LGPD: saiba quais são as primeiras ações que já estão previstas para ANPD
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro do ano passado, mas ainda não estão sendo aplicadas multas às empresas que não cumprirem o que determina a lei. Isso porque, faltava a implantação da Autoridade Nacional de Proteção de Dados (ANPD), órgão fiscalizador da nova lei.
No dia 28 de janeiro, a ANPD apresentou uma agenda de suas primeiras ações e divulgou o planejamento de objetivos e ações, entre 2021 e 2023, no dia 1° de fevereiro. A divulgação das diretrizes que serão tomadas pelo órgão aconteceu em meio a um dos maiores vazamentos de dados que se tem conhecimento no Brasil.
A agenda prevê a definição de regras para o cálculo de multas, prazos e formas de comunicação de vazamentos, entre outros temas. No planejamento inicial da autoridade está previsto implementar um fluxo para receber incidentes e reclamações no prazo de 6 meses e obter orçamento próprio em até um ano.
A regulamentação da LGPD é importante para que ela passe a ser seguida por completo. Sem a atuação órgão fiscalizador, não fica claro como alguns trechos devem ser interpretados, nem quais regras específicas empresas precisam seguir.
Especialistas ouvidos pelo G1 indicam que o Brasil está atrasado na regulamentação dos temas. Desde que houve a aprovação da lei, em agosto de 2018, foram dois anos para ela entrar em vigência, após dois adiamentos.
A estrutura de cargos da autoridade foi publicada pelo presidente Jair Bolsonaro em agosto passado, com a nomeação dos diretores em outubro. O Senado aprovou os nomes uma semana depois.
A agenda divulgada no final de janeiro define o início de discussões para a regulamentação da LGPD, mas não impõe um prazo final para que isso seja concluído. Somente o planejamento trouxe um cronograma com previsão do encerramento das ações.
“Se seguir nesse ritmo, vamos levar anos para que a lei seja regulamentada completamente”, afirmou Italo Nogueira, presidente da Assespro Nacional, associação de empresas de tecnologia da informação.
Primeiras ações
O primeiro passo da ANPD foi a publicação da agenda regulatória, documento que definiu 10 itens considerados mais importantes até o 2º semestre de 2022 pela diretoria do órgão .
No 1º semestre de 2021, a autoridade vai começar a discutir, entre outros itens:
como serão calculadas as multas;
regras específicas para pequenas e médias empresas e startups;
formas de comunicação para vazamentos.
Ficaram para o 1º semestre de 2022 discussões importantes na avaliação de especialistas ouvidos pelo G1:
direitos dos titulares, ou seja, das pessoas físicas a quem se referem os dados pessoais;
atribuições do encarregado de proteção de dados, cargo que servirá como ponte entre as empresas e os cidadãos;
regras para a transferência internacional de dados pessoais, importante para empresas multinacionais.
"A discussão sobre os direitos dos titulares (das pessoas físicas) ficou para 2022, na avaliação da ANPD. Isso ser definido assim, na semana em que se tem o maior vazamento de dados na história do país, não sei se foi uma escolha muito boa", disse Danilo Doneda, professor de direito no IDP (Instituto Brasiliense de Direito Público), ao G1, se referindo ao megavazamento de 223 milhões de CPFs.
Insegurança jurídica
A LGPD prevê punições que vão desde advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões, e as discussões sobre as normas para esse cálculo devem começar no 1º semestre de 2021 – a agenda não impôs prazo para concluir as regras.
Definições importantes para as empresas, como as atribuições do encarregado de proteção de dados, que servirá como ponte entre empresas e cidadãos, e quais companhias precisarão criar esse cargo, só devem começar a ser discutidas no 2º semestre do ano.
“Sem regulamentação, a avaliação sobre o descumprimento da lei ficará a critério de quem for fiscalizar. Isso pode causar uma série de questões jurídicas. Além disso, quem quiser investir nessa área, fica sempre com o pé atrás”, avalia Roberto Mayer, conselheiro da Assespro Nacional.
Na opinião da advogada Karolyne Utomi, a pressa não pode interferir na qualidade das definições da ANPD.
"O fato é que estamos em situação de insegurança jurídica há muito tempo, desde que a vigência da lei foi adiada. O Brasil já está atrasado com a ANPD, mas é preciso ser bem feito, em vez de fazer de qualquer jeito e causar mais insegurança jurídica", disse ela.
"Para um trabalho de dimensão de regulamentar e fomentar a cultura de proteção de dados pessoais, além de satisfazer os pontos regulatórios, os prazos definidos na agenda é razoável. A formação da diretoria aconteceu em novembro de 2020, e eles têm um trabalho gigantesco pela frente. Para termos um trabalho de qualidade, é um prazo razoável", afirmou Utomi.
Ausência do conselho
A estrutura da ANPD prevê a existência do Conselho Nacional de Proteção de Dados Pessoais (CNPD), um grupo formado por 23 membros com mandato de dois anos que deverá opinar sobre as decisões da autoridade e dar sugestões para a política nacional de proteção de dados.
É no conselho que estarão representantes da sociedade civil, de instituições científicas, do Senado, da Câmara dos Deputados, do Conselho Nacional de Justiça, do Conselho Nacional do Ministério Público, do Comitê Gestor da Internet no Brasil e de entidades do setor empresarial.
Esse grupo ainda não foi formado e a agenda não prevê alguma data limite para que as nomeações sejam concluídas.
"Senti falta de menções ao Conselho Nacional de Proteção de Dados Pessoais (CNPD) na agenda, porque essa é uma das coisas que a ANPD precisa regulamentar para funcionar", disse Danilo Doneda.
"Em tese, não é impossível que a autoridade faça regulamentações sem o CNPD, mas eles estão tocando o barco de uma forma que pode dificultar que o conselho tenha voz, que possa dar uma opinião efetiva", afirmou o professor de direito.
"Se a agenda regulatória está sendo feita sem o conselho, isso quer dizer que você está tirando espaço da sociedade civil se manifestar", completou Doneda.
"O ideal seria o conselho já estivesse sido totalmente formalizado, mas cada ente designado para compor o conselho já deveria ter nomeado seus representantes, o que ainda não aconteceu. Se fôssemos esperar até que todos enviassem, a ANPD ficaria parada", disse a advogada Karolyne Utomi.
Na última quinta-feira (4), uma semana depois da divulgação da agenda, a ANPD publicou o edital para receber indicações para o CNPD de representantes da sociedade civil, instituições científicas, tecnológicas e de inovação, confederações sindicais representativas das categorias econômicas do setor produtivo, entidades do setor empresarial e do setor laboral.
Agenda completa
No 1º semestre de 2021, a ANPD planeja começar a discutir:
Seu regulamento interno;
Planejamento de objetivos e ações entre 2021 e 2023;
Regras específicas para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos;
Normas para aplicação de sanções, incluindo como será definido valores de multas;
Prazos e formas de comunicação para casos de incidentes como vazamentos;
Criar regulamentos e procedimentos para os relatórios de impacto que empresas terão que elaborar caso o seu tratamento de dados ofereça alto risco à garantia dos princípios da LGPD.
Para o 1º semestre de 2022, a autoridade pretende:
Regulamentar direitos dos titulares de dados pessoais;
Definir regras para a definição e as atribuições do encarregado de proteção de dados, um cargo que algumas empresas precisarão criar. A ANPD vai decidir também sobre em quais possibilidade a indicação desse cargo não será necessária;
Definir regras para a transferência internacional de dados pessoais (para empresas multinacionais, por exemplo).
Para o 2º semestre de 2022, a autoridade planeja criar um com orientações ao público sobre hipóteses legais de aplicação da LGPD e fazer o planejamento de objetivos e ações.
Os dos itens previstos na agenda, o planejamento de objetivos e ações entre 2021 e 2023, foi divulgado em 1º de fevereiro, com 3 objetivos estratégicos:
Promover o fortalecimento da cultura de proteção de dados pessoais;
Estabelecer ambiente normativo eficaz para a proteção de dados;
Aprimorar as condições para o cumprimento das competências legais.
Cada item trouxe ações para o seu cumprimento e indicadores para medir seu sucesso. Para o primeiro item, por exemplo, a ANPD definiu que será preciso detectar infrações à LGPD e realizar eventos, diálogos e recomendações sobre o tema.