Embora ainda esteja longe de seu pleno funcionamento como uma agência reguladora, haja vista o simples fato de que seu conselho diretor sequer foi nomeado, a criação da Autoridade Nacional de Proteção de Dados (ANPD) foi um passo fundamental para a efetiva aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD).
A LGPD tem tudo para se tornar uma das legislações mais importantes no cenário jurídico brasileiro ao longo dos próximos anos, tamanhos serão os seus efeitos para todas as organizações que tratam dados pessoais (leia-se basicamente todas as empresas), nacionais ou internacionais. A relevância dessa nova Lei deve se equiparar ou até superar a dimensão do Código de Defesa do Consumidor. Ainda assim, a LGPD já nasceu incompleta.
Por uma escolha legislativa, muitos aspectos essenciais da Lei foram deixados em aberto, para serem posteriormente regulados pela ANPD, de modo que, na ausência desse órgão, de pouca valia seria a legislação. Ao longo da Lei, há mais de 15 pontos que demandam futura regulamentação. Considerando que falta menos de um ano para a entrada em vigor da Lei e que o próprio processo de nomeação dos diretores e aprovação de seus nomes pelo Senado Federal ainda deve levar alguns meses, o tempo é inegavelmente curto e inimigo da perfeição.
Dentre os pontos que ainda precisam ser regulamentados, 5 deles se mostram de extrema relevância e devem ser listados como prioritários na agenda da ANPD tão logo ela seja instalada e comece a de fato funcionar.
O primeiro deles diz respeito às transferências internacionais de dados. Segundo a LGPD, essas transferências somente são permitidas em alguns casos, como quando outro país tiver nível de proteção de dados adequado e equiparável ao do Brasil ou quando forem fornecidas garantias adicionais de respeito à Lei por meio de instrumentos contratuais, a exemplo de normas corporativas globais ou cláusulas-padrão. Tanto a declaração de adequação de outra jurisdição quanto a validação desses instrumentos contratuais competem à ANPD. E sem a possibilidade de transferir dados internacionalmente, empresas multinacionais sofrerão fortes impactos em seus processos internos, reduzindo a competitividade do tratamento de dados no país.
O segundo item prioritário é a definição de quando a nomeação de um Encarregado, o nosso DPO tupiniquim, poderá ser dispensada. Nem mesmo na União Europeia, que tem o temido GDPR, uma das mais rigorosas leis mundiais de proteção de dados, existe a obrigação de indicação de um DPO para todos os controladores como existe no Brasil. Ademais, tal obrigação é manifestamente desproporcional e altamente onerosa. Imaginar que uma gigante de tecnologia e uma mercearia de bairro devem ter obrigações do mesmo patamar como a nomeação de um Encarregado é uma quimera delirante.
O terceiro aspecto que precisa ser prontamente definido é o prazo para a comunicação de um incidente de segurança aos titulares de dados e à ANPD, atualmente indicado pela Lei como um "prazo razoável". Em um país altamente litigioso, no qual se levam ao Poder Judiciário disputas até sobre se o colarinho do chope integra ou não a bebida, um termo aberto e indefinido como esses cria riscos desnecessários que podem ser facilmente evitados. A LGPD normalmente já ocasionará um sensível crescimento no número de ações judiciais promovidas em virtude do tratamento indevido de dados pessoais, e a falta de definição sobre esse ponto tende a tornar esse aumento ainda mais perceptível.
O quarto ponto essencial a ser regulamentado concerne os padrões mínimos de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Sem essa definição, é impossível que as empresas tenham certeza de que estão cumprindo com as previsões da LGPD, dificultando, inclusive, a mobilização interna para que medidas de segurança sejam implementadas. A hipótese de investir em um padrão de segurança que pode posteriormente ser entendido como aquém ao padrão mínimo definido pela ANPD tem atrasado os esforços de algumas organizações relativos às questões técnicas da LGPD.
O quinto tópico que também precisa ser regulado diz respeito aos casos em que o Relatório de Impacto à Proteção de Dados (RIPD) será realmente obrigatório. Nos termos da Lei, não há previsão clara que determine a realização mandatória de um RIPD antes da solicitação por parte da ANPD. Mesmo assim, e muito antes sequer da entrada em vigor da LGPD, o Ministério Público do Distrito Federal e Territórios vem exigindo a apresentação desse documento específico de várias empresas que são alvos de inquéritos civis. Considerando que essas exigências já estão sendo discutidas judicialmente, seria prudente que a ANPD definisse os casos em que o referido relatório é efetivamente obrigatório e as hipóteses em que sua realização é meramente opcional antes que o Poder Judiciário decida se intrometer na questão e criar regramentos próprios sobre o tema.
Afora os itens prioritários, há ainda diversos outros pontos que também precisarão ser abordados e definidos pela ANPD em seu devido tempo. A mensagem, no entanto, não poderia ser mais clara: o tempo urge e nossa mais nova agência reguladora terá muitos desafios pela frente.
*Felipe Palhares é sócio-fundador do Palhares Advogados, mestre em Corporate Law pela New York University, professor convidado do Insper, primeiro brasileiro a ser reconhecido como Fellow of Information Privacy e o único brasileiro a obter todas as certificações de privacidade e proteção de dados da International Association of Privacy Professionals (CIPP/E, CIPP/US, CIPP/C, CIPP/A, CIPM, CIPT)
