A lei surgiu como um avanço na regulamentação do uso de dados, mas a falta de rigor na aplicação de punições ameaça esvaziar sua influência
Em 2020, a Lei Geral de Proteção de Dados (LGPD) completa cinco anos desde sua implementação. Sancionada em 2018, ela demorou dois anos para ser implementada, e somente em agosto de 2021 começou a ser efetivamente aplicada. Antes que se tornasse vigente, houve uma corrida intensa para que as empresas se preparassem para se adequar à então nova regulação. E agora, quando ela completa esse simbólico “aniversário”, há pouco a comemorar.
As expectativas eram altas, mas os efeitos práticos que a LGPD poderia gerar foram gradativamente sendo desperdiçados, devido à perda de protagonismo da própria lei. Esse declínio aconteceu, inicialmente, em virtude das discussões acerca da PL 2630/2020, conhecida como “PL das Fake News”. Também sancionada em 2020, ela foi alvo de muitas controvérsias e, em 2024, foi aparentemente soterrada no Congresso Nacional. Nesse intervalo, porém, ela levantou poeira suficiente para ofuscar a relevância da LGPD.
Em paralelo, houve a escalada da inteligência artificial, que dominou a pauta tanto no âmbito de negócios como no da regulação dessa tecnologia. É curioso notar que IA é um tema que também resvala no uso de dados e, portanto, a LGPD poderia servir de base para regulamentar especificamente seu uso, mas não foi isso que aconteceu.
Ao longo desse tempo, a Agência Nacional de Proteção de Dados (ANPD) mostrou-se ineficiente no cumprimento das suas funções. Com estrutura precária e falta de autonomia, problemas bem documentados pela imprensa nacional, o órgão pouco pode fazer para fiscalizar o cumprimento da LGPD, ou mesmo avançar a discussão acerca dela.
Punição? Que punição?
Basta acompanhar as notícias para constatar a frequência com que vazamentos e exposições de dados ocorrem, geralmente sem resultar em punições para os responsáveis. E nos poucos casos em que uma punição é aplicada, raramente ela é divulgada.
O recente roubo de mais de R$500 milhões do Sistema de Pagamentos Brasileiros, possibilitado a partir da compra criminosa de senhas de acesso de funcionários da empresa C&M, teve grande repercussão nacional. Embora tenha sido um crime cometido mais a partir de engenharia social do que de vazamento de dados, teria sido uma ótima oportunidade para trazer a LGPD de volta à pauta, ou para discutir o papel da ANPD. Mas, novamente, não foi o que aconteceu.
Como disse anteriormente, a LGPD poderia ser o instrumento de base para várias discussões sobre o uso das redes sociais, os limites das big techs, o uso da inteligência artificial e outros tópicos que são tão relevantes quanto urgentes nos tempos atuais. Ela inclusive permite mecanismos de controle que provavelmente seriam mais efetivos do que aqueles que estão sendo apresentados nas novas propostas e discussões acerca desses temas.
A lei foi muito bem redigida, até porque ela seguiu muito dos conceitos que já haviam sido adotados com sucesso pela GDPR (da sigla em inglês para Regulamento Geral sobre a Proteção de Dados). Ainda que ela traga uma flexibilidade um pouco maior para alguns manuseios de dados que a lei europeia, a LGPD tem uma redação sólida e que, se aplicada conforme se previa, poderia ter tido efeitos muito positivos.
Sentenças foram promulgadas, sim. Desde sua implementação, foram registradas mais de 14 mil decisões relacionadas à LGPD no Supremo Tribunal de Justiça (STJ), segundo levantamento da Associação Nacional dos Profissionais de Privacidade de Dados. Mas esse número não reflete a realidade, já que boa parte dessas decisões não foram executadas, seja por recursos legais apresentados pelos sentenciados, seja pela própria morosidade e falta de fiscalização.
Além disso, esse número evidencia uma falha importante na aplicação da lei: encontramos mais elementos sobre judicialização envolvendo a LGPD e menos elementos de caráter administrativo, que poderiam ser tomados por uma agência reguladora, como a ANPD. Se o órgão tivesse o protagonismo esperado, essa instância administrativa teria força para favorecer um aculturamento sobre o uso responsável de dados dentro das organizações, e possivelmente nem teriam sido necessárias tantas ações judiciais.
Risco de esvaziamento
O que as empresas efetivamente mudaram na maneira de utilizar os dados por conta da LGPD? Não tenho conhecimento de qualquer pesquisa atual que tenha mapeado essa questão. Mas, baseado em minha experiência, eu arrisco dizer que boa parte delas apenas organizou seus dados e instalou mais pedidos de consentimento e cláusulas contratuais que lhes garantissem alguma segurança jurídica.
Se fosse o caso de uma transformação mais estrutural, dificilmente veríamos vazamentos de dados no volume que ocorre hoje. E, de maneira geral, a lei trouxe pouco ou nenhum impacto para o cidadão comum, que não dispõe de informação ou de transparência para entender como seus dados estão sendo usados, e como o mau uso deles está sendo penalizado.
Como apontei antes, a LGPD é um instrumento de lei bem construído, capaz de fazer frente à complexidade envolvida no uso de dados sensíveis. Só que, como todo instrumento sem utilização, está sendo esquecida, e pode se tornar mais uma entre muitas leis vazias que temos em nosso sistema jurídico. E isso será péssimo para todos nós, indivíduos ou empresas.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
