Em comemoração ao Dia Internacional da Proteção de Dados, a ANPD norteia sobre como será a sua atuação e quais são os temas prioritários no próximo biênio de 2021-2022
Rodrigo Andrade e Fernanda Galvão
A Autoridade Nacional de Proteção de Dados (“ANPD”) (1) foi criada com a missão de zelar pelo sistema de proteção de dados brasileiro no contexto da Lei Geral de Proteção de Dados (“LGPD”) (2). Ela menciona a necessidade de regulamentação pela ANPD em ao menos 21 artigos. Isso confere à ANDP uma missão hercúlea, considerando, portanto, não só a quantidade, mas também a relevância de temas que a LGPD deixou em aberto para definição da autoridade. Essa regulamentação propiciará a diminuição da insegurança jurídica causada por diferentes interpretações e falta de definições da LGPD. Embora a ANPD tenha sido criada como órgão da administração pública federal em julho de 2019, somente em agosto de 2020 o decreto que estrutura a autoridade foi publicado (3), ou seja, dois anos após a publicação da LGPD, e ainda assim, com parcos recursos, inclusive humanos, já que a autoridade conta com poucos colaboradores (menos de vinte, já incluídos os cinco diretores).
Diante desse cenário, é sabido que com a estrutura atual não será materialmente possível regulamentar, como prevê a LGPD todos os assuntos de uma só vez. Consciente de tudo isso, a ANPD elegeu dez temas para atuação prioritária e divulgou sua agenda regulatória para o biênio 2021-2022, por meio da portaria 11/2021 (4). A agenda regulatória é um marco relevante na proteção de dados, pois conhecer os temas prioritários certamente orientará as empresas e demais agentes de tratamento na jornada de adaptação à LGPD.
Na agenda bienal, a ANPD elencou seus projetos regulatórios agrupados em três fases e os temas incluídos nas fases 1, 2 e 3 terão as regulações iniciadas (e não ‘concluídas’) em 12, 18 e 24 meses, respectivamente.
Foi incluída na fase 1, com previsão inicial de regulamentação no primeiro semestre de 2021, a definição dos critérios pertinentes para aplicar sanções (inclusive multas) por descumprimento à LGPD. Embora a ANPD tenha afirmado, por meio de seus diretores, que a sua atuação inicial será marcada pelo viés orientador, educativo e voltado à conscientização da sociedade para fomentar o desenvolvimento de uma cultura de proteção de dados, é de extrema relevância definir premissas para a aplicação das sanções, parâmetros para o cálculo de multas; enfim, os procedimentos para permitir a aplicação de sanções de forma célere, sem descuidar do direito de defesa. Vale lembrar que a aplicação de sanções pela ANPD somente será possível a partir do dia 1º de agosto de 2021.
Na mesma fase, a ANPD também prevê iniciar a regulamentação do dever de notificá-la dos incidentes de segurança (atribuído pela LGPD ao controlador). Além de definir procedimentos práticos referentes à comunicação, como por exemplo, os formulários a serem usados e o canal adequado para encaminhar as informações, espera-se que a ANPD fixe um prazo objetivo para apresentar a comunicação. As melhores práticas indicam que deve ser levado em conta o tempo para estudar o ocorrido, gerar evidências necessárias, e, se for realmente o caso, comunicar o fato à ANPD e aos titulares dos dados. Isso porque comunicações precipitadas e distanciadas de uma compreensão mínima dos fatos podem causar danos desnecessários à imagem e reputação das organizações envolvidas e aos titulares dos dados pessoais.
A exemplo de situações enfrentadas por outras autoridades de proteção de dados no exterior, a autoridade brasileira deverá cuidar para evitar o fenômeno conhecido como fadiga de notificação, que consiste justamente no envio excessivo de notificações à autoridade de proteção de dados, nos casos de incidentes de segurança/vazamento de informações sem riscos de danos significativos. Isso dificulta (ou mesmo impede) a atuação prioritária da autoridade em casos realmente significativos e com potencial danoso.
Além disso, a ANPD começará a regulamentar no 1º semestre de 2021 a proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos (5). Considerando a alta complexidade da LGPD, caberá à autoridade levar em consideração o que é possível de ser feito na realidade desses agentes de tratamento, sem perder de vista a responsabilidade de todos eles pela proteção dos dados pessoais. A própria ANPD já adiantou que além do porte econômico, outros critérios serão levados em conta para a regulamentação, como o volume e o tipo de dados processados, o número de funcionários, entre outros. Nesse cenário, o desafio será promover uma igualdade substancial e efetiva na aplicação da LGPD.
Também serão regulados na fase 1 assuntos relacionados à própria estruturação da ANPD, como o Regimento Interno. Inclusive, como previsto na fase 1, foi publicado em 1º de fevereiro de 2021 (6) o Planejamento Estratégico para os anos de 2021 a 2023.
A fase 2 será iniciada no 1º semestre de 2022 e contempla a regulamentação dos direitos dos titulares, que inclusive já começaram a exercê-los perante as organizações para buscar relatórios com descrição dos dados armazenados, como exclusão e atualização, por exemplo. A ANPD terá a tarefa de esclarecer premissas práticas sobre o exercício desses direitos, como características de um padrão aberto adequado para o tratamento de dados pessoais (7) no contexto da portabilidade de dados pessoais. Embora previsto na LGPD, pouco se sabe, do ponto de vista operacional, como esse direito poderá ser exercido, já que a portabilidade de dados é ainda pouco difundida no Brasil, sendo mais comum no setor de telecomunicações.
Nesse mesmo período também será iniciada a regulamentação do papel do DPO ou Encarregado de Proteção de Dados, inclusive hipóteses de dispensa de sua indicação conforme a natureza/porte da entidade, bem como volume das operações de tratamento de dados, assunto que seguramente passará, de novo, pelas pequenas e médias empresas. Além disso, é prevista a regulamentação de aspectos relacionados à transferência internacional de dados (cuja ocorrência, vale frisar, é muito mais comum do que se imagina, já que, por vezes, os indivíduos não se dão conta do fato de seus dados circularem internacionalmente, como nos casos de armazenamentos de dados em servidores situados no exterior).
Por fim, no 2º semestre de 2022, a fase 3 será realizada para a orientação ao público sobre as hipóteses e bases legais de aplicação da LGPD, por meio de sugestões de melhores práticas no mercado, levando em consideração o que já deu certo em outros países.
Pois bem, em meio a tantos outros temas relevantes que dependem de regulamentação como aplicação do legítimo interesse e padrões/técnicas para anonimização e pseudonimização de dados pessoais, os assuntos contemplados na agenda regulatória são os que estarão na ordem do dia da ANPD pelos próximos dois anos. Nesse contexto, é provável que passemos por tempos de insegurança jurídica até que seja possível atingir um nível razoável de cultura de proteção de dados não só entre os titulares de dados, mas também controladores, operadores de dados pessoais e autoridades. O crescente volume de incidentes de segurança ainda a ser reportado nesse ano de 2021 torna mais desafiadora a atuação da ANPD para se adaptar ao novo contexto. E quanto mais permeável e sensível ela for à pluralidade de ideias e à participação social colaborativa, maior será a qualidade e legitimidade da regulamentação produzida.
O VLF Advogados possui uma equipe preparada para auxiliar as empresas nas questões jurídicas relativas aos projetos de adequação à LGPD e atenta às orientações a serem ditadas pela ANPD. Para mais informações sobre a LGPD e projetos de adequação, basta entrar em contado com a equipe de consultoria do escritório.
Rodrigo Andrade
Advogado da Equipe de Consultoria e Compliance do VLF Advogados
Fernanda Galvão
Sócia e Coordenadora da Equipe de Consultoria e Compliance do VLF Advogados
(1) A estrutura administrativa da ANPD foi aprovada pelo Decreto Federal nº 10.474/2020.
(2) Lei Federal nº 13.709/18, de 14 de agosto de 2018.
(3) No dia 8 de julho de 2019, o presidente da república sancionou a Lei nº 13.853/2019 (Lei de Conversão da Medida Provisória nº 869/2018), que criou a ANPD como órgão da administração pública federal, integrante da Presidência da República. Em 27 de agosto de 2020, o Decreto Federal 10.474, que estrutura a ANPD, foi publicado no Diário Oficial da União. No Anexo I, está prevista a Estrutura Regimental e Organizacional desse órgão.
(4) A portaria 11 da ANPD foi publicada em 27-01-2021 e está disponível no sítio eletrônico https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 13 fev. 2021.
(5) A ANPD já convidou a sociedade a participar da regulamentação desse tema via Nota Técnica nº 1/2021, de 29-01-2021, por meio da tomada de subsídios.
(6) ANPD publica Planejamento Estratégico para 2021-2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-planejamento-estrategico-para-2021-2023. Acesso em: 16 fev. 2021.
(7) Padrões abertos se caracterizam por serem publicamente disponíveis, para livre acesso e distribuição, sem controle de qualquer ente público ou organização, de modo a permitir a troca de informações pelos interessados de forma autônoma.
