O ano de 2025 inicia-se com expectativas elevadas em torno da evolução da regulamentação da LGPD – Lei Geral de Proteção de Dados Pessoais para robustecer as regras sobre o tratamento de dados pessoais no Brasil, sobretudo após a ANPD – Autoridade Nacional de Proteção de Dados publicar a resolução 23, de 9/12/241, que define sua Agenda Regulatória para o biênio 2025-2026.

Ao elencar 16 iniciativas, distribuídas em diferentes fases de priorização, a ANPD sinaliza uma preocupação em equilibrar a continuidade de projetos anteriores, oriundos de agendas regulatórias passadas, com a necessidade de abarcar novos desafios que emergem do uso intensificado de tecnologias, especialmente na área de Inteligência Artificial, biometria, compartilhamento de dados pelo Poder Público e proteção de dados pessoais sensíveis, como destaque para os referentes à saúde2. Em paralelo, a Agenda Regulatória reflete também a tentativa de articular orientações dirigidas a setores específicos, como as organizações religiosas, e a consolidar parâmetros interpretativos em temas tão sensíveis quanto a proteção de dados de crianças e adolescentes, incluindo a adoção de boas práticas e regras de governança. Nesse sentido, é fundamental não apenas compreender cada um dos itens da nova agenda, mas tecer uma análise crítica sobre seus principais acertos, levando em conta o contexto nacional, a maturidade regulatória do país e as peculiaridades dos diversos agentes de tratamento de dados.

O primeiro ponto de destaque é a maneira como a ANPD pretende lidar com os direitos dos titulares. Ao abrir espaço para regulamentar aspectos como a forma de exercício dos direitos de confirmação, acesso, correção, eliminação e portabilidade, promove-se maior segurança jurídica para titulares e agentes de tratamento. De maneira geral, há uma preocupação legítima em alinhar a regulamentação às particularidades de setores e porte empresarial de agentes de controladores de dados, sobretudo porque a experiência acumulada na vigência da LGPD aponta lacunas significativas na forma de assegurar o exercício desses direitos. A expectativa é que a regulamentação traga critérios práticos e objetivos para a verificação do atendimento às solicitações dos titulares, evitando que dúvidas interpretativas ou aspectos técnicos sirvam de barreira ao cumprimento da lei.

Além disso, outro elemento que se sobressai na agenda diz respeito aos relatórios de impacto à proteção de dados pessoais, instrumento chave para avaliar riscos e evidenciar a conformidade das atividades de tratamento. Essa é uma demanda antiga, pois a LGPD já previa a possibilidade de a ANPD disciplinar em quais hipóteses a elaboração do relatório seria obrigatória e quais elementos mínimos deveriam compor o documento. O aspecto desafiador consiste em definir padrões proporcionais à natureza e à escala de cada tratamento, uma vez que o excesso de burocracia pode acarretar desestímulo, especialmente em agentes de pequeno porte. Por outro lado, uma regulação demasiada flexível pode gerar insegurança, abrindo brechas para que tratamentos de alto risco sejam conduzidos sem a devida análise prévia de impactos. O saldo ideal situa-se em um regramento que una objetividade e clareza, inclusive para fomentar a responsabilização de agentes de tratamento que não implementarem medidas adequadas de prevenção a danos aos titulares.

No tocante ao compartilhamento de dados pelo Poder Público, surge o pano de fundo da necessária compatibilização entre a eficiência administrativa e a proteção dos direitos dos titulares. Isso porque, para cumprir uma demanda importantíssima prevista no art. 3º, inciso IX, da Lei de Governo Digital (14.129/21), impõe-se ao Estado otimizar recursos e desenvolver diretrizes claras sobre os critérios de compartilhamento, além de reduzir riscos de uso indevido ou excessivo de informações. Ao mesmo tempo, é importante analisar criticamente se as normas a serem editadas pela ANPD conseguirão impor limites efetivos a práticas de uso desproporcional de dados por entes públicos, considerando que nem sempre há a transparência necessária ou capacidade técnica para proteger bancos de dados contra incidentes de segurança. Nesse sentido, a própria ANPD terá o desafio de fiscalizar e impor sanções ao Poder Público em caso de descumprimento, assegurando que não haja tratamento desigual em relação ao setor privado.

Outra parte crucial dessa agenda são as normas referentes ao tratamento de dados de crianças e adolescentes. Nesse campo, urge estabelecer salvaguardas para aspectos como consentimento parental, coleta de informações em jogos e aplicações de internet, especialmente quanto às que extrapolam o limite do razoável no contexto lúdico para adentrar ao campo da ludopatia (como bets, loot boxes, gacha e outras)3, além de medidas de verificação de idade. O desafio aqui é garantir que as diretrizes sejam suficientemente claras para orientar desenvolvedores, mantenedores de plataformas e escolas, sem inibir a inovação, mas reforçando que a proteção ao menor tem primazia. A efetiva fiscalização dessas regras será, por sua vez, determinante para que tais medidas não fiquem restritas a recomendações genéricas e acabem relegadas a segundo plano no setor tecnológico.

O tratamento de dados biométricos, particularmente a identificação por reconhecimento facial, expõe outra potencial fonte de desequilíbrios e riscos. A Agenda Regulatória visa estabelecer parâmetros para reduzir potenciais abusos, fraudes e discriminações, um ponto necessário frente à proliferação de soluções de identificação automatizada. Entretanto, vale ponderar se a regulação proposta será suficientemente robusta para exigir transparência técnica das metodologias e algoritmos empregados, bem como para vedar usos abusivos ou que violem a privacidade dos titulares. Reconhecimento facial e outras técnicas biométricas são campos em rápida evolução, o que demanda atenção constante para evitar que a regulamentação fique obsoleta.

Já a definição de padrões mínimos de segurança para o tratamento de dados é outra preocupação que se intensifica à medida que o setor privado e entes públicos passam a armazenar mais e mais dados pessoais em ambientes digitais. Trata-se de estabelecer um patamar adequado de medidas técnicas e administrativas, que provavelmente incluirá requisitos de criptografia, gestão de vulnerabilidades, auditorias periódicas, controle de acesso e planos de resposta a incidentes. O principal desafio envolve harmonizar essas exigências com a realidade de micro e pequenas empresas que muitas vezes não dispõem de recursos financeiros ou capital humano especializado. Espera-se a elevação do nível de proteção e a viabilização operacional dos agentes de tratamento de pequeno porte, sobretudo porque um excesso de requisitos, sem apoio e conscientização, pode conduzir a um cenário de baixa adesão na prática.

A Inteligência Artificial ganha destaque na nova agenda, sobretudo pela crescente demanda da sociedade por regras claras de governança em sistemas que tomam decisões automatizadas baseadas em dados pessoais. A recente aprovação, em 10/12/24, do texto do PL 2.338/23 no Senado Federal4 evidencia o empenho do Congresso Nacional em estabelecer bases mais sólidas para esse tema, reforçando ainda mais a urgência de abordar pontos sensíveis como o direito de revisão de decisões automatizadas, já previsto no art. 20 da LGPD. Esse processo é complexo e exige critérios para determinar em quais situações há possibilidade efetiva de revisão humana, bem como o nível de transparência que deve ser oferecido aos titulares. Em paralelo, tornam-se primordiais as discussões acerca dos limites do uso de dados em treinamentos de algoritmos, especialmente em grandes modelos capazes de assimilar padrões e reproduzir vieses.

O tema do tratamento de dados pessoais de alto risco, por sua vez, indica uma tentativa de modular a aplicação da LGPD segundo o grau de exposição dos titulares. Essa abordagem é salutar, pois reconhece que há diferenças importantes entre projetos que envolvem dados sensíveis ou propensos a causar grandes prejuízos se mal geridos, e tratamentos de menor impacto. Outro ponto relevante são as discussões em torno de anonimização e pseudonimização, cuja eficácia é frequentemente questionada em estudos que demonstram a facilidade de reidentificação de dados pretensamente anônimos. Se a ANPD não estabelecer critérios objetivos e atualizados de técnicas de anonimização, corre-se o risco de que sejam adotados métodos superficiais para, em tese, “mascarar” dados pessoais, sem oferecer garantias reais de proteção. Nesse aspecto, a resolução 23 também chama atenção para a elaboração de diretrizes que orientem a consolidação de uma Política Nacional de Proteção de Dados Pessoais e da Privacidade, visando harmonizar a atuação dos vários atores do ecossistema de dados. Nesse ponto, o papel do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é estratégico, pois poderá contribuir com subsídios técnicos e políticos capazes de fortalecer a implementação dessa política em todo o território nacional.

A definição de regras de boas práticas e de governança aparece como oportunidade de fomentar uma cultura de conformidade, ao mesmo tempo em que estimula um comprometimento setorial e voluntário. É importante, contudo, garantir que essas iniciativas realmente estabeleçam parâmetros eficazes, incluindo mecanismos de supervisão e atualização constante, pois a mera publicação de códigos de conduta não impede desvios ou práticas inadequadas quando não há uma fiscalização independente e sancionatória. O esforço para compreender os agregadores de dados pessoais, que muitas vezes raspam conteúdo na internet e o reúnem em grandes bases, é oportuno, pois a popularização de ferramentas de scraping gera tensões entre a livre circulação de dados e o respeito à privacidade. A ANPD terá o desafio de diferenciar usos lícitos e legítimos do acesso a informações publicadas abertamente de práticas abusivas que exploram brechas para fins de marketing invasivo, criação de perfis discriminatórios ou práticas de vigilância em massa.

No que tange aos dados pessoais sensíveis na área de saúde, a ANPD acerta ao incluir na agenda um debate sobre compartilhamento de informações com fins econômicos. O setor de saúde privado movimenta altas somas e sofre pressões para melhorar a gestão de riscos, além de enfrentar problemas estruturais no SUS. Tal complexidade demanda uma regulação fina, que proteja o paciente sem inviabilizar ações de pesquisa, intercâmbio de informações para diagnóstico ou o desenvolvimento de outras soluções digitais.

Por fim, a regulação sobre hipóteses legais de consentimento e proteção ao crédito reflete um esforço no sentido de esclarecer limites e orientar procedimentos que confiram maior transparência aos cidadãos. O consentimento é frequentemente criticado por ser obtido de forma genérica ou viciada, especialmente na internet, onde termos de uso extensos induzem o indivíduo a concordar sem real consciência. Já a proteção ao crédito confronta o interesse legítimo de empresas que avaliam riscos financeiros e a privacidade dos titulares, que podem ter seus dados massivamente explorados em sistemas de scoring.

À medida que se inicia o ano de 2025, portanto, a ANPD sinaliza um compromisso com a continuidade de temas pendentes e a absorção de novos desafios da era digital. A Agenda Regulatória para 2025-2026 aponta para uma necessária consolidação de fundamentos da LGPD, ao mesmo tempo em que abre espaço para inovações. Diante do ritmo acelerado da transformação digital, a capacidade de a ANPD atualizar constantemente suas diretrizes5 e compreender a complexidade do tratamento de dados em diferentes setores será determinante para que o Brasil avance rumo a uma proteção de dados robusta, transparente e inclusiva.

1 BRASIL. Autoridade Nacional de Proteção de Dados. Resolução 23, de 9/12/24. Aprova a Agenda Regulatória para o biênio 2025-2026. Diário Oficial da União, Brasília, DF, 10 dez. 2024. Disponível aqui. Acesso em: 9 jan. 2025.

2 Válido citar, a esse respeito, o recente ACT – Acordo de Cooperação Técnica firmado entre a ANS – Agência Nacional de Saúde Suplementar e a ANPD – Autoridade Nacional de Proteção de Dados para unir esforços em ações de proteção de dados e segurança da informação no setor de saúde suplementar, abrangendo desde a troca de conhecimentos técnicos até a criação de materiais educativos e monitoramento do cumprimento da LGPD – Lei Geral de Proteção de Dados. A parceria, considerada um marco por envolver pela primeira vez uma agência reguladora e a ANPD, reforça a importância do tratamento responsável de dados de saúde e busca promover maior segurança jurídica, transparência e conscientização no segmento, assegurando melhores resultados para beneficiários de planos de saúde e todos os atores envolvidos. Cf. BRASIL. Agência Nacional de Saúde Suplementar. ANS e ANPD firmam acordo para aprimorar proteção de dados na área de saúde suplementar. 27 dez. 2024. Disponível aqui. Acesso em: 09 jan. 2025.

3 Sobre o tema, v. MARQUES, Claudia Lima; MARTINS, Fernando Rodrigues; MARTINS, Guilherme Magalhães. Economia da atenção, gamificação e esfera lúdica humana: nova crise na proteção dos consumidores e os abusos das apostas e jogos on-line. Revista de Direito do Consumidor, São Paulo, v. 156, ano 33, p. 183-197, nov./dez, 2024.

4 BRASIL. Senado Federal. PL 2.338, de 2023. Dispõe sobre a inteligência artificial e dá outras providências. 2023. Disponível aqui. Acesso em: 09 jan. 2025.

5 LOCHAGIN, Gabriel; MORAES, Emanuele Pezati Franco de; PEROLI, Kelvin. A Autoridade Nacional de Proteção de Dados como garantia institucional ao equilíbrio entre os agentes econômicos e os titulares de dados pessoais. In: LIMA, Cíntia Rosa Pereira de (org.). ANPD e LGPD: desafios e perspectivas. São Paulo: Almedina, 2021. p. 103.

Fonte: Migalhas

Deixe um comentário