Um estudo sobre a ANPD e sua importância para a eficácia da LGPD

UM ESTUDO SOBRE A ANPD E SUA IMPORTÂNCIA PARA A EFICÁCIA DA LGPD

Segundo definição contida na LGPD, a autoridade nacional é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional (art. 5º, inc. XIX).

Dentre suas competências ali estabelecidas, estão a função de elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na Lei; editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; deliberar na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e casos omissos; implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

Estas são apenas as competências relacionadas à ação regulamentadora da Autoridade Nacional, o que nos indica o grave problema que temos com a ausência de sua constituição e efetiva atividade.

Assim, não é difícil perceber o quão prejudicial é a entrada em vigor da LGPD sem que tenhamos as regulamentações necessárias ao menos em andamento. Nortear nossas ações com base apenas no que tem sido feito fora do Brasil, especialmente na União Europeia, que é a grande fonte de inspiração dos estudiosos da LGPD, é perigoso e ineficiente, uma vez que nossa realidade e nossa cultura não se aparelham com o que vemos em outros países, cuja cultura de proteção de dados já se encontra mais madura.

Para compreender a importância da Autoridade Nacional estar alinhada com a entrada em vigor da LGPD, vamos percorrer o texto da Lei, indicando todos os pontos que estão pendentes de regulamentação:

- Art. 4º, § 3º - A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.

As exceções previstas no inc. III dizem respeito à não aplicação da LGPD ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Isso significa que, ainda que não haja incidência da LGPD para estes casos, o tratamento de dados pessoais não está isento dos cuidados previstos na Lei. Entretanto, somente a autoridade nacional poderá emitir opiniões ou cobrar qualquer ação referente a essas questões.

- Art. 10, § 3º - A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Aqui temos um problema de fiscalização, pois enquanto a autoridade nacional não estiver em plena atuação, não haverá qualquer controle quanto à atividade do controlador, baseada no legítimo interesse.

- Art. 11, § 3º - A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.

- Art. 12, § 3º - A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

Verificamos assim que os processos de anonimização poderão sofrer intervenção da autoridade nacional, sendo certo que, enquanto não houver manifestação quanto ao tema, haverá insegurança quanto à realização destes processos.

- Art. 13, § 3º - O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.

Está claro assim que somente será possível o acesso aos dados utilizados na realização de estudos em saúde pública, mediante regulamentação da autoridade nacional.

- Art. 15 – O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

IV – determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

- Art. 18 , inc. V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados o segredo comercial e industrial.

A questão da portabilidade dos dados, que é um dos direitos do titular, só poderá ser exercida após regulamentação da autoridade nacional, pois não há na Lei, nenhum indicativo de como deverá ocorrer o processo de entrega destes dados para que se efetive a portabilidade de forma satisfatória.

- Art. 19, § 3º - Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

Aqui também dependemos de regulamentação, definindo como deverá ser feita a entrega da cópia integral dos dados solicitados pelo titular, nestes casos. Sem tal regulamentação, não há uma forma segura de cumprir a determinação legal.

- Art. 19, § 4º - A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput do artigo para setores específicos.

De pronto, já se depreende que os prazos para providenciar a confirmação de existência ou o acesso aos dados pessoais, requisitados pelo titular, não serão idênticos para todos os setores, podendo ser flexibilizados, a depender do tipo de atividade exercida, a critério da autoridade nacional.

- Art. 20, § 2º - Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.

Neste caso, o caput do artigo trata da revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. O titular, neste caso, poderá solicitar a revisão destas decisões e cabe ao controlador fornecer informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

Havendo a ressalva do segredo comercial e industrial, é provável que ela seja utilizada com frequência para justificar o não oferecimento das informações solicitadas pelo titular, cabendo à autoridade nacional, nestes casos, a verificação de possíveis aspectos discriminatórios nestes tratamentos automatizados.

É aqui que reside o problema da ausência de uma autoridade que possa agir imediatamente, enquanto o direito do titular é lesado pelo não fornecimento das informações solicitadas. Não faz sentido que o titular tenha direitos que não poderão ser tutelados, diante da ausência de um órgão que a própria Lei estabelece como responsável pela fiscalização e tomada de providências.

- Art. 33 – A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

V- quando a autoridade nacional autorizar a transferência;

Desta forma, nos casos em que houver necessidade de autorização da autoridade nacional, mais uma vez estará engessada a atividade do controlador, pois não haverá a quem recorrer para solicitar uma autorização, ao mesmo tempo que não há como correr o risco de uma transferência não autorizada, sob pena de responsabilidade, caso ocorra algum incidente nesta transação.

No tocante à transferência internacional de dados, encontramos ainda diversas outras disposições de atuação direta da autoridade nacional, tais como o art. 35, caput, § 2º, § 3º, § 4º e art. 36. Desta forma, a atividade de transferência internacional de dados resta, em grande parte, prejudicada, ante a ausência da autoridade nacional para direcioná-la.

- Art. 38 – A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

-Art. 40 – A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre tempo de guarda dos registros, tendo em vista especialmente a necessidade e transparência.

Nestes dois artigos, estão orientações ao controlador e ao operador, que também devem ser regulamentadas pela autoridade nacional. Embora a atuação destes dois agentes de tratamento não esteja dependendo exclusivamente de regulamentação posterior, os pontos fixados nos dispositivos supra transcritos são de suma importância para a segura atividade de ambos.

- Art. 41, § 3º - A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Este artigo é de suma importância, especialmente para aqueles que pretendem exercer a função de encarregado (o famoso DPO). Em que pese as promessas de altos salários, que vêm atraindo muitos interessados, é importante ter em mente que o artigo acima dispõe que a autoridade nacional poderá estabelecer hipóteses em que não será necessária a indicação de um encarregado, podendo reduzir significativamente as oportunidades de trabalho.

Além disto, as atribuições do encarregado ficam pendentes de regulamentação, uma vez que a autoridade nacional poderá estabelecer normas complementares para a sua atuação.

- Art. 46, § 1º - A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

O caput do art. 46 dispõe que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Assim, ficará a cargo da autoridade nacional estabelecer padrões técnicos mínimos para a segurança e sigilo dos dados pessoais, sem os quais, ficam os agentes de tratamento limitados em suas atuações.

- Art. 48 – O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º - A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional...

Aqui temos mais uma importante função da autoridade nacional, que é a de receber as comunicações de incidentes de segurança, e a partir daí, fazer as verificações necessárias para a apuração do ocorrido e eventual aplicação de penalidade.

Outro ponto importante é que o prazo para que a comunicação de incidente seja feito, também depende de manifestação da autoridade nacional, sendo óbvio que a não fixação de um prazo poderá abrir espaço para que os incidentes não sejam comunicados em tempo hábil, gerando prejuízos aos titulares afetados.

- Art. 52 – Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitas às seguintes sanções administrativas aplicáveis pela autoridade nacional.

Aqui está estabelecida a competência da autoridade nacional para a aplicação das sanções administrativas, sendo certo que, enquanto não se iniciar a atividade da autoridade, não haverá aplicação das sanções administrativas, uma vez que ela é a única legitimada pela Lei para sua aplicação, lembrando que outras sanções poderão advir de eventual atuação do Poder Judiciário e demais órgãos de fiscalização, mas não as previstas nos arts. 52 a 54 da LGPD.

Finalmente, o art. 55-J traz um rol de competências da ANPD, que ficarão sem efetividade, caso não haja sua constituição a tempo da entrada em vigor da LGPD, sendo válida uma leitura atenta do referido dispositivo.

De todo o exposto, podemos concluir que a entrada em vigor da LGPD, sem que esteja em atividade a autoridade nacional, nos parece um retrocesso na questão da proteção de dados, uma vez que a maioria das normas contidas na Lei não terão eficácia plena enquanto não regulamentadas .

Não há dúvidas de que há um grave comprometimento da eficácia da LGPD, já que a maioria das ações de implementação iniciadas no Brasil, buscam amparo na experiência dos países da União Europeia, que já contam com uma sólida legislação sobre o tema (o GDPR, em vigor desde 2018). Entretanto, sabemos que as realidades são distintas e há muito a ser feito em matéria de adequação da Lei à nossa cultura (ou ausência dela), o que pode significar muito retrabalho, diante das novas orientações que advirão da atuação da nossa autoridade.

Outro ponto que não podemos deixar de destacar é que, com a ausência das regulamentações indicadas, a LGPD entra em campo com normas que deverão ser cumpridas de imediato, especialmente no tocante aos direitos dos titulares dos dados pessoais, que certamente serão exercidos através de ações judiciais, trazendo as questões de proteção de dados para o campo do contencioso, onerando ainda mais as empresas despreparadas, que infelizmente ainda são maioria no país.

Assim, esperamos ter despertado o pensamento crítico em nossos leitores, para que possamos ponderar sobre os rumos que a LGPD está tomando, e sobre os cenários que se constroem à nossa frente, a fim de que possamos lutar por uma Lei efetiva, com força suficiente para fazer valer os direitos dos titulares e estabelecer de forma consolidada, a proteção de dados entre nós.