O Dia Internacional da Proteção de Dados é comemorado nesta sexta-feira (28/1). No Brasil, a Lei Geral de Proteção de Dados (LGPD), entrou em vigor 18 de setembro de 2020 e sua regulamentação tem sido feita pela Autoridade Nacional de Proteção de Dados (ANPD). Mas ainda falta um longo caminho no que se refere à questão, como aponta o diretor-presidente da ANPD, Waldemar Gonçalves.

“No caso da ANPD, outro desafio foi e continua sendo a sua própria missão, que é zelar pela proteção dos dados pessoais dos titulares e fomentar uma cultura de proteção de dados no país”, disse ele em entrevista ao JOTA por email.

Gonçalves adianta os próximos passos da ANPD.  Ainda essa semana, serão publicadas a Resolução que aprova o Regulamento para agentes de tratamento de pequeno porte e, após vazamentos no setor público, como os que ocorreram no Ministério da Saúde, será lançado o Guia Orientativo sobre tratamento de dados pessoais pelo Poder Público.

Sobre processos preparatórios de fiscalização, o diretor-presidente informou que, ao longo de 2021, a ANPD instaurou 27 deles. Entre eles, o de análise da mudança na Política de Privacidade do WhatsApp.

Leia abaixo a íntegra da entrevista:

Quais foram os principais desafios da ANPD nesse início de atuação?

Questões como necessidade de incremento do seu quantitativo de pessoal e disponibilidade de uma adequada infraestrutura física, como local e equipamentos de trabalho, foram algumas das dificuldades enfrentadas inicialmente. No caso da ANPD, outro desafio foi e continua sendo a sua própria missão, que é zelar pela proteção dos dados pessoais dos titulares e fomentar uma cultura de proteção de dados no país. Isso é ainda mais evidente quando se verifica que as ameaças e lesões a direitos e garantias aumento ao passo que a sociedade em rede e os recursos digitais e tecnológicos se desenvolvem.

Quais são os próximos passos e prioridades?

Para a efetiva atuação da ANPD em zelar pela proteção de dados pessoais, é imprescindível que a Autoridade se ampare com os meios adequados para que possa exercer as suas competências definidas pela LGPD, de modo a garantir o ambiente regulatório e fiscalizatório relacionado à proteção de dados estável e com segurança jurídica. Nesses termos, faz-se imprescindível o seu fortalecimento institucional, incluindo a transformação de sua natureza jurídica, transitória pela própria letra da Lei, bem como o incremento de sua estrutura regimental.

Também é prioridade da ANPD continuar o trabalho de proceder à regulamentação das disposições necessárias contidas na LGPD. Para isso, no ano de 2022 já teve início com a continuidade das análises que levarão ao cumprimento integral da Agenda Regulatória da Autoridade. A ANPD também prioriza a continuidade no estabelecimento de cooperações nacionais e internacionais e, no primeiro caso, há a previsão de celebração de acordos de celebração técnica com outras entidades para esse ano.

Em relação às interações internacionais, a ANPD continuará com seu trabalho de inserção do Brasil nas discussões regionais e globais sobre proteção de dados pessoais e, conforme já mencionado, há a previsão para a publicação de uma resolução que regulamenta o Capítulo da LGPD referente às transferências internacionais de dados pessoais.

A LGPD entrou em vigor há pouco mais de um ano. Qual é o balanço do senhor da lei até aqui?

Em 1 ano e 2 meses desde a sua criação, a ANPD tem um balanço que pode ser considerado bastante positivo. Podemos elencar alguns elementos, como, por exemplo, a contínua observância e atendimento dos objetivos do nosso Planejamento Estratégico para o biênio 2021-2023, com base nos seus diversos indicadores; e o cumprimento integral do cronograma da Agenda Regulatória, com a publicação do Regimento Interno da ANPD, do Planejamento Estratégico da ANPD; e da Resolução que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD.

Além dessas normas, a ANPD já iniciou os estudos, incluindo as análises de impacto regulatório, para a elaboração da regulamentação de outros temas, como é o caso da regulamentação das transferências internacionais de dados pessoais. Ainda essa semana, serão publicadas, ainda, a Resolução que aprova o Regulamento para agentes de tratamento de pequeno porte e o Guia Orientativo sobre tratamento de dados pessoais pelo Poder Público.

O JOTA lançou um ebook que traz experiências e desafios de empresas na implementação da LGPD. Baixe gratuitamente!

Sobre investigações da ANPD, quantas são e em que fase estão?

Ao longo de 2021, a ANPD instaurou 27 processos preparatórios de fiscalização, com fundamento nos artigos 40 a 42 da Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD. Desses, alguns seguem em andamento. A maior parte dos processos se encontra na fase conclusão da instrução ou aguardando análise pela Coordenação-Geral de Fiscalização.

Entre os processos que podem ser citados sem prejuízo às investigações da fiscalização, constam aqueles referentes à recente divulgação dos Acordos de Cooperação Técnica firmado pela Secretaria de Governo Digital, do Ministério da Economia, com a Associação Brasileira de Bancos (ABBC) e com a Federação Brasileira de Bancos (Febraban).

Igualmente, é possível citar os processos de análise da mudança na Política de Privacidade do WhatsApp e de avaliação da Portaria RFB nº 81/2021 que aprova o sistema Compartilha Receita Federal. Entre os processos não estão considerados aqueles relativos a incidentes de segurança. No que se refere aos incidentes de segurança, as investigações de incidentes de segurança da ANPD, por força de lei, tramitam protegidas por segredo comercial e industrial.

O que a ANPD leva em consideração na hora de investigar um incidente ou uma potencial violação da lei?

As ações fiscalizatórias promovidas pela Coordenação-Geral de Fiscalização devem estar alinhadas ao Planejamento Estratégico da ANPD. No curso de suas atividades rotineiras de fiscalização, a ANPD recebe insumos da sociedade. Elas se apresentam na forma de denúncias, petições de titulares, representações de autoridades ou entidades públicas ou mesmo de órgãos de controle externo. Da mesma forma, a ANPD monitora veículos de comunicação na escuta por informações que digam respeito a suas competências.

Todas essas informações, os processos e notícias são classificados pelo critério de gravidade, urgência e tendência, sendo tratados de forma prioritária os que mais impactam à observância das disposições da LGPD, principalmente os direitos dos titulares, os princípios da proteção de dados e o tratamento seguro dos dados pessoais.

As sanções a empresas que infrinjam a lei podem ser retroativas?

Não. As condutas em desacordo com a LGPD ocorridas antes de 1º de agosto de 2021 não serão objeto de sancionamento, embora possam ser objeto de atuação da ANPD mediante o uso de outros instrumentos de atuação fiscalizatória.

A partir da entrada em vigor da LGPD, as obrigações e o dever de cumpri-las já passaram a existir e serem exigíveis, de modo que a ANPD já vinha atuando para cobrá-las (mediante o uso de diversos instrumentos, com exceção do processo sancionador). Na sequência, a partir de 1º de agosto, o sancionamento passou a ser mais um dos instrumentos disponíveis para a ANPD, para cobrança do cumprimento da Lei, de modo que as empresas passaram a estar sujeitas à possibilidade de serem sancionadas.

Como está a evolução da metodologia de cálculo da multa?

O processo de confecção da metodologia está em fase de consulta interna na ANPD, para coleta de subsídios e aprimoramento. O procedimento de regulamentação e suas fases está previsto na Portaria nº 16, de 08 de julho de 2021.

Que regulamentações ainda estão faltando e quando devem ocorrer?

A ANPD publicou sua Agenda Regulatória, por meio da Portaria nº 11/2021, de 27 de janeiro de 2021. Nesta portaria, é possível observar que estão previstos para 2022 os itens referentes ao Regulamento para pequenas e médias e startups; Regulamento de Direitos dos Titulares; Regulamento de Dosimetria (cálculo de multa e aplicação de sanções); Regulamento de Comunicação de Incidentes de Segurança; Regulamento de Relatório de Impacto à Proteção de Dados Pessoais; Regulamento de Encarregado; Regulamento para Transferência Internacional de Dados e o Guia de Boas Práticas para Hipóteses Legais de tratamento de dados pessoais.

No que se refere aos prazos, é intenção da ANPD publicar os Regulamentos para Pequenas e Médias Empresa e Startups e de Dosimetria ainda em 2022. Quanto aos demais, não é possível antecipar quando serão publicados.

Tivemos recentemente um incidente de vazamento de dados no Ministério da Saúde. Como a ANPD vai tratar a questão de segurança da informação em órgãos públicos?

A segurança da informação é questão fundamental e instrumental para que seja possível atender ao fim maior da LGPD que é garantir a proteção dos dados pessoais. Nesse sentido, a ANPD vai cobrar de qualquer controlador de dados pessoais a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, seja público, seja privado.

O TSE deixou, por exemplo, de informar a lista de pessoas filiadas a partidos políticos. Como equilibrar a transparência de informações com a LGPD?

O equilíbrio entre as disposições da LGPD com as regras de transparência relacionadas ao direito de acesso de informações poderá ser alcançado a partir da análise abrangente do caso concreto, envolvendo a avaliação cautelosa dos princípios estabelecidos na Lei, em especial os princípios da finalidade, da adequação e da necessidade, sem deixar de considerar, ainda, os riscos e os impactos para os titulares dos dados pessoais bem como as medidas mais adequadas para mitigar possíveis danos decorrentes do seu tratamento.

Vale mencionar, por fim, que os critérios a serem observados para a publicização de informações exigidas como decorrência de uma obrigação legal, como as hipóteses previstas na Lei de Acesso à Informação, permanecem válidos e foram fortalecidos pelas disposições da LGPD, norma que não estabeleceu novas hipóteses legais de sigilo. Assim, os parâmetros previstos na LGPD podem complementar ou auxiliar na interpretação e na aplicação das obrigações legais de transparência.

Sobre o tema, a ANPD publicará nos próximos dias o Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público. Este guia abordará de forma mais completa o tema, expondo, ainda, exemplos concretos com a finalidade de esclarecer dúvidas recorrentes recebidas pelos canais de atendimento da Autoridade.

Como tem sido o processo de diálogo com os diversos stakeholders para que a lei seja efetiva, ao mesmo tempo que estimula a inovação e os negócios no país?

Outro ponto extremamente construtivo nesse 1 ano e 2 meses desde a criação da ANPD foi seu desempenho nas interações e cooperações, tanto nacionais, como no âmbito internacional. Foram celebrados, por exemplo, 4 acordos de cooperação – Senacon, CADE, NIC.br e TSE, todos com o objetivo precípuo de promover a eficácia dos direitos do titular previstos na LGPD. Paralelamente, a ANPD inseriu-se no cenário internacional, sendo reconhecida como membro observador da Global Privacy Assembly, e membro do Global Privacy Enforcement Network e da Red Iberoamericana de Protección de Datos. Nesse contexto, a ANPD assinou seu primeiro Memorando de Entendimento (MoU), com a Agência Espanhola de Proteção de Dados – AEPD, com a finalidade de promover a disseminação do direito à proteção de dados pessoais; garantir a cooperação conjunta em matéria de proteção de dados pessoais e fornecer um quadro para a troca de conhecimentos técnicos e melhores práticas, a fim de fortalecer as capacidades técnicas de ambas as partes relacionadas à aplicação da lei sobre a proteção de dados pessoais.

Que caminho a ANPD deve seguir na regulamentação de transferências internacionais de dados?

A ANPD entende ser necessário, no que tange ao tratamento de dados pessoais e ao seu fluxo transfronteiriço, assegurar que o tratamento desses dados seja realizado com observância às diretrizes da LGPD, ou seja, respeitando o direito de privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem e, ao mesmo tempo, fomentando a livre iniciativa e a livre concorrência, o desenvolvimento econômico e tecnológico, ou seja, sem impor barreiras injustificadas ao fluxo desses dados.

Tendo isso em mente, a regulamentação do fluxo transfronteiriço de dados não tem por finalidade oferecer entraves à circulação dos dados; ao contrário, busca aumentar a segurança jurídica dos agentes de tratamento, bem como a transparência e a autodeterminação informativa, tendo como finalidade elevar o nível de ética e de competitividade das nossas organizações, além de promover o desenvolvimento econômico, tecnológico e de inovação de maneira segura

A ANPD tem promovido intercâmbio de informações com diversas autoridades de proteção de dados estrangeiras com vistas a ter acesso às melhores práticas nessa questão. O caminho a ser seguido, portanto, é o de buscar uma regulamentação moderna, simplificada e em consonância com as melhores práticas já adotadas internacionalmente.​​