Por Layon Lopes e Gustavo Chaves Barcellos*
Na quinta-feira, dia 27, o Governo Federal publicou o Decreto nº 10.474 que estrutura regimentalmente a Autoridade Nacional de Proteção de Dados (ANPD) – órgão que será responsável por fazer valer a LGPD no Brasil, aplicando, inclusive, sanções contra aqueles que descumprirem suas disposições.
O dia anterior, dia 26, abalou as estruturas da Governança de Dados Pessoais no Brasil, uma vez que, nesta data, o Senado Federal decidiu derrubar o artigo 4º da Medida Provisória 959/2020, o qual, por sua vez, postergava a entrada em vigor da Lei Geral de Proteção de Dados Pessoais – “LGPD” (Lei nº 13.709 de 2018) para 3 de maio de 2021.
Mas, afinal, o que é a ANPD?
Trata-se de um órgão vinculado à Presidência da República, dotado de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal. A ANPD tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelas disposições da LGPD.
Eis aqui uma das razões pelas quais se demorou tanto tempo desde a promulgação da LGPD em 2018 para estruturação da ANPD: a sua vinculação direta à Presidência da República, e não a um dos seus Ministérios, o que, para muitos juristas, pôs em cheque a sua independência, indo de encontro aos modelos internacionais de sucesso, como nos Estados Unidos e na União Europeia.
Divergências à parte, em relação às suas principais competências, a ANPD será responsável por:
- zelar pela proteção dos dados pessoais, nos termos da legislação;
- zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações;
- elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
- apreciar petições de titular contra controlador após a comprovação pelo titular da apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
- promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
- promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
- estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
- promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
- dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
- solicitar, a qualquer momento, aos órgãos e às entidades do Poder Público que realizam operações de tratamento de dados pessoais, informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;
- elaborar relatórios de gestão anuais acerca de suas atividades;
- editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade e sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD;
- Consultar os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e seu planejamento;
- realizar auditorias ou determinar sua realização;
- celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa;
- editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas, empresas de pequeno porte e iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação possam adequar-se ao disposto na LGPD;
- garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento;
- deliberar, na esfera administrativa, em caráter terminativo, sobre a LGPD, as suas competências e os casos omissos;
- comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
- comunicar aos órgãos de controle interno o descumprimento do disposto na LGPD;
- articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
- implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.
A ANPD será composta por um Conselho Diretor (órgão máximo), um órgão consultivo ( denominado “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”), órgãos de assistência ao Conselho Diretor (Secretaria-geral; Coordenação-Geral de Administração; e, Coordenação-Geral de Relações Institucionais e Internacionais), órgãos secionais (Corregedoria; Ouvidoria; e Assessoria Jurídica;), e órgãos específicos singulares (Coordenação-Geral de Normatização; Coordenação-Geral de Fiscalização; e Coordenação-Geral de Tecnologia e Pesquisa.).
Dentre as entidades elencadas acima, a que mais nos importa neste momento é o Conselho Diretor, pois será ele que capitaneará a ANPD. Neste sentido, cabe destacar as suas competências que mais impactam nas operações das empresas de tecnologia no Brasil:
- solicitar ao controlador dos dados pessoais (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais), o relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial;
- solicitar informações suplementares e realizar diligências de verificação quanto às operações de tratamento, no contexto da aprovação de transferências internacionais de dados;
- regulamentar a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, permitida a sua vedação, ouvidos os órgãos públicos setoriais competentes;
- regulamentar a portabilidade de dados pessoais entre fornecedores de serviços ou produtos;
- dispor sobre os padrões e as técnicas utilizados em processos de anonimização e verificar a sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
- dispor sobre os padrões de interoperabilidade para fins de portabilidade, o livre acesso aos dados, a segurança dos dados e o tempo de guarda dos registros, consideradas a necessidade e a transparência;
- dispor sobre os padrões mínimos para a adoção de medidas de segurança, técnicas e administrativas de proteção de dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
- determinar o término do tratamento dos dados pessoais;
- determinar ao controlador de dados pessoais a elaboração do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento de dados, incluídos os dados sensíveis, observados os segredos comercial e industrial;
- determinar ao controlador de dados pessoais a adoção de providências para a salvaguarda dos direitos dos titulares, a partir da verificação da gravidade de incidentes de segurança; e,
- encaminhar as petições de titulares de dados pessoais apresentados à ANPD contra o controlador, para avaliação da unidade competente.
Um ponto que chama atenção em relação ao Conselho Diretor é a sua composição, tendo em vista que ele será composto por cinco diretores, estes escolhidos pelo Presidente da República após aprovação pelo Senado Federal, que deverão ser brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.
Percebe-se que, diante do critério de escolha dos membros do órgão máximo da ANPD, a sua parcialidade será, no mínimo, discutível, tendo em vista o elevado elemento político aplicado em relação a tal escolha, situação similar a que ocorre em relação ao Supremo Tribunal Federal.
Traçado um breve resumo acerca dos pontos essenciais relativos à ANPD, responde-se à pergunta que paira sobre o empresariado brasileiro: O que muda agora?
Desde a sua promulgação, a LGPD sofreu mutações, de modo que, atualmente, a entrada em vigor das suas disposições foi segregada:
- os artigos que tratam sobre a ANPD e o Conselho Nacional de Proteção de Dados Pessoais estão em vigor desde 28/12/2018;
- os artigos que tratam das sanções só entrarão em vigor em 01/08/2021; e,
- os demais artigos entrariam em vigor somente em 03/05/2021 (o que foi derrubado pelo Senado Federal), de modo que entrarão em vigor após veto ou sanção presidencial.
Portanto, ainda há tempo para as empresas de tecnologia se adequarem à LGPD antes da ANPD começar a aplicar sanções administrativas aos seus infratores, o que não quer dizer, todavia, que a inobservância da LGPD após a decisão presidencial só será punida em agosto do próximo ano!
Isso porque as referidas sanções não substituem a responsabilização civil ou penal dos agentes de tratamento de dados que violarem a legislação de proteção de dados pessoais, a qual, para fins práticos, pode ser considerada em vigor, nos termos do parágrafo 2º, do artigo 52, da LGPD, sendo esta, portanto, a sua principal mudança.
Em suma, a ANPD será o pilar de sustentação de todo o arcabouço normativo da política de proteção de dados adotada no Brasil, sendo que, dos 120 países que possuem legislação protetiva aos dados pessoais, apenas a Angola e a Nicarágua não possuem uma autoridade independentemente (o que, agora, parece ser o caso do Brasil também).
Por mais abrupta e discutível que tenha sido a referida decisão do Senado Federal ocorrida em 26 de agosto de 2020, sob o prisma da segurança jurídica e do Estado de Direito, fato é que ela foi o catalisador necessário para o Governo Federal livrar-se da sua inércia e estruturar órgão que irá ditar as normas gerais de compliance, para fins de adequação à LGPD.
Diante disso, conclui-se que, em que pese a iminente vigência do diploma protetivo de dados pessoais, o início das atividades por parte da recém estruturada ANPD é medida mandatória para que se tenha, de fato, uma unidade na interpretação, bem como aplicação da LGPD e, consequentemente, uma atenuação da insegurança jurídica que o país enfrenta neste momento no que tange à Proteção de Dados Pessoais.
Dúvidas? A equipe do Silva | Lopes Advogados pode te ajudar!
*Lopes é CEO do Silva | Lopes Advogados e Barcellos é integrante do time do escritório.
PODCAST STARTUP LIFE:
LGPD e suas Polêmicas (com Daniela Froener e Gustavo Barcellos)