É preciso temer a atuação da recém criada autoridade de Proteção de Dados?
Rodrigo Andrade e Fernanda Galvão
Com a entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”), desde o dia 18 de setembro de 2020 (Lei Federal nº 13.709/18), foi criada a Autoridade Nacional de Proteção de Dados (“ANPD”) (1), instituição reguladora do sistema de proteção de dados brasileiro.
Do ponto de vista estrutural, a ANPD constitui órgão da Presidência da República. Embora existam críticas pelo fato de não ter sido constituída como autoridade administrativa independente e, em razão disso, restar comprometida sua autonomia para desempenhar suas atribuições (principalmente nas situações em que o próprio Poder Público for objeto de fiscalização), existem exemplos de autoridades de proteção de dados muito bem sucedidas com essa mesma estrutura (de simples órgão público), cuja atuação já alcançou resultados positivos expressivos. Um exemplo é a autoridade de proteção de dados no Uruguai (2).
Além do mais, com o objetivo de promover a atuação independente da ANPD, a própria LGPD confere ao órgão diversas garantias (previstas no art. 55) como, por exemplo: (i) previsão da possibilidade de afastamento definitivo de seus diretores apenas em caso de “condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar”; (ii) previsão de que apenas o Presidente da República poderá determinar o afastamento preventivo dos diretores da ANPD, quando assim recomendado por Comissão Especial; (iii) necessidade de aprovação de seus diretores pelo Senado Federal antes da nomeação, com exigência de perfil técnico adequado ao desempenho do cargo; (iv) imposição do prazo de desincompatibilização de seis meses para que [ex-diretores] possam atuar em outras atividades relacionadas à proteção de dados, de modo a mitigar eventual conflito de interesses.
Nesse cenário, a efetiva atuação independente da ANPD e a obtenção dos resultados esperados serão determinados muito mais pela atuação hábil dos seus diretores nesse contexto (2) do que em função da simples estrutura legalmente prevista para o órgão.
A ANPD será composta basicamente por três órgãos de atuação, nos termos previstos no artigo 3º do Anexo I, do Decreto nº 10.474/2020 (“Decreto”), que aprovou a estrutura administrativa da agência: (i) Conselho Diretor; (ii) órgão consultivo, denominado Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; e (iii) órgãos de assistência direta e imediata ao Conselho Diretor.
Tem se discutido muito sobre a tônica da atuação da ANPD, em especial, a partir de agosto de 2021 quando as sanções pelas violações à LGPD já estarão em vigor. Em recente evento promovido nos dias 2 e 3 de dezembro pela Federação das Indústrias do Estado de São Paulo (“FIESP”) (3) (4), dois dos diretores da ANPD já nomeados, Sr. Waldemar Gonçalves Ortunho Júnior e Sra. Miriam Wimmer sinalizaram as prioridades do órgão. Dentre elas, destacam-se ações de caráter educativo e de conscientização da sociedade, a fim de estimular a construção de laços de confiança entre os titulares e os agentes de tratamento de dados pessoais. Trata-se da valorização da boa-fé e das condutas leais, éticas e transparentes no tocante ao tratamento de dados.
Nesse contexto, a expectativa é de que a atuação da ANPD deverá se orientar pela promoção da conscientização social em relação aos tipos de tratamento de dados realizados, a percepção dos riscos daí advindos e a compreensão pela sociedade do papel da LGPD. Na prática, esta busca estabelecer regras gerais para o fluxo adequado do tratamento de dados pessoais na sociedade com base em premissas éticas e patamares mínimos de consistência e coerência. Exatamente por isso, a LGPD não deve ser vista como uma fonte de custos e dificuldades, mas sim como uma norma que habilita a sociedade a vivenciar o processo de transformação digital em curso de uma forma mais segura, orientada por princípios e bases internacionalmente aceitos e pacificados.
Ainda com relação ao aspecto de conscientização da sociedade, é importante ter em mente que a adoção de uma lei de proteção de dados pelo Brasil não é um caso isolado. Essa providência se insere em um ciclo evolutivo global marcado pela interconexão entre as economias digitais movidas a dados. Estes devem ser vistos tanto sob a perspectiva de insumos (para o desempenho de atividades econômicas), como de um direito fundamental da personalidade humana (5). Nesse sentido, a ANPD deve intensificar esforços direcionados à construção de caminhos e procedimentos para que a LGPD dialogue com legislações internacionais e continue viabilizando a inclusão do Brasil na economia global.
Com relação ao dever atribuído ao controlador pelo artigo 48 da LGPD, de notificar a ANPD e os titulares sobre eventuais incidentes de segurança e vazamento de dados pessoais, ressalta-se a importância de regulamentação pela ANPD (do dever de notificação e do respectivo procedimento), esclarecendo questões ainda nebulosas como: Em quanto tempo o incidente deve ser comunicado à autoridade? Quais informações serão notificadas e mediante qual canal?
A exemplo de situações enfrentadas por outras autoridades de proteção de dados no exterior, a autoridade brasileira deverá cuidar para evitar o fenômeno conhecido como fadiga de notificação. Este consiste no envio excessivo de notificações à autoridade de proteção de dados, nos casos de incidentes de segurança/vazamento de informações sem riscos de danos significativos. Isso dificulta (ou mesmo impede) a atuação prioritária da autoridade em casos realmente significativos e com potencial danoso.
Para contornar essa dificuldade, é possível adotar um critério para orientar em quais casos essa notificação seria obrigatória, consistente na avaliação do risco ou a possível ocorrência de dano relevante. Por exemplo, diante da reduzida possibilidade de ocorrência de danos nos casos de vazamento de base de dados criptografada, ou mesmo de lista de e-mails de domínio público, seria razoável dispensar a comunicação à ANPD e aos titulares mediante a adoção de procedimentos específicos a serem estabelecidos.
Com o propósito de zelar pela proteção dos dados pessoais, outra providência esperada da ANPD é a sugestão das melhores práticas no mercado levando em consideração o que já deu certo em outros países. Nessa linha de raciocínio, espera-se que a atuação da ANPD busque muito mais uma melhora da cultura de proteção de dados do que a aplicação de sanções, entendimento corroborado pela Diretora da ANPD, Sra. Miriam Wimmer (4). A possibilidade de aplicação de sanções administrativas permanece prevista a partir do dia 1º de agosto de 2021, conforme a Lei Federal nº 14.010/2020.
Também é esperado que a ANPD atue com prioridade na definição de políticas apropriadas para viabilizar a conformidade das micro/pequenas empresas e startups com a LGPD, por meio da elaboração de procedimentos simplificados, diferenciados e favorecidos, em harmonia com o princípio da livre iniciativa previsto na Constituição Federal e na LGPD (art. 55-J, XVIII).
Adicionalmente, sem a pretensão de exaurir as providências esperadas da ANPD, vale registrar temas relevantes e prioritários, tais como: (i) a regulamentação sobre padrões e técnicas utilizados no processos de anonimização de dados (art. 12, § 3º, da LGPD); (ii) regulamentação sobre a aplicação de sanções administrativas decorrentes da violação da LGPD (art. 53 da LGPD); (iii) a atuação coordenada das suas atividades com órgãos e entidades responsáveis pela regulação de setores específicos, com o propósito de garantir maior eficiência e funcionamento adequado dos setores regulados.
É muito significativo o desafio da ANPD para garantir segurança jurídica na aplicação da LGPD e promover o uso ético, seguro e responsável de dados pessoais. Para alcançar esses propósitos e garantir a eficiência e a sustentabilidade da proteção da privacidade no Brasil, a construção de uma cultura para a proteção de privacidade de dados é caminho imprescindível.
O VLF Advogados possui uma equipe preparada para auxiliar as empresas nas questões jurídicas relativas aos projetos de adequação à LGPD e atento às orientações a serem ditadas pela ANPD. Para mais informações sobre a ANDP, basta entrar em contado com a equipe de consultoria do escritório.
Rodrigo Andrade
Advogado da Equipe de Consultoria e Compliance do VLF Advogados
Fernanda Galvão
Sócia e Coordenadora da Equipe de Consultoria e Compliance do VLF Advogados
(1) A estrutura administrativa da ANPD foi aprovada pelo Decreto Federal nº 10.474/2020.
(2) PARENTONI, Leonardo. (2019). Autoridade Nacional de Proteção de Dados Brasileira: Uma visão otimista (Brazilian National Data Protection Authority: An optimistic view).
(3) Evento promovido pela FIESP para a proteção de dados pessoais. Disponível em: https://www.youtube.com/watch?v=p72sGx-mSNA&t=14539s. Acesso em: 15 dez. 2020.
(4) Evento promovido pela FIESP para a proteção de dados pessoais. Disponível em: https://www.youtube.com/watch?v=rQGrEh5d3Gw&trk=organization-update-content_share-embed-video_share-article_title. Acesso em: 15 dez. 2020.
(5) A Proposta de Emenda à Constituição 17/2019 prevê a inclusão da proteção de dados pessoais entre os direitos fundamentais do cidadão, em linha com recentes decisões do STF, inclusive aquela que determinou a suspensão da eficácia da MP 954/2020.
