Fazemos parte do Hub Jurídico SFBG - São Paulo
 

INFORMATIVOS

LGPD: confira quais serão os primeiros passos da ANPD, autoridade que regula a Lei de Proteção de Dados

A Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar e editar normas previstas na Lei Geral de Proteção de Dados (LGPD), apresentou em 28 de janeiro uma agenda de suas primeiras ações e divulgou em 1º de fevereiro o planejamento de objetivos e ações entre 2021 e 2023.

Esses são os primeiros passos do órgão que irá dar forma à lei de dados, e acontecem em meio a um dos maiores vazamentos de dados que se tem conhecimento no Brasil – em 28 de janeiro, a Polícia Federal recebeu um pedido da ANPD para abrir a investigação sobre o caso.

A agenda prevê a definição de regras para o cálculo de multas, prazos e formas de comunicação de vazamentos, entre outros temas (veja a lista completa de itens ao final da matéria).

No planejamento inicial da autoridade está previsto implementar um fluxo para receber incidentes e reclamações no prazo de 6 meses e obter orçamento próprio em até um ano.

Apesar de a LGPD estar valendo, as multas só começam a ser aplicadas em agosto de 2021 e ainda faltam definições de regras pela ANPD.

A regulamentação da lei é importante para que ela passe a ser seguida por completo. Sem a atuação da ANPD, não fica claro como alguns trechos devem ser interpretados, nem quais regras específicas empresas precisam seguir.

“Pelo fato de a LGPD ser uma lei geral, há questões que não estão bem amarradas e pontos que acabam não ficando claros dependendo da atividade que uma empresa vai desempenhar. A ANPD serve para regulamentar isso”, explica Karolyne Utomi, advogada especialista em direito digital.

Especialistas ouvidos pelo G1 indicam que o Brasil está atrasado na regulamentação dos temas. Desde que houve a aprovação da lei, em agosto de 2018, foram dois anos para ela entrar em vigência, após dois adiamentos.

“O maior problema com a autoridade de proteção não é a agenda regulatória, que foi publicada agora, mas fatos anteriores como as nomeações tardias e a publicação da estrutura de cargos que foi realizada com a lei prestes a entrar em vigor”, disse Utomi.

A estrutura de cargos da autoridade foi publicada pelo presidente Jair Bolsonaro em agosto passado, com a nomeação dos diretores em outubro. O Senado aprovou os nomes uma semana depois.

agenda divulgada no final de janeiro define o início de discussões para a regulamentação da LGPD, mas não impõe um prazo final para que isso seja concluído. Somente o planejamento trouxe um cronograma com previsão do encerramento das ações.

“Se seguir nesse ritmo, vamos levar anos para que a lei seja regulamentada completamente”, afirmou Italo Nogueira, presidente da Assespro Nacional, associação de empresas de tecnologia da informação.

Primeiros passos

O primeiro passo da ANPD foi a publicação da agenda regulatória, documento que definiu 10 itens considerados mais importantes até o 2º semestre de 2022 pela diretoria do órgão (veja a lista completa de itens ao final da reportagem).

No 1º semestre de 2021, a autoridade vai começar a discutir, entre outros itens:

  • como serão calculadas as multas;
  • regras específicas para pequenas e médias empresas e startups;
  • formas de comunicação para vazamentos.

Ficaram para o 1º semestre de 2022 discussões importantes na avaliação de especialistas ouvidos pelo G1:

  • direitos dos titulares, ou seja, das pessoas físicas a quem se referem os dados pessoais;
  • atribuições do encarregado de proteção de dados, cargo que servirá como ponte entre as empresas e os cidadãos;
  • regras para a transferência internacional de dados pessoais, importante para empresas multinacionais.

“A discussão sobre os direitos dos titulares (das pessoas físicas) ficou para 2022, na avaliação da ANPD. Isso ser definido assim, na semana em que se tem o maior vazamento de dados na história do país, não sei se foi uma escolha muito boa“, disse Danilo Doneda, professor de direito no IDP (Instituto Brasiliense de Direito Público), se referindo ao megavazamento de 223 milhões de CPFs.

Insegurança jurídica

A LGPD prevê punições que vão desde advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões, e as discussões sobre as normas para esse cálculo devem começar no 1º semestre de 2021 – a agenda não impôs prazo para concluir as regras.

Definições importantes para as empresas, como as atribuições do encarregado de proteção de dados, que servirá como ponte entre empresas e cidadãos, e quais companhias precisarão criar esse cargo, só devem começar a ser discutidas no 2º semestre do ano.

“Sem regulamentação, a avaliação sobre o descumprimento da lei ficará a critério de quem for fiscalizar. Isso pode causar uma série de questões jurídicas. Além disso, quem quiser investir nessa área, fica sempre com o pé atrás”, avalia Roberto Mayer, conselheiro da Assespro Nacional.

Na opinião da advogada Karolyne Utomi, a pressa não pode interferir na qualidade das definições da ANPD.

O fato é que estamos em situação de insegurança jurídica há muito tempo, desde que a vigência da lei foi adiada. O Brasil já está atrasado com a ANPD, mas é preciso ser bem feito, em vez de fazer de qualquer jeito e causar mais insegurança jurídica”, disse ela.

“Para um trabalho de dimensão de regulamentar e fomentar a cultura de proteção de dados pessoais, além de satisfazer os pontos regulatórios, os prazos definidos na agenda é razoável. A formação da diretoria aconteceu em novembro de 2020, e eles têm um trabalho gigantesco pela frente. Para termos um trabalho de qualidade, é um prazo razoável”, afirmou Utomi.

Ausência do conselho

A estrutura da ANPD prevê a existência do Conselho Nacional de Proteção de Dados Pessoais (CNPD), um grupo formado por 23 membros com mandato de dois anos que deverá opinar sobre as decisões da autoridade e dar sugestões para a política nacional de proteção de dados.

É no conselho que estarão representantes da sociedade civil, de instituições científicas, do Senado, da Câmara dos Deputados, do Conselho Nacional de Justiça, do Conselho Nacional do Ministério Público, do Comitê Gestor da Internet no Brasil e de entidades do setor empresarial.

Esse grupo ainda não foi formado e a agenda não prevê alguma data limite para que as nomeações sejam concluídas.

“Senti falta de menções ao Conselho Nacional de Proteção de Dados Pessoais (CNPD) na agenda, porque essa é uma das coisas que a ANPD precisa regulamentar para funcionar”, disse Danilo Doneda.

“Em tese, não é impossível que a autoridade faça regulamentações sem o CNPD, mas eles estão tocando o barco de uma forma que pode dificultar que o conselho tenha voz, que possa dar uma opinião efetiva”, afirmou o professor de direito.

“Se a agenda regulatória está sendo feita sem o conselho, isso quer dizer que você está tirando espaço da sociedade civil se manifestar”, completou Doneda.

“O ideal seria o conselho já estivesse sido totalmente formalizado, mas cada ente designado para compor o conselho já deveria ter nomeado seus representantes, o que ainda não aconteceu. Se fôssemos esperar até que todos enviassem, a ANPD ficaria parada“, disse a advogada Karolyne Utomi.

Na última quinta-feira (4), uma semana depois da divulgação da agenda, a ANPD publicou o edital para receber indicações para o CNPD de representantes da sociedade civil, instituições científicas, tecnológicas e de inovação, confederações sindicais representativas das categorias econômicas do setor produtivo, entidades do setor empresarial e do setor laboral.

Agenda completa

No 1º semestre de 2021, a ANPD planeja começar a discutir:

  • Seu regulamento interno;
  • Planejamento de objetivos e ações entre 2021 e 2023;
  • Regras específicas para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos;
  • Normas para aplicação de sanções, incluindo como será definido valores de multas;
  • Prazos e formas de comunicação para casos de incidentes como vazamentos;
  • Criar regulamentos e procedimentos para os relatórios de impacto que empresas terão que elaborar caso o seu tratamento de dados ofereça alto risco à garantia dos princípios da LGPD.

Para o 1º semestre de 2022, a autoridade pretende:

  • Regulamentar direitos dos titulares de dados pessoais;
  • Definir regras para a definição e as atribuições do encarregado de proteção de dados, um cargo que algumas empresas precisarão criar. A ANPD vai decidir também sobre em quais possibilidade a indicação desse cargo não será necessária;
  • Definir regras para a transferência internacional de dados pessoais (para empresas multinacionais, por exemplo).

Para o 2º semestre de 2022, a autoridade planeja:

  • Criar um com orientações ao público sobre hipóteses legais de aplicação da LGPD.

Planejamento de objetivos e ações

Os dos itens previstos na agenda, o planejamento de objetivos e ações entre 2021 e 2023, foi divulgado em 1º de fevereiro, com 3 objetivos estratégicos:

  • Promover o fortalecimento da cultura de proteção de dados pessoais;
  • Estabelecer ambiente normativo eficaz para a proteção de dados;
  • Aprimorar as condições para o cumprimento das competências legais.

Cada item trouxe ações para o seu cumprimento e indicadores para medir seu sucesso. Para o primeiro item, por exemplo, a ANPD definiu que será preciso detectar infrações à LGPD e realizar eventos, diálogos e recomendações sobre o tema.

*Edição IGSA

*Fonte de pesquisa: https://g1.globo.com/economia/tecnologia/noticia/2021/02/06/lgpd-veja-quais-serao-os-primeiros-passos-da-autoridade-que-regula-a-lei-de-protecao-de-dados.ghtml