lgpd

Promulgada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem como intenção regulamentar o tratamento de dados, sejam em meio físico ou digital, com o objetivo de protegê-los para garantir o direito fundamental à liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Em agosto de 2023 a LGPD comemora cinco anos de promulgação, e dentro deste período, puderam ser percebidas algumas vantagens competitivas nas empresas que realizaram sua adequação à lei, seguem algumas delas:

Aumento da reputação pública da empresa – Percebe-se na grande mídia que o assunto privacidade e proteção de dados pessoais vem sendo abordado de forma abrangente, por isso as empresas que demonstram comprometimento com os dados de seus clientes e parceiros aumentam sua reputação perante o público.

Além disso, uma das sanções que podem ser aplicadas pela ANPD é a publicização da infração, portanto, mesmo se o valor de eventual multa for pago, os danos à reputação da empresa podem ser irreversíveis, ainda mais considerando que as pessoas tendem a consultar o nome da empresa em buscadores on-line antes de fazer negócios, razão pela qual, tal infração poderá ser levada em consideração negativamente, afetando a reputação pública.

Possibilidade de novas estratégias de Marketing – As empresas têm utilizado o fato de estarem adequadas à LGPD e preocuparem-se com a privacidade dos dados para conquistar a confiança de seus parceiros e clientes, pois conforme estudo encomendado pela Veritas Technologies e conduzido pela 3GEM[1], quase 69% dos consumidores brasileiros afirmaram que deixariam de comprar de uma empresa que não protege seus dados, e 60% que abandonariam sua lealdade a uma determinada marca e considerariam buscar um concorrente, ou seja, mais da metade dos consumidores consideram a proteção de seus dados como fator determinante para escolher uma empresa.

Vantagem competitiva em face de instituições não adequadas – Na dúvida entre duas empresas que prestam os mesmos serviços e aparentemente possuem a mesma qualidade, a empresa que está adequada à LGPD e possuí uma assessoria jurídica tem mais chance de ser escolhida, pois ela demonstra a preocupação com os dados que serão tratados na dinâmica da relação contratual. Além disso, a LGPD determina que uma empresa que compartilha dados pessoais na qualidade de Controladora, permanece sendo responsável por estes dados, portanto empresas que estejam adequadas evitarão fazer negócios com as que não estão, como medida de segurança dos dados pessoais que seriam compartilhados durante a dinâmica contratual.

Mitigação de possíveis prejuízos financeiros – A LGPD prevê sanções para os agentes de tratamento que não estejam adequados à legislação, portanto investir em uma adequação e possuir uma assessoria é essencial para evitar tais prejuízos financeiros.

Mitigar danos e penas administrativas mais gravosas – A ANPD levará em consideração se a empresa adotou mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD antes de fixar a sanção, portanto, em caso de incidente de segurança ou de descumprimento da lei, a empresa adequada e que possuí uma assessoria teria uma pena menor que a que não possuí.

Divisão contratual da responsabilidade por danos ou incidente – De acordo com a LGPD, os Controladores respondem solidariamente por atos dos Operadores quando estão diretamente envolvidos no tratamento, porém, contratualmente é possível dividir as reponsabilidades e delimitar a possibilidade de ressarcimento ao Controlador em caso de condenações, multas ou danos que o Operador tiver dado causa em decorrência do tratamento inadequado de dados pessoais.

Contenção de danos decorrentes de incidentes de segurança – Todas as empresas podem sofrer um incidente, porém as que já estão adequadas terão planos de gestão destes incidentes que auxiliarão a lidar com a situação, além disso, a assessoria jurídica é essencial para orientar a empresa durante a apuração deste incidente trazendo as medidas jurídicas cabíveis com o fim de mitigar os prejuízos e evitar danos colaterais.

Revela possíveis vulnerabilidades desconhecidas pela instituição – Com o mapeamento das operações de tratamento de dados e a conscientização dos colaboradores é possível levantar vulnerabilidades desconhecidas pela empresa, possibilitando a definição de planos de ação e medidas para solucioná-las.

Aumentar a consciência e fomentar uma cultura de proteção de dados – Segundo dados levantados pela Verizon[1]  em seu relatório de investigação de violação de dados ocorridas em 2022, 82% dos incidentes foram ocasionados pela interação humana, portanto é essencial que os colaboradores tenham sido treinados para saberem como devem realizar o tratamento de dados pessoais e evitar que deem causa a um incidente, além disso, é importante que a empresa possua políticas internas orientando seus colaboradores para que estes possam ser responsabilizados caso realizem o tratamento inadequado de dados, bem como para demonstrar à ANPD que a empresa tomou as medidas necessárias para evitar a ocorrência de incidentes.

Aumento da possibilidade de negócios internacionais – Existem diversas normas internacionais que regulamentam privacidade e o tratamento adequado de dados pessoais que foram promulgadas antes da LGPD, considerando isto, muitas empresas multinacionais ou estrangeiras realizam negócios apenas com empresas que demonstrem o comprometimento com a privacidade e proteção de dados.

É importante ressaltar que a adequação à LGPD é obrigatória para todos os agentes de tratamento, ou seja, todos aqueles que realizam o tratamento de dados pessoais, e como já ficou demonstrado a partir da primeira sanção aplicada pela ANPD, a Autoridade não direcionará sua atuação apenas para empresas de grande relevância nacional ou multinacionais, mas para todos os agentes de tratamento, mesmo os de pequeno porte, razão pela qual a contratação de assessoria jurídica é essencial para evitar sanções, bem como para demonstrar ao mercado a preocupação da empresa com privacidade e proteção de dados pessoais.

[1] https://www.veritas.com/en/uk/news-releases/2018-05-15-consumers-vow-to-punish-businesses-that-fail-to-safeguard-their-data-and-reward-those-that-put-data-protection-first

[2] https://www.verizon.com/business/resources/reports/dbir/

No dia 06/07/2023, em decisão inédita no país, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou sua primeira sanção, direcionada a uma micro empresa de telemarketing, por descumprimento à Lei Geral de Proteção de Dados Pessoais (LGPD). A lei foi promulgada em 2018, entrando em vigor em 2020, trazendo sanções que poderiam ser aplicadas por seu descumprimento, porém ainda não havia regulamentação sobre a dosimetria das penas, que foi publicada em 28/02/2023.

O processo administrativo para apuração da conduta foi instaurado em março de 2022, com a intenção de apurar se a empresa teria realizado tratamento de dados pessoais sem fundamento em base legal, deixado de nomear um encarregado pelo tratamento de dados, além das acusações de ausência de registro de operações de tratamento, não envio de relatório de impacto, bem como o não atendimento a requisições realizadas pela Autoridade, condutas vedadas pela legislação.

Conforme informações publicadas no despacho, as sanções foram:

• Advertência, sem imposição de medidas corretivas, pela ausência de um encarregado (infração ao artigo 41 da LGPD); e
• Multa simples, no valor de R$7.200,00, pela ausência de base legal para o tratamento de dados pessoais (infração ao art. 7° da LGPD), e no valor de R$7.200,00, pelo não fornecimento de documentos e o suporte à atuação de fiscalização da autoridade (infração ao art. 5º do Regulamento de Fiscalização), totalizando R$14.400,00.

Percebe-se a relevância da decisão, pois nela a ANPD demonstra como será a sua atuação, deixando claro que não terá foco apenas nas grandes empresas, podendo a próxima sanção ser aplicada a agentes de tratamento de qualquer porte, mesmo se este for micro ou pequena empresa.

Apesar de ser considerada como uma micro empresa de telemarketing, ela não se enquadrou como agente de tratamento de pequeno porte. De acordo com a Coordenação-Geral de Fiscalização, a empresa não comprovou que não fazia tratamento de alto risco, que é uma das condições essencial para o enquadramento, e por esta razão, não fez jus aos benefícios trazidos para este tipo de empresa, como a possibilidade de não designação do encarregado, fazendo com que fosse aplicada sanção.

Mesmo considerando que o valor da penalidade imposta possa não parecer vultuoso, o impacto à reputação desta empresa é muito significativo, tendo em vista que toda pesquisa na internet sobre ela, trará informações sobre as infrações que cometeu, além disso, o valor demonstra que a Autoridade levará em conta critérios trazidos na lei e regulamento sobre a dosimetria das penas, fixando valores condizentes com o porte do infrator.

Muitas empresas têm postergado sua adequação aos ditames da LGPD, pois tinham a crença que a ANPD iria começar sua atuação em grandes empresas, nas que tivessem relevância nacional ou multinacionais, porém a sanção demonstra que todos os agentes de tratamento devem estar aderentes à lei, razão pela qual a contratação de assessoria jurídica para apurar o nível de adequação, auxiliar na conformidade e nas respostas aos titulares e à Autoridade é essencial para evitar sanções, bem como para demonstrar ao mercado a preocupação da empresa com privacidade e proteção de dados pessoais.

O tratamento de dados pessoais pode gerar riscos, de modo que a Lei Geral de Proteção de Dados Pessoais – LGPD impõe que os agentes de tratamento devem adotar medidas eficazes para proteger os dados pessoais dos titulares. No entanto, mesmo adotando tais medidas, as empresas estão suscetíveis a sofrer um incidente de segurança.

Desse modo, na ocorrência de um incidente de segurança com dados pessoais, verificando que tal incidente possa acarretar risco ou dano relevante aos titulares, a lei estabelece que deve haver, por parte do controlador, a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados.

Não há prazo estabelecido na legislação sobre quando o incidente deve ser comunicado, mas apenas que seja comunicado em “prazo razoável”, a ser definido pela ANPD. Assim, recentemente a ANPD recomendou que a comunicação de incidente seja realizada em até 2 (dois) dias úteis da ciência do fato.

Outrossim, a lei estabelece que essa comunicação deve conter no mínimo:

• a descrição da natureza dos dados pessoais afetados;
• as informações sobre os titulares envolvidos;
• a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
• os riscos relacionados ao incidente;
• os motivos da demora, no caso de a comunicação não ter sido imediata; e
• as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Ocorre que, além das disposições mínimas que a comunicação do incidente deve conter, restam dúvidas não esclarecidas pela lei, como o que seria considerado um risco de dano relevante e até mesmo sobre a definição de um prazo concreto para comunicação do incidente. Visando esclarecer essas questões, a ANPD abriu consulta pública para regular de maneira mais detalhada sobre a comunicação de incidentes de segurança.

Nessa linha, a minuta da resolução considera que um incidente de segurança com dados pessoais pode acarretar risco ou dano relevante aos titulares quando tiver potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos seguintes critérios:

• dados sensíveis;
• dados de crianças, de adolescentes ou de idosos;
• dados financeiros;
• dados de autenticação em sistemas; ou
• dados em larga escala.

Outro ponto abordado pela minuta da resolução é o prazo de comunicação de incidente de segurança, que deverá ser realizado em 3 (três) dias úteis, ressalvada a existência de legislação específica, contados do conhecimento do incidente de segurança.

Por fim, a minuta da resolução estabelece que o controlador deverá manter o registro de incidentes de segurança com dados pessoais, inclusive daqueles não comunicados à ANPD e aos titulares.

A Consulta Pública sobre a minuta de resolução referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais pode ser encontrada no link abaixo:

https://www.gov.br/anpd/pt-br/assuntos/noticias/aberta-consulta-publica-sobre-norma-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais/Minuta_Regulamento_CIS._CD._semmarcas2.pdf

Enunciados são instrumentos deliberativos que têm a finalidade de trazer a interpretação de uma legislação. No caso em tela, a ANPD publicou enunciado com efeitos vinculativos sobre o artigo 14º da Lei Geral de Proteção de Dados Pessoais (LGPD). O supracitado artigo define como deverá ser realizado o tratamento dos dados pessoais das crianças e adolescentes.

A celeuma instalou-se pois o parágrafo 1º do artigo em questão afirma que o tratamento deve ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, e de acordo com “Estudo Preliminar” publicado pela ANPD intitulado “Hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes”, muitos estudiosos estavam trazendo interpretações diversas sobre o artigo.

Uma das correntes defendia que a única hipótese legal para o tratamento deste tipo de dados seria o consentimento, outros defendiam que outras hipóteses legais previstas nos artigos 7º e 11º da LGPD, tais como execução de políticas públicas e realização de estudos por órgãos de pesquisa, poderiam legitimamente amparar o tratamento, além destes entendimentos, alguns defendiam que o tratamento destes dados seria equiparado ao dos dados sensíveis, portanto deveriam ser respeitadas as bases legais trazidas no artigo 11º, que traz as hipóteses para tratamento de dados sensíveis.

Além da controvérsia jurídica, o tema é relevante considerando a possibilidade de exposição das crianças e adolescentes a perigos, bem como a necessidade de proteção de sua privacidade, pois diversas legislações garantem proteção diferenciada a este tipo de pessoas. Segundo o estudo muitos destes indivíduos tem seus dados inseridos em ambientes virtuais antes mesmo de seu nascimento, por exemplo, por meio de aplicativos desenvolvidos para gestantes, gerando riscos como exploração comercial, uso indevido de dados e discriminação de crianças e adolescentes.

Ao fim do estudo, chegaram à conclusão de que podem ser aplicadas as bases legais previstas nos artigos 7º e 11º da LGPD, não sendo o consentimento a única base legal que permite o tratamento deste tipo de dados pessoais, porém deverá ser observado sempre o princípio do melhor interesse do titular considerando a sua vulnerabilidade. O Enunciado CD/ANPD Nº 1, de 22 de maio de 2023 define: “O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.”.

Depois de passar por extensa consulta pública, a Autoridade Nacional de Proteção de Dados (ANPD) publicou em 27 de fevereiro de 2023 a Resolução que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. A medida era aguardada por muitos, já que a dosimetria é o método que orienta a escolha da sanção mais apropriada para o caso concreto e, apesar das sanções estarem previstas na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n. 13.709/2018), não eram aplicadas pela ANPD por uma pendência de regulamentação. Assim, com a nova resolução a ANPD poderá cumprir plenamente sua função sancionadora.

O Regulamento estabelece as circunstâncias, as condições e os métodos de aplicação das sanções, que levarão em conta o caso concreto, a realidade dos agentes envolvidos e os cuidados que foram tomados nos tratamentos de dados, para definir a sanção mais adequada, garantindo a proporcionalidade entre a sanção aplicada e a gravidade da conduta. Ainda, somente haverá a aplicação da sanção por decisão fundamentada, após o processo administrativo, com garantia à ampla defesa, ao contraditório e ao devido processo legal.

Para aplicação das penas serão levadas em consideração as atitudes do infrator, eventual vantagem por ele auferida com a situação, a condição econômica dos agentes envolvidos, a existência de reincidência, o grau do dano causado, quais os mecanismos adotados para minimizar os danos, se houve a adoção de políticas de governança em proteção de dados, entre outras circunstâncias da situação fática.

As sanções são as mesmas previstas na LGPD:

• advertências;
• multas;
• publicização da infração;
• bloqueio e eliminação dos dados a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração;
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a Infração; e
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Ainda, o Regulamento estabeleceu uma classificação para as infrações, segundo sua gravidade, natureza e direitos pessoais afetados:

• Leve: quando não verificada nenhuma das hipóteses relacionadas abaixo;

• Média: quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave.

• Grave: quando for verificada a hipótese estabelecida acima e, cumulativamente, pelo menos uma das hipóteses abaixo:

1. Envolver tratamento de dados pessoais em larga escala;
2. O infrator auferir ou pretender auferir vantagem econômica;
3. Implicar risco à vida dos titulares;
4. Envolver tratamento de dados pessoais sensíveis ou de crianças, adolescentes ou idosos;
5. Tratamento realizado sem amparo em uma base legal;
6. Tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
7. Adoção sistemática de práticas irregulares.

Destaca-se que a ANPD poderá aplicar as sanções administrativas para casos ocorridos desde 1º de agosto de 2021, quando os artigos que versam sobre o tema, previstos na LGPD, entraram em vigor.

Assim, as empresas devem estar atentas ao adequado tratamento de dados pessoais, para evitar a aplicação das sanções, sendo que algumas delas tem o potencial de gerar mais impactos que o valor de uma multa, como, por exemplo, a publicização da infração, sanção esta que pode abalar a confiança conquistada perante os consumidores, ou mesmo a proibição total do exercício de atividades relacionadas ao tratamento de dados, que pode inviabilizar toda a operação da empresa a depender de sua atividade precípua.

Com o Regulamento, a ANPD está devidamente aparelhada para exercer sua função coercitiva, podendo as organizações que ainda não se adequaram à LGPD ou que violem seus dispositivos responder pela sua conduta em processo administrativo.

As NFTs, sigla para “Non-Fungible Token” (tokens não-fungíveis), vêm ganhando destaque na atualidade como consequência de uma digitalização das atividades cotidianas. Trata-se de um símbolo digital insubstituível por similares (infungível) e imutável, baseado em blockchain.

No caso em questão, o artista Mason Rothschild criou, em 2021, 100 (cem) NFTs para o projeto “MetaBirkin”, embasadas nas bolsas de luxo Birkin, da grife Hermès, com cores mais vivas e caricaturais do que os materiais tradicionalmente utilizados por sua titular. Inconformada com a situação, a Hermès propôs ação judicial contra o artista, por violação e diluição de sua marca registrada.

Rothschild, por sua vez, defendeu sua arte, afirmando estar de acordo com a Primeira Emenda à Constituição dos Estados Unidos, a qual impede restrições à liberdade de expressão, em um claro apelo à liberdade artística.

Para o júri federal responsável pelo julgamento do caso, a situação violou a marca registrada da Hermès, além de ter o potencial de confundir os consumidores e de induzi-los a acreditar que o projeto estaria associado à grife. Assim, reconheceu a violação de marca registrada, diluição de marca e cybersquatting (cyberposse), condenando o artista ao pagamento de US$ 133.000,00 a título de indenização.

Destaca-se que o caso é um dos primeiros a tratar sobre violação de propriedade industrial e NFTs, e, apesar da decisão não ser vinculativa, pode influenciar outras decisões envolvendo uso desautorizado de marcas em NFTs, inclusive no Brasil.

Com a diminuição de barreiras entre mercado físico e virtual, discussões como esta serão cada vez mais comuns, com a necessidade de sopesar princípios e direitos para atingir uma conclusão no caso concreto.

Desde que a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor as empresas têm empreendido recursos e esforços para se adequar aos ditames legais através da produção de políticas, atualização de documentos, instauração de medidas de segurança, revisão de processos de tratamento de dados pessoais, entre outras medidas, que são de suma importância, porém, como apontado pela Verizon[i] em seu relatório de investigação de violação de dados ocorridas em 2022, 82% dos incidentes foram ocasionados pela interação humana.

O dado trazido pelo relatório demonstra a importância de as instituições possuírem políticas bem estruturadas e fomentarem internamente uma cultura de proteção de dados, para que todos os colaboradores e parceiros estejam cientes de suas responsabilidades e sobre a forma adequada de tratamento destes.

É essencial que sejam realizadas capacitações e treinamentos com todos que tratam dados pessoais nas empresas, para que conheçam as políticas internas, as obrigações da lei e entendam a forma correta de tratamento dos dados pessoais. Além disso, estas políticas têm de estar estruturadas de forma clara, pois boa parte dos incidentes são causados pelo tratamento inadequado de dados realizado por alguém da própria empresa.

A Justiça do Trabalho, até o momento, vem se posicionando no sentido de confirmar as demissões por justa causa de empregados que realizaram o tratamento inadequado de dados pessoais, tendo em vista que tais atos, independente da intenção, são considerados como falta grave, pois ao lidar com os dados pessoais, os colaboradores devem observar a lei e as políticas internas da empresa sobre Segurança da Informação e Proteção de Dados pessoais.

Portanto, o empregado que venha a descumprir normas internas de tratamento de dados pode incorrer em prática grave, passível, nos termos do Art. 482 da CLT, a sofrer a penalidade disciplinar mais severa a ser aplicada ao trabalhador, que é a de demissão por justa causa, pondo fim ao contrato de trabalho.

Além do descumprimento das políticas internas, caso o empregado vaze algum dado pessoal, mesmo que seja por meio do envio deste para seu e-mail pessoal sem intenção de transmissão para terceiros, isto pode ser considerado como uma violação de segredo da empresa, que também é um motivo de demissão por justa causa, tendo em vista a importância econômica e o risco de danos decorrentes da publicação dos dados.

A postura judicial que vem sendo adotada traz mais segurança jurídica para as empresas, porém tendo em vista o quão determinante é a ação humana no que concerne a incidentes de segurança, as instituições devem se preocupar em estimular internamente o respeito e a proteção dos dados pessoais, pois os atos destes colaboradores podem ensejar em multas aplicadas pela ANPD às instituições em até R$ 50 000 000 (cinquenta milhões de reais), além de sanções judiciais.

Tanto as multas aplicadas pela Autoridade quanto as sanções judiciais podem ser quitadas, porém, quando ocorre um incidente de segurança, um bem imaterial e valioso da empresa poderá ser prejudicado, qual seja, a sua reputação no mercado e perante os clientes. Mesmo após quitar os débitos decorrentes dos incidentes, a reputação da empresa poderá ser afetada de forma irreversível, ainda mais quando o negócio da empresa esteja intimamente atrelado a confiança que seus clientes e parceiros depositam nela.

Desta forma, para proteger a reputação da empresa e evitar vazamentos ou sanções, é essencial a contratação de uma assessoria jurídica especializada para realizar a adequação da empresa à LGPD, ministrar treinamentos, bem como orientar de forma contínua todo seu quadro de profissionais, a fim de garantir um programa de adequação eficiente e que minimize riscos relacionados à Proteção de Dados.

[i] https://www.verizon.com/business/resources/reports/dbir/

No dia 28 de janeiro é comemorado o Dia Internacional da Proteção de Dados, data escolhida em comemoração à Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais, sendo o primeiro instrumento internacional juridicamente vinculativo no domínio da proteção de dados.

O Dia Internacional da Proteção de Dados representa a oportunidade de conscientização sobre as boas práticas em proteção de dados, assim como a oportunidade de ratificar a importância da aplicação da Lei Geral de Proteção de Dados – Lei 13.709/2018 (LGPD) no dia a dia das pessoas e empresas.

A LGPD, em vigor desde setembro de 2020, vem ganhando cada vez mais relevância, especialmente após a EC 115, que acrescentou o inciso LXXIX ao artigo 5º da Constituição Federal, assegurando o direito à proteção de dados como um direito fundamental.

Diante da sociedade cada vez mais conectada na qual estamos inseridos, não existem mais “dados insignificantes”, sendo essencial o desenvolvimento de uma verdadeira cultura de proteção de dados e de defesa da privacidade.

Neste dia, destaca-se a segurança jurídica que a LGPD trouxe para nosso país, incluindo a constituição da Autoridade Nacional de Proteção de Dados (ANPD), que tem como uma de suas funções principais zelar pela proteção de dados no Brasil.

No ano de 2022 a ANPD realizou diversos projetos, sendo válido citar alguns deles:

• Janeiro/2022: Realização da 1ª semana da Proteção de Dados Pessoais pela ANPD com conteúdos relevantes sobre LGPD, informações sobre as atividades da ANPD e direito dos titulares, além da aprovação pelo Conselho Diretor do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte;
• Fevereiro/2022: Publicação do Decreto nº 10.975/2022, que modificou a estrutura da ANPD, fortalecendo a composição organizacional;
• Março/2022: Tomada de subsídios para regulamentar o papel do encarregado de dados;
• Abril/2022: Participação da ANPD no Privacy Symposium, em Veneza e no Global Privacy Summit, em Washington;
• Maio/2022: Abertura da Tomada de Subsídios sobre Transferência Internacional de Dados Pessoais;
• Setembro/2022: Abertura de Consulta Pública sobre a norma de Dosimetria e Aplicação de Sanções Administrativas;
• Outubro/2022: Transformação da ANPD em autarquia de natureza especial, lançamento do guia orientativo “Cookies e Proteção de Dados Pessoais” e mudança da sede para Brasília.

Nota-se que a ANPD tem adotado uma postura bastante positiva ao buscar a participação da sociedade civil na elaboração de suas normas, por meio de consultas públicas, o que deve permanecer neste ano de 2023. Assim, apesar da LGPD ser uma lei recente, o Brasil já está dando passos importantes na consolidação desta cultura de proteção de dados.

Os projetos da ANPD e sua agenda para 2023 podem ser consultados por meio de seu site: https://www.gov.br/anpd/pt-br.