Passado o carnaval, o ano oficialmente começou. E que ano! O cenário geopolítico anuncia uma movimentação histórica e de alterações substanciais na dinâmica econômica, política e social global. Sejamos mais ou menos otimistas, o atual contexto é permeado por avanços tecnológicos jamais vistos – sobretudo com as novas ferramentas de inteligência artificial (IA), IA generativa e assistentes virtuais[1] -, e essa “batalha” por espaços e poder mercadológico, além da busca pela democratização de acesso impactam toda a sociedade nos seus mais diversos âmbitos. Isso faz com que tenhamos tanto que nos adaptar à integração dessas tecnologias no nosso cotidiano pessoal e profissional, quanto enrobustecer os cuidados relativos às nossas informações circulando entre essas empresas, organizações e Estados.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Há já algum tempo que as preocupações relativas à proteção de dados e à adequação à Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018, estão em cena nos debates e nas arenas regulatórias nacionais (e internacionais, por óbvio). Sejam por estudos e pesquisas de instituições cientificas o, seja pela perspectiva de outros atores da sociedade civil, dos reguladores ou do mercado, é uníssona a necessidade de maiores esforços em prol da segurança nos fluxos de dados pessoais.
A fim de ilustrar tal assertiva, de modo a permitir que o leitor dimensione os riscos dos quais possivelmente (se não provável) estejamos expostos, rememoram-se alguns dos resultados já divulgados no evento CPDP Latam de 2024[2], da pesquisa conduzida pela FGV Direito Rio, intitulada “Proteção de dados em marketplaces no Brasil: uma análise empírica”[3], cujo Sumário Executivo pode ser lido aqui.[4]
Na primeira fase deste projeto, foram analisadas as políticas de privacidade (“avisos”) de 100 empresas renomadas que oferecem serviços e-commerce (base de dados anonimizada e disponível online[5]), verificando o cumprimento dos requisitos exigidos por lei. Já na segunda fase, por meio de simulação e avaliação do exercício de direitos garantidos aos titulares de dados (nós, usuários das plataformas e consumidores), realizaram-se requisições de acessos e informações pelos canais apresentados por elas próprias. Perante o direito ao acesso facilitado às informações (art. 9º da LGPD), dentre os resultados alarmantes, destacam-se:
- Conforme a obrigação de disponibilizar o nome e o canal de contato com o encarregado pelo tratamento de dados da empresa (o “DPO”[6], portanto, a pessoa indicada para intermediar a relação entre a empresa, o titular de dados e a Autoridade Nacional de Proteção de Dados, pela definição do artigo 5º, inciso VIII, da LGPD), prevista no § 1º do artigo 41 da LGPD, verificou-se que 29% não atendem a determinação legal;
- Apesar do inequívoco dever de indicação específica das finalidades para a legitimação dos tratamentos de dados pessoais (art. 9º, inciso I, da LGPD), percebeu-se que um percentual razoável de empresas infringe a demanda cogente (23%);
- Quando provocadas, 55% cumpriram o prazo de resposta determinado por lei (a princípio, de 15 dias, conforme o art. 19, inciso II, da LGPD), enquanto 29% jamais responderam as solicitações de acesso;
- Dentre aquelas que se manifestaram, 40% concederam os acessos aos dados pessoais tratados.
- Daquelas que responderam sem disponibilizar os acessos, se recusaram ou sequer responderam, as motivações foram a interrupção do contato (32,3%), a alegação de inexistência de dados pessoais apesar dos cadastros efetuados pelos pesquisadores (32,3%), responder com a simples indicação do link de acesso própria política de privacidade ou com informações padrão desta (29%), a recusa imotivada (3,2%) e até a deleção imotivada dos dados (3,2%);
- Dentre aquelas que se manifestaram, 40% concederam os acessos aos dados pessoais tratados.
- Por fim, face aos pedidos de exclusão dos dados, 47% das empresas confirmaram e, dessas, 8% continuaram enviando e-mails de divulgação e marketing. Aquelas que não responderam a solicitação argumentaram cumprimento de obrigação regulatória (1%), dados já excluídos anteriormente, cadastro não encontrado (8%), realização de “bloqueio” (2%) e, ou não informaram o motivo ou não responderam (84%).
Se refletir sobre a efetividade da LGPD a partir desses números preocupa, o cenário real pode ser ainda pior. A elaboração das políticas de privacidade representa apenas um pequeno – se não ínfimo – elemento dos programas de conformidade à LGPD que precisam ser implementados. Esse documento (“aviso”) revela apenas a “ponta do iceberg” diante de todas as medidas necessárias para garantir a proteção de dados pessoais. Sabe aquela “bela fotografia” familiar para os cartões de Natal?! Esses termos deveriam representar uma fiel imagem do que foi adotado internamente, embora sabidamente possa ser somente um conjunto de informações “daquilo que deve ser feito e publicizado”. De qualquer forma, ainda que seja assim, aparentemente não houve sequer uma atenção ao que o tal do “inglês (vai) vê(r)”.
Portanto, fica evidente o longo caminho a ser percorrido para se alcançar um ambiente seguro. A descoberta de lacunas tão elementares nessas políticas demanda esforços adicionais substanciais. Na contramão da percepção comum acerca da atuação da Autoridade Nacional de Proteção de Dados (ANPD), que enfatiza a necessidade de reforço das medidas sancionatórias e clama pelas vultuosas multas de “50 milhões de reais” (art. 52, inciso II, da LGPD), destacamos o caráter responsivo da regulação, fundamentado nas premissas de “persuasão e cooperação” e ancorado no escalonamento piramidal de sanções[7]. Essa decisão político-regulatória proclama a disseminação da responsabilidade e exige uma postura mais proativa de outros atores, estratégia que se entende eficaz para aprimorar a proteção e a sustentabilidade do ambiente e objeto regulatório. Nesse sentido, “vestimos a camisa” e ficamos “de olho”.
Diante do reconhecimento do potencial dos instrumentos de publicização de políticas e procedimentos internos relativos às medidas de governança exigidas por Lei, bem como da importância da atuação de instituições científicas e da sociedade civil no fomento da cultura centrada na proteção de dados, perseguimos mais dados, dessa vez, relativos às transferências internacionais.
Quem acompanhou a intensa agenda da ANPD no ano anterior, provavelmente estudou a Resolução CD/ANPD n° 19, de 23 de agosto de 2024, que aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais. Segundo Rodrigo Santana dos Santos, Coordenador-Geral de Normatização da Autoridade, esse instrumento exerce dupla função: promover a maior segurança jurídica para a introdução dos agentes de tratamento de dados no comércio e demais relações transfronteiriças, e proporcionar maior proteção aos titulares de dados sujeitos a essas transações[8].
Ante a relevância e aproximação da total vigência da norma, em agosto deste ano (art. 2º, parágrafo único), com a mesma metodologia e coordenadores, novo grupo de pesquisa[9] analisa as informações constantes em Políticas de Privacidade (“avisos”) concernentes à Resolução antes do encerramento do prazo de vacância, no intuito de cotejar com aquelas que serão incluídas após tal marco temporal.
Atenção spoiler: dentre as mais de 170 empresas com serviços e-commerce avaliadas, 36,5% sequer mencionam a realização dessas transferências (base de dados privada até a conclusão do projeto, em setembro deste ano). Ora, tratando-se de comércio eletrônico, é possível no mínimo desconfiar, por exemplo, de contratações de serviços de armazenamento ou software em nuvem (cloud) que, na esmagadora maioria das vezes, são oferecidos por grandes empresas cuja infraestrutura localiza-se fora do país.
Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email
A ampliação dos atores e dos cenários de competências regulatórias plurais nos processos de tratamento de dados pessoais gera proporcional efeito sobre as assimetrias informacionais nessas relações. Como remédio, “prescrevemos” e cobramos transparência. Colecionando dúvidas remanescentes como, por exemplo, o modo de operacionalizar esse princípio e de identificar “quem vigia os vigilantes”, além do atual grau de comprometimento dos agentes desse nicho de mercado em relação aos titulares de dados, seguiremos estudando para, em breve, anunciar os próximos “capítulos” dessas perquirições.
[1] São exemplos o ChatGPT, DALL-E, DeepSeek, Gemini, Grok, Midjourney, GitHub Copilot, Stable Diffusion, Adobe Firefly e outros.
[2] Painel “Direitos dos titulares em ação: marketplaces e plataformas”, do dia 17 de julho de 2024, no evento CPDP LatAm 2024. Disponível em: https://www.youtube.com/watch?v=mAvbG7XXy0c.
[3] Por meio do Programa Institucional de Bolsas de Iniciação Científica (PIBIC), da FGV Direito Rio, sob a coordenação do professor Nicolo Zingales e co-coordenação da pesquisadora Erica Bakonyi, os alunos(as) da graduação Maria Eduarda Araújo, Felipe Taves, Júlia Mendonça Sérgio Ferreira e assistência de Isadora Helena Rodrigues Santos, conduziram a pesquisa intitulada “Proteção de dados em marketplaces no Brasil: uma análise empírica”, entre os anos 2022 e 2024. O relatório está disponível em: https://direitorio.fgv.br/sites/default/files/arquivos/relatorio-protecao-de-dados-em-marketplaces-no-brasil.pdf.
[4] Disponível em: https://direitorio.fgv.br/sites/default/files/arquivos/sumario-executivo-protecao-de-dados-em-marketplaces.pdf
[5] Base de dados anonimizada compartilhada na seção “Publicações” da página principal do site do NEEC, disponível em: https://direitorio.fgv.br/pesquisa/neec-nucleo-de-estudos-em-e-commerce
[6] Data Protection Officer (DPO)
[7] AYRES, Ian; BRAITHWAITE, John. Responsive Regulation. Transcending the Deregulation Debate, Oxford: Oxford University Press, 1992
[8] GOV. ANPD aprova regulamento sobre transferências internacionais de dados. ANPD. Publicado em 23 de agosto de 2024. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/resolucao-normatiza-transferencia-internacional-de-dados.
[9] Projeto de pesquisa realizado sob a coordenação de Nicolo Zingales e Erica Bakonyi, junto com outros alunos da graduação da FGV Direito Rio (quais sejam: Larissa Tito, Lucas Tanure, Pedro Brilhante, Bernardo Lavina, Clarissa Perlingeiro e Cristina Portela), novamente por meio do Programa Institucional de Bolsas de Iniciação Científica (PIBIC), desde agosto de 2024 (estudo em andamento).
