemia, onde houve decisões judiciais que interpretam os conceitos da lei, mesmo quando ela ainda não estava em vigor.

Wimmer focou no processo de construção da ANPD e as pendências que ainda estão em andamento, como ter recursos próprios. Ela resumiu o papel da Autoridade em três pontos: 1) ouvir, compreender titulares, agentes de tratamentos, compreender dificuldades, fazer propostas e estar atentos às demandas da sociedade; 2) ter um papel educador, central na mudança de cultura de proteção de dados, mas também interpretando a lei e formando convicções em tempo real, simultaneamente – o que é uma missão desafiadora; e 3) a aplicação de sanções – ainda que por uma abordagem reparadora de condutas, pautada em diálogo. Destacou que a competência de funcionar como órgão central de interpretação da lei é crucial na formação de uma cultura, e que a coordenação interinstitucional é um dos grandes desafios nessa mudança de cultura, já que existe certa disputa interpretativa entre órgãos. Outro destaque de sua fala foram os mecanismos corregulatórios, já que a ANPD não seria capaz de compreender e regular minuciosamente cada setor da sociedade e agentes em um país tão amplo e com atividades tão diversas. Nesse ponto, falou também do Conselho Nacional de Proteção de Dados (CNPD), onde a LGPD, de maneira sábia e atenta a outros modelos, previu o conselho consultivo multissetorial com papel determinante em recomendações, sendo um espaço institucionalizado de participação da sociedade.

A regulação responsiva foi a grande reflexão pela qual optou a ANPD, revelando-se como um de seus pontos focais neste primeiro ano, sendo um processo de discussão muito rico segundo Wimmer. Neste modelo, a sanção ocorre a partir de uma abordagem gradual, escalonada, contrária a uma abordagem repressiva do modelo de comando e controle. Finalizando sua fala, Wimmer ressaltou que a Autoridade ainda vive uma fase de experimentação, ao mesmo tempo em que vivemos um período de conscientização de todos, pensando em impactos coletivos. A ideia é atingir o direito a um ambiente sustentável no qual os dados possam fluir e serem tratados de uma maneira segura, responsável, sempre tendo em conta interesses e direitos de titulares. 

Nesse sentido, o keynote de Miriam Wimmer foi bastante necessário e proveitoso para atualizar a comunidade de privacidade e proteção de dados do Brasil sobre os avanços e as perspectivas da ANPD. Wimmer apresentou números acerca do primeiro ano da Autoridade, como consultas à sociedade (7); participações em eventos externos (313); portarias publicadas (17); acordos de cooperação técnica (4); dentre outras atividades como ações de fiscalização e relacionamento com a sociedade. 

O Seminário continua, em seu 12° ano, como o principal momento e espaço do ano para alinhamento, debates e reflexões acerca da privacidade e proteção de dados pessoais no Brasil, sem perder de vista o passado e sempre olhando para o futuro.