Fonte: Opice Blum, Bruno e Vainzof Advogados Associados
O diretor-presidente da ANPD (Autoridade Nacional de Proteção de Dados), Waldemar Gonçalves Ortunho Junior, e a diretora Miriam Wimmer deram indicações de quais serão as prioridades do órgão. Além da aplicação das sanções administrativas apenas em último caso, eles reconheceram a urgência da educação e da regulamentação da LGPD (Lei Geral de Proteção de Dados Pessoais) para gerar a almejada segurança jurídica.
Ortunho Junior disse ainda que a estrutura da ANPD não é a ideal, mas a possível para este momento em que os recursos estão sendo direcionados para enfrentar a pandemia. Wimmer chamou a atenção para a importância de a LGPD dialogar com as legislações internacionais. As declarações foram dadas em evento promovido ontem pela Fiesp (Federação das Indústrias do Estado de São Paulo).
“A multa retira o dinheiro que seria investido pela empresa em prol da sociedade. O papel da Autoridade é promover o engajamento construtivo com governo, sociedade e empresas, e esse trabalho bem-sucedido vai atrair para o Brasil grande investimento internacional”, afirmou Ortunho Junior.
Wimmer destacou que tem ouvido as Autoridades de fora, da União Europeia, dizer que há excesso de notificação de incidentes de segurança, como vazamento de dados. Como resultado, segundo ela, fica difícil para esses órgãos fiscalizadores acompanharem incidentes que interessam, que geram impacto ou risco elevado aos titulares dos dados.
Avaliação do risco ou dano relevante para os titulares dos dados
Por isso, a diretora defende, conforme previsto na LGPD, que a avaliação do risco ou dano relevante seja o critério mais adequado para notificação do incidente de segurança à ANPD e aos titulares dos dados pessoais por parte das empresas e do Poder Público.
Para Wimmer, esse será um papel muito relevante da ANPD: o de sugerir melhores práticas ao mercado, considerando o que deu certo em outros países e diferenciando as recomendações por setores da economia. Ela considera, portanto, que a ANPD deva ser um agente de mudança de cultura, muito mais do que de aplicação de sanção – até porque, ressalta Wimmer, isso não é possível no momento, já que a possibilidade de punir ou multar requer regulamentação.
Ainda sobre incidentes de segurança, Ortunho Junior disse que uma das prioridades é regulamentar a notificação, tornando claro o procedimento, respondendo a perguntas como: quanto tempo para comunicar o incidente à Autoridade; quais informações devem ser comunicadas; e qual canal utilizar para isso.
Estruturação da ANPD
O diretor-presidente reconheceu que a estrutura da ANPD não é a ideal, sendo a possível para o momento vivido pelo Brasil e pelo mundo.
“O país está passando por uma pandemia, e os recursos estão sendo direcionados para enfrentá-la. Não é justo que queiramos aumentar as despesas. No momento, a ANPD tem cinco diretores, nada além disso, e esperamos ter local definido no começo do próximo ano. Serão ao todo 36 pessoas, incluindo os diretores, que vão trabalhar na ANPD”, disse. Sobre o regime interno, Ortunho Junior afirmou que está quase pronto, e que, como referência, a ANPD está utilizando outras agências, como a Anatel (Agência Nacional de Telecomunicações), e Autoridades de outros países.
Proteção de dados pessoais como direito fundamental
Wimmer disse que o Brasil caminha em direção, por meio da PEC 17/2019, ao reconhecimento do direito fundamental à proteção dos dados pessoais e relembrou que o STF (Supremo Tribunal Federal) já assumiu esse posicionamento por meio de decisões recentes como a da suspensão da eficácia da MP 954/2020.
Também afirmou que esse é um caminho natural, já que, segundo a autodeterminação informativa, o dado pessoal deve ser entendido como projeção da personalidade humana. O titular dos dados é protagonista em relação às suas informações.
Diálogo da LGPD com legislações internacionais
Para Wimmer, o Brasil, por meio da LGPD, poderá se inserir no ciclo evolutivo global. “A economia movida a dados é uma demanda global. Nosso papel como ANPD é fazer com que a LGPD dialogue com as legislações internacionais a fim de permitir um ambiente de interoperabilidade entre as leis, inserindo dessa forma o Brasil na economia global”, disse.
Educação em torno da proteção de dados pessoais
“O tema da educação é o mais complexo de ser tratado. A educação relacionada à percepção é que me preocupa porque vejo dificuldade de a sociedade perceber os riscos mais elementares da evolução tecnológica. Dificuldade, e eu me incluo nela, em compreender o mínimo possível [sobre o funcionamento da tecnologia]. Dificuldade na implementação da gestão dessa educação, que é uma responsabilidade definida pela LGPD para o Encarregado”, ponderou Renato Opice Blum.
Acerca da autorregulação regulada, Rony Vainzof afirmou que as melhores práticas desenvolvidas pelos controladores – e igualmente pelos operadores – podem ser homologadas pela ANPD.
Autodeterminação informativa
Vainzof destacou a autodeterminação informativa, observando que, infelizmente, ainda hoje, há um descontrole informacional muito grande.
“A autodeterminação informativa traz uma resposta muito simples: os dados pessoais pertencem aos indivíduos. Por isso, eles devem ter o direito de exercer o controle sobre seus dados. Inclusive isso já foi chancelado pelo STF – mesmo antes da entrada em vigor da LGPD. O julgamento da MP 954/2020, que previa a obrigação de remessa de dados das operadoras de telecomunicação para o IBGE [acesse aqui o report escrito pelo Opice Blum, Bruno e Vainzof Advogados Associados sobre esse julgamento], representou um marco paradigmático para a proteção de dados pessoais no Brasil”, disse Vainzof.
“Vale ressaltar ainda que a autodeterminação informativa foi reconhecida pela Constituição Federal, no artigo quinto, inciso X, com o direito fundamental à intimidade, à privacidade, entre outras questões disponíveis no texto constitucional envolvendo proteção à imagem e direitos da personalidade”, complementou.
“Alguém tem hoje o controle sobre os próprios dados? Ninguém. Vivemos um descontrole informacional. Essa é a realidade. Esses ótimos serviços tecnológicos que trazem tantos benefícios para todos nós têm essa questão de descontrole da informação. O objetivo das legislações de proteção de dados é devolver o controle sobre os dados para os indivíduos, para os titulares”, analisou.
Como escolher o DPO?
Por sua vez, Henrique Fabretti destacou a importância do DPO (Data Protection Officer) ou Encarregado para a gestão dos dados pessoais nas empresas e no Poder Público, bem como definiu critérios que podem ser observados para sua escolha.
“O tamanho e o tipo afetam na escolha do DPO ou Encarregado. Se você tem uma empresa com uso intenso de dados, com tecnologia sofisticada, você vai precisar de um DPO que navegue bem nesse cenário, entenda melhor essa tecnologia mais complexa. Talvez você busque alguém com viés mais técnico em termos de TI, de segurança da informação, e depois complemente a formação dele com aspecto regulatório”, disse.
“Caso não seja isso, caso não estejamos falando de uma empresa que usa muito a tecnologia para tratamento de dados pessoais, é preferível encontrar alguém com formação regulatória/jurídica, ou seja, conhecimentos em governança, compliance, e depois complementar com a parte de TI, de segurança da informação”, finalizou.
Diretores da ANPD
O Opice Blum, Bruno e Vainzof Advogados Associados está acompanhando a evolução da ANPD de forma contínua. Acesse abaixo os reports preparados pelo escritório.
Perfis dos diretores da ANPD
Sabatina dos diretores no Senado Federal
