Agência Nacional de Proteção de Dados: como atuar?

Agência Nacional de Proteção de Dados: como atuar?

Gabriel Di Blasi*

16 de março de 2021 | 10h30

Gabriel Di Blasi. FOTO: DIVULGAÇÃO

Estamos vivendo uma época em que a proteção de dados pessoais é o assunto mais tratado pela sociedade, após o código de defesa do consumidor nos anos 90. Temos presenciado uma série de eventos que envolvem vazamento ou “sequestro” de dados de grandes corporações, como o da Heartland em 2008, quando 134 milhões de cartões de créditos foram expostos, ou o da Marriot International, ocorrido entre 2014 e 2018, tendo 500 milhões de clientes sido expostos. Os dados pessoais vazados correspondem às contas bancárias, identidades, número de telefones, entre outras informações. Esses fatos tomaram forma em diversos países, principalmente nos Estados Unidos, que já vem sofrendo vários ataques cibernéticos em órgãos públicos, grandes corporações e até em escritórios de advocacia.

No Brasil não é diferente e já tivemos alguns episódios referentes a “sequestros” e vazamentos de dados no último ano. Em janeiro de 2021, já havia sido identificado um vazamento de dados pessoais, no qual foram divulgadas informações de todos os brasileiros, inclusive dos já falecidos. Em meados de fevereiro foi noticiada outra exposição de dados de mais de 102 milhões de celulares.

Nessa toada, duas das quatro maiores operadoras telefônicas do Brasil foram apontadas como responsáveis por esse megavazamento. Informação essa ainda não confirmada pelas autoridades e nem tão pouco a responsabilidade das operadoras telefônicas, que afirmam possuírem rígido controle nos acessos aos dados dos titulares. Cabe aqui ressaltar que, conforme determina o artigo 46 da Lei nº 13.709/18 (LGPD), os agentes de tratamento de dados – controladores e operadores – devem adotar as melhores práticas de segurança da informação aptas a proteger os dados dos titulares por situações ilícitas ou acidentais, perda ou tratamento inadequado.

Por outro lado, diversas entidades, entre elas órgãos de defesa do consumidor, iniciaram investigações a respeito das operadoras serem consideradas fontes de tal divulgação indevida. O PROCON-SP, por exemplo, solicitou esclarecimentos às operadoras sobre a exposição de dados, bem como à empresa de segurança PSafe, que descobriu o suposto vazamento. Além disso, o Departamento de Proteção e Defesa do Consumidor (DPDC) do Ministério da Justiça, também notificou as operadoras telefônicas para ter acesso aos dados vazados.

Nesse contexto, vale lembrar que a Lei Geral de Proteção de Dados (Lei nº 13.709/18) entrou em vigor em agosto de 2020. Contudo, por conta da Lei 14.010/20, as previsões referentes às sanções administrativas entrarão em vigor somente a partir de 1º de agosto de 2021, prevendo multas pesadas, que podem chegar até R$50.000.000,00 por infração. Nesse sentido, é importante destacar que essas multas são consequências impostas à possíveis ilícitos, mas que o propósito com a implementação da LGDP no Brasil não é financeiro, e sim educativo, objetivando auxiliar as empresas no tratamento de dados pessoais nesse novo ambiente que vem se estruturando.

Seguindo esta mesma linha de raciocínio, o governo federal instituiu a Agência Nacional de Proteção de Dados – ANPD, que tem como responsabilidade a implementação de diversas regras determinadas na LGPD, bem como o objetivo de fiscalizar em território nacional o que os chamados controladores estão implementando para a defesa do direito fundamento dos titulares dos dados pessoais. O órgão não possui, portanto, função apenas punitiva, mas também instrutiva, no âmbito da promoção do conhecimento a respeito das políticas públicas de proteção de dados pessoais. Outra atribuição da ANPD, durante o vacatio legis existente até a entrada em vigor das sanções estipuladas pela legislação, é o seu protagonismo no que tange às investigações em casos de suposto vazamento, auxiliando e coordenando de forma técnica os demais órgãos governamentais. Inclusive, no mencionado caso de suposta exposição indevida de dados por operadoras de telefonia, a ANPD já se manifestou informando estar apurando tecnicamente as informações[1].

Importa registrar que, nesta semana, a ANPD iniciou o processo de regulamentação sobre incidentes de segurança com tomada de subsídios[2], disponibilizando até um formulário para comunicação de eventos de tal natureza[3].

Entretanto, apesar da ANPD estar cumprindo  com o seu papel designado, outros órgãos também vêm se mostrando dispostos a atuar e assumir a competência de investigar, apurar e responsabilizar os culpados. O problema é que tal fato pode gerar um bis in idem e, consequentemente, uma enorme insegurança jurídica entre os players do mercado, que passam a não saber quais são as diretrizes a seguir e nem por quem e como serão investigados em caso de possíveis infrações.

Por óbvio, a atuação em conjunto de diversos órgãos do governo não deve ser vista como um fator negativo, quando estes conseguem agir de forma conjunta e bem coordenada. Entretanto, quando esta parceria governamental segue de forma desordenada, estimulando uma competência concorrente, entre as próprias entidades, e que pode gerar resultados e decisões conflitantes, todos saem perdendo. Isto porque, como mencionado, as empresas estarão sem uma referência a seguir, o que pode afetar diretamente os titulares dos dados.

Não podemos nos deixar esquecer que, apesar das empresas terem obrigação de seguir as diretrizes instituídas pela LGDP, esse desordenamento em fiscalização e punições podem causar danos irreparáveis às companhias, sejam eles morais, reputacionais ou financeiros, por terem seu nome e sua história atrelados à fatos que precisam ser investigados e divulgados de forma segura, correta e justa.

Desta forma, o que se pode concluir é que a liderança e protagonismo técnico da Agência Nacional de Proteção de Dados (ANPD) é fundamental para uma boa e estável estruturação da LGPD no Brasil, uma vez que este é o órgão técnico que garante segurança jurídica aos participantes do mercado, que saberão quais são as diretrizes estipuladas, e por consequência garante a proteção dos direitos fundamentais da liberdade e privacidade a todos os cidadãos.

*Gabriel Di Blasi, sócio-diretor do Di Blasi, Parente & Associados e associado fundador do Irelgov

[1] ANPD apura caso de vazamento de dados de operadoras de telefonia. Disponível em https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-apura-caso-de-vazamento-de-dados-de-operadoras-de-telefonia> Acesso em 22 fev. 2021.

[2] Disponível em

Acesso em 22 fev. 2021

[3] Disponível em https://www.gov.br/anpd/pt-br/documentos-e-imagens/modelo_envio_de_contribuicoes_incidente_de_seguranca__final.docx> Acesso em 22 fev. 2021

Comentários

Os comentários são exclusivos para assinantes do Estadão.