A atuação da Autoridade Nacional de Proteção de Dados (ANPD)
A LGPD entrou em vigor, e muitas de suas disposições dependem da regulamentação da Autoridade Nacional de Proteção de Dados (ANPD). Entenda os posicionamentos emitidos até então pela ANPD.
terça-feira, 16 de março de 2021
Atualizado às 10:49
Em 18 de setembro de 2020, entre muitas idas e vindas, entrou em vigor a LDPD (lei Federal 13.709/18), que tem por objetivo a preservação da privacidade e a proteção dos dados pessoais. Muitas das disposições contidas na lei, todavia, dependem de regulamentação de um órgão, cuja intenção é ser um verdadeiro "guardião" da LGPD e da privacidade: a Autoridade Nacional de Proteção de Dados (ANPD).
A lei que alterou a LGPD para a criação da ANPD (lei Federal 13.853/19) foi publicada em 9 de julho de 2019. Com a inclusão do art. 55-A na lei protetiva de dados, estabeleceu-se que o órgão faria parte da administração pública federal, sendo integrante da Presidência da República.
A definição legal da ANPD passou a estar contida no inciso XIX do artigo 5º da LGPD, o qual dispõe que a autoridade nacional consiste em "órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional". Ora, sendo a Autoridade a responsável pela implementação da LGPD, esperávamos que esta já estivesse atuante quando do início da vigência da lei protetiva de dados pessoais, no entanto, não foi o que aconteceu. Assim como o início da vigência da LGPD, a efetiva estruturação da ANPD também foi postergada. E postergada, com toda a vênia concedida a estas advogadas, até depois dos 45 minutos do segundo tempo, ou seja, até não mais ter condições de ser protelada. Mas, sobre isso, falaremos mais adiante.
Inclusive, sobre a lei 13.853/19, que alterou a LGPD para a criação da Autoridade de Proteção de Dados, é necessário ressaltar que esta definiu como transitória a natureza jurídica da ANPD, e, além disso, determinou a estrutura do conselho diretor do órgão, dispôs sobre os cargos em comissão, bem como estabeleceu as competências da Autoridade. As 24 (vinte e quatro) competências elencadas na lei comportam atribuições que dizem respeito ao zelo pela proteção de dados pessoais; à fiscalização e aplicação de sanções em casos de tratamentos indevidos; à deliberação sobre a interpretação da LGPD; à apreciação de petições de titulares de dados; à promoção de conscientização da população acerca da proteção de dados pessoais; à elaboração de estudos na área de privacidade; à edição de normas, procedimentos e orientações diferenciados a empresas menores, visando sua adequação à LGPD, dentre muitas outras. Estabeleceu-se, também, uma importante disposição, que envolve (mais ainda) a população na temática da proteção de dados pessoais: a necessidade de consulta e audiências públicas para a edição de regulamentos e normas pelo órgão.
Em suma, a ANPD deverá não só zelar e ser símbolo da privacidade e da proteção de dados pessoais, mas sim atuar ativamente na regulamentação e fiscalização relativas à lei.
Assim, em agosto de 2020, mês previsto para a entrada em vigor da LGPD, foi aprovada a estrutura regimental da ANPD, além do quadro demonstrativo dos cargos em comissão e das funções de confiança do órgão, através do decreto 10.474/20. O decreto abarca competências do Conselho Diretor, período de mandato e atribuições dos dirigentes, dentre outros temas.
Ocorre que, como já mencionado, a LGPD passou a vigorar em 18 de setembro de 2020, e, na mesma linha, o decreto 10.474/20, apesar de ter sido publicado em 27 de agosto de 2020, só passou a valer quando foram efetivamente nomeados os integrantes do Conselho Diretor da ANPD, em 06 de novembro de 2020, tendo em vista que seu artigo 6º dispõe que o instrumento apenas passa a viger quando publicada a nomeação do diretor-presidente do órgão. A demora na nomeação dos diretores, sem dúvidas, ocasionou um atraso ainda maior para a atuação da ANPD, e consequentemente, uma considerável mora na consagração dos princípios e disposições contidos na LGPD.
Mesmo com a nomeação do Conselho Diretor no começo de novembro de 2020, que, cabe-nos observar, é formado, em sua maioria, por militares (três de cinco), a ANPD ainda demorou a começar a atuar, o que significou mais um atraso para a conta da LGPD. Durante os dois primeiros meses de constituição, a ANPD apenas tratou de questões estruturais. Um de seus primeiros posicionamentos se deu no sentido de que a autoridade terá, inicialmente, um papel de cunho educativo, de forma a conscientizar todos os titulares de dados, ou seja, a sociedade civil em geral, acerca de seus direitos e da importância da LGPD na consagração da privacidade e da proteção de dados pessoais. Esta manifestação não agradou muitos dos que buscam mostrar aos agentes de tratamento que a adequação à lei é necessária e urgente, já que esse cunho educativo é importante, porém, no cenário atual, no qual mais vivemos uma "roleta de vazamento de dados", espera-se uma atuação da Autoridade mais firme e robusta, inclusive quanto ao papel punitivo que deve ser desempenhado pela instituição.
O primeiro ato concreto da Autoridade rumo à regulamentação atinente à LGPD ocorreu em 28 de janeiro, no Dia Internacional da Privacidade de Dados, quando foi publicada a portaria 11 de 2021, a qual estabeleceu a agenda regulatória para o biênio 2021-2022. No entanto, tampouco a ANPD acertou em suas prioridades. Como muito bem foi observado pelos estudiosos da área, o elenco de prioridades foi demasiadamente dissolvido na linha do tempo exposta. Em suma, a Autoridade Nacional de Proteção de Dados recebeu críticas por, novamente, se atrasar, prevendo prazos muito extensos para a regulamentação de assuntos que demandam urgência e requerem providências rápidas.
A agenda regulatória publicada, quanto às questões relativas aos direitos dos titulares, tema que é nitidamente um dos principais focos e clara prioridade na LGPD, dispôs que serão regulamentadas apenas no primeiro semestre de 2022, basicamente um ano depois do início da vigência da lei. As regulamentações acerca do "DPO" ("EPD" - Encarregado de Proteção de Dados Pessoais) também ficaram previstas apenas para o primeiro semestre de 2022, mesmo sendo este uma das principais figuras da lei, uma vez que é considerado um ponto de contato entre titular de dados, a ANPD e os agentes de tratamento de dados.
Ademais, também vem sendo questionado o fato da regulamentação sobre questões atinentes à transferência internacional de dados ter previsão apenas para o 1º semestre de 2022, ainda mais ao se considerar o nível de globalização e, portanto, a intensidade de trânsito internacional de dados pessoais. Por fim, para o segundo semestre de 2022, serão regulamentados os aspectos das bases legais dos tratamentos de dados pessoais.
É certo que a ANPD carrega, juntamente ao grande privilégio de ser uma verdadeira autoridade incumbida da proteção de dados pessoais, várias grandes responsabilidades. De fato, a LGPD traz mais de 50 pontos carentes de regulamentação, procedimento o qual, se mal realizado, nos deixará muito longe de alcançar os objetivos da lei protetiva de dados.
Entendemos, por evidência, que é praticamente impossível a resolução de todos estes pontos em um período muito curto, porém, ousamos dizer que os estudiosos da área, bem como os entusiastas da proteção de dados pessoais, esperavam mais da ANPD, ao menos até agora. A crítica não se dá no sentido de que devem ocorrer mais regulamentações em um menor período de tempo, mas sim no sentido de que, dentro da previsão disposta na Agenda Regulatória, é necessário que mais pontos sejam apreciados.
A partir da publicação da Agenda Regulatória supramencionada, a ANPD também iniciou as tomadas de subsídios - o que consiste em um mecanismo que possibilita a participação social durante as fases preliminares do processo regulatório. Na última semana de janeiro, portanto, iniciou-se a tomada de subsídios sobre microempresas, empresas de pequeno porte e PME's, já que a regulamentação deste tema está prevista para o 1º semestre do corrente ano.
Foi no fim de fevereiro, por sua vez, que a ANPD iniciou a tomada de subsídios acerca da notificação de incidentes de segurança e, na oportunidade, definiu que, enquanto não houver efetiva regulamentação da Lei, nos casos de incidentes de segurança, o agente de tratamento deve comunicar a Autoridade em até dois dias úteis, a contar da data de conhecimento do ocorrido. Outro assunto que, de acordo com a Agenda Regulatória, deve ser regulamentado no 1º semestre de 2021.
Dentro do escopo da Agenda Regulatória, também podemos identificar a criação do Regimento Interno e do Planejamento Estratégico para o triênio 2021-2023.
Em fevereiro foi publicado o Planejamento Estratégico da Autoridade, o qual, em suma, estabeleceu três objetivos principais: 1) promover o fortalecimento da cultura de Proteção de Dados Pessoais; 2) estabelecer ambiente normativo eficaz para a Proteção de Dados Pessoais; 3) aprimorar as condições para o cumprimento das competências legais.
A ideia de promover a cultura de proteção de dados no âmbito da sociedade civil busca criar mecanismos concretos voltados à prevenção e à detecção de infrações à LGPD, e, nesse sentido, internalizar a importância do zelo ao dado pessoal junto aos agentes de tratamento, bem como aos titulares. Para tanto, estão vinculados neste objetivo estratégico a promoção de eventos de capacitação e oficinas sobre temas relacionados à proteção de dados; a elaboração de guias e recomendações; fiscalização do cumprimento da lei e suas normativas; participação da ANPD em reuniões com institutos internacionais, entre outros aspectos.
Quanto ao objetivo focado em estabelecer ambiente normativo eficaz para a Proteção de Dados Pessoais, trata-se de estabelecer as prioridades da agenda regulatória, a criação e aprovação dos temas regulatórios e o estabelecimento de procedimentos e mecanismos céleres para o tratamento de incidentes e de reclamações.
Por último, o propósito de aprimorar as condições para o cumprimento das competências legais, por sua vez, objetiva congregar as ações relacionadas às garantias de condições físicas, orçamentárias e de recursos humanos adequadas e suficientes para garantir o bom funcionamento da ANPD. Para isso, é necessário estruturar a Autoridade, obter orçamento e promover a sua execução orçamentária anual e, ainda, ampliar o corpo de servidores públicos.
Posteriormente, já no início de março, a Autoridade publicou o seu primeiro Regimento Interno. Em suma, estabeleceu o funcionamento do Conselho Diretor, inclusive quanto às suas deliberações, e dos órgãos seccionais de assistência direta e imediata. O Regimento também traz, a partir do art. 73, o procedimento de recurso administrativo e a possibilidade de pedido de reconsideração.
O que se percebe é que as prioridades foram elencadas e estão, de certa forma, sendo executadas. Para o 1º semestre de 2021, caberá à Autoridade, ainda, estabelecer normativas para as aplicações de multas e sanções que estão previstas no art. 52, da LGPD - as quais, se nada fugir do esperado, começarão a valer a partir de 1 de agosto de 2021. Neste período, a Autoridade deverá, também, regulamentar questões essenciais sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD).
É notável, diante do que ocorreu até o momento, que se espera uma atuação muito mais incisiva do que a que apresenta a nossa Autoridade de Proteção de Dados. A demora em sua estruturação gera receios em múltiplos setores, inclusive considerando que a LGPD foi aprovada em meados de 2018, tendo havido prazo de sobra para que pudéssemos regulamentar questões essenciais. As indicações dos representantes das instituições científicas, tecnológicas e de inovação para ocupar o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade ainda estão em trâmite e, com certeza, as escolhas e posteriores nomeações não vão acontecer de um dia para o outro.
Outro ponto a ser debatido é se, na prática, a ANPD terá autonomia necessária que este tipo de órgão, a exemplo internacional, exige. O Conselho Diretor, como bem já mencionado, traz em sua maioria militares, o que não espelha nenhuma estrutura de Autoridade de Proteção de Dados em países referências sobre o tema.
É de bom alvitre discutir, ainda, que a participação da ANPD em qualquer situação que, direta ou indiretamente, se relaciona com proteção de dados, deve ser imponente e objetiva. Há pouco nos deparamos com a notícia de um vazamento de dados pessoais que envolvia 220 milhões de brasileiros, tratando-se inclusive de pessoas já falecidas. Na oportunidade, esperava-se um posicionamento imperioso da Autoridade, mas o que aconteceu foi a emissão de um entendimento raso e com muita delonga a considerar a possibilidade e grandiosidade da extensão de danos que esse tipo de incidente pode causar à sociedade civil brasileira.
Nesse sentido, para termos uma internalização cultural sobre proteção de dados, bem como atuação efetiva do nosso órgão regulador, é essencial que a referência adotada seja a atuação das grandes Autoridades ao redor do mundo, como a ICO (Reino Unido), CNIL (França), CNPD (Portugal), AEPD (Espanha) e as autoridades da Alemanha, até porque é completamente inviável, em um tema no qual o Brasil já está tão atrasado, nivelar a nossa capacidade por baixo.
Portanto, o que sabemos é que as próximas amostras de atuação da ANPD estão sendo aguardadas ansiosamente por todos os componentes envolvidos na prática e aplicação da LGPD. Dito isso, é essencial que tenhamos um poder de julgamento apurado, pois a "linha de raciocínio" dos diretores e demais peças da Autoridade devem acompanhar a tendência de comportamento das grandes potências mundiais em proteção de dados para fins de sedimentar o caminho da LGPD da forma mais satisfatória possível.
Ana Carolina Teles Maciel
Advogada da equipe de Privacidade e Proteção de Dados do Assis e Mendes. Bacharel em Direito pela Universidade de Itaúna (UI) e Pós-Graduada em Direito Processual Civil pela PUC/MG. Especialista em Proteção de Dados (teoria e prática) pelo Data Privacy Brasil (DPB) e em Lei Geral de Proteção de Dados (LGPD) pelo Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS/Rio). Além disso, tem especialização em Direito Digital, Proteção de Dados e Compliance pela Escola Superior de Advocacia de São Paulo (ESAOAB/SP).