Dia 28 de janeiro é comemorado o Dia Internacional da Proteção de Dados. A data foi instituída em 2006 pelo Conselho da Europa, para fomentar ações de conscientização acerca da importância da proteção de dados, empoderar os titulares sobre seus direitos, estimular os agentes de tratamento a serem mais responsáveis e criar uma cultura global de proteção de dados.
Aqui no Brasil, embora já tivéssemos algumas legislações tratando do tema, foi apenas em agosto 2018 que passamos a ter uma lei específica: a Lei Geral de Proteção de Dados, ou simplesmente LGPD (Lei nº 13.709/2018).
A fim de viabilizar a sobrevivência da LGPD às constantes mudanças tecnológicas e evitar sua rápida obsolescência, o legislador optou por criar uma lei bastante principiológica, o que, por outro lado, resulta em diversas lacunas e gera dúvidas interpretativas aos titulares e agentes de tratamento.
Nesse contexto, torna-se essencial a atuação da Autoridade Nacional de Proteção de Dados (ou simplesmente ANDP), órgão da administração pública criado em julho de 2019 e responsável, entre outras funções, por zelar pela proteção de dados pessoais, fiscalizar e aplicar sanções, além de promover na população o conhecimento das normas sobre proteção de dados e medidas de segurança e orientar os agentes de tratamento na aplicação das normas e regulamentos afetos ao tema, visando à criação de uma cultura de privacidade e proteção de dados no país.
Em comemoração ao Dia Internacional da Proteção de Dados do ano passado, a ANPD publicou em 28 de janeiro de 2021 sua agenda regulatória para o biênio 2021 - 2022, a qual era composta por 3 etapas: iniciativas cujo processo regulatório deveria acontecer em até 1 ano, iniciativas cujo processo regulatório deveria acontecer em até 1 ano e 6 meses, e iniciativas cujo processo regulatório deveria acontecer em até 2 anos.
Vale aqui fazermos um pequeno balanço do que já foi implementado pela ANPD. Alguns pontos importantes como o Planejamento Estratégico para os anos de 2021 a 2023, que traz a missão, visão e valores da ANPD, bem como seus objetivos, indicadores e ações estratégicas, buscando dar uma perspectiva temporal à ANPD, por meio de ações de curto, médio e longo prazo. Entre os principais objetivos e ações estratégicas previstos estão promover o fortalecimento da cultura de proteção de dados pessoais, estabelecer ambiente normativo eficaz para a proteção de dados pessoais e aprimorar as condições para o cumprimento das competências legais.
Outro ponto é o Acordo de Cooperação Técnica firmado entre a ANPD e a Secretaria Nacional do Consumidor - SENACON, que tem como principais objetivos o compartilhamento de informações agregadas e de dados estatísticos quanto a reclamações de consumidores relacionadas à proteção de dados pessoais, a uniformização de entendimentos e coordenação de ações, inclusive no que tange ao endereçamento de reclamações de consumidores e à atuação no caso de incidentes de segurança envolvendo dados pessoais de consumidores e a cooperação quanto às ações de fiscalização relacionados à proteção da dados pessoais no âmbito das relações de consumo. Como fruto deste Acordo, foi publicado o guia "Como Proteger seus Dados Pessoais", que traduz os principais conceitos da LGPD para uma linguagem mais acessível, com o objetivo de conscientizar os consumidores acerca da importância do tema da proteção de dados e orientá-los acerca do exercício de seus direitos.
O Acordo de Cooperação Técnica com o Tribunal Superior Eleitoral - TSE estará em alta neste ano: tem por objetivo a implementação de ações de cooperação relacionadas à aplicação da LGPD no contexto eleitoral, mediante a orientação de candidatos, eleitores, partidos políticos e demais agentes de tratamento acerca da necessária observância da LGPD durante o processo eleitoral. Como fruto deste Acordo de Cooperação Técnica foi publicado o Guia Orientativo de Aplicação da LGPD por Agentes de Tratamento no Contexto Eleitoral, o qual faz uma leitura sistemática das normas de proteção de dados pessoais e das normas eleitorais e apresenta os principais aspectos a serem considerados pro candidatos, coligações, federações, e partidos políticos para o tratamento de dados pessoais dos eleitores, sem obstruir a comunicação entre candidatos e cidadãos, necessária ao processo democrático.
Há uma série de orientações para áreas distintas que buscam esclarecer e evitar a proteção de dados seja de pessoas físicas, empresas, seja para orientação dos órgãos de fiscalização competentes e seus agentes.
Mas sempre surgem novidades e atualizações que são importantes e entram nas perspectivas do setor para 2022.
Um primeiro ponto importante a se destacar é o Regulamento sobre sanções administrativas. Embora já tenha sido publicado, o regulamento do processo administrativo sancionador no âmbito da ANPD não previa disposições acerca das circunstâncias e condições para a adoção de multa, nem tampouco sobre as metodologias que orientarão o cálculo do valor-base das sanções de multa. Assim, uma das regulamentações mais esperadas para 2022 é a regulamentação das hipóteses de aplicação de cada tipo de sanções administrativas e da dosimetria para o cálculo das multas.
Outra regulamentação das mais aguardadas é a definição dos requisitos para o exercício do cargo de Encarregados, detalhes sobre suas atribuições, e hipóteses de dispensa da necessidade e sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
A regulamentação diferenciada para microempresas e empresas de pequeno porte deve receber algumas adições. A ANPD deve editar outras normas, orientações e procedimentos diferenciados e simplificados para microempresas e empresas de pequeno porte, bem como iniciativas para que startups possam se adequar à LGPD.
Sobre a Transferência Internacional de Dados, é esperado que em 2022 a ANPD profira decisões de adequação autorizando a transferência de dados para certos países, e publique cláusulas-padrões contratuais a serem inseridas pelos agentes de tratamento em seus contratos que envolvam transferência internacional de dados para os demais países.
Orientação sobre as hipóteses legais de tratamento de dados pessoais: o último item previsto na agenda regulatória da ANPD é a elaboração de um guia de boas práticas orientando o público sobre as bases e hipóteses legais de aplicação da LGPD.
Por fim, mas não menos importante são as condenações e aplicação de sanções: com a entrada em vigor das sanções administrativas previstas pela LGPD em agosto de 2021, a publicação da regulamentação do processo administrativo sancionador em outubro de 2021 e a edição de regulamentação sobre sanções administrativas e dosimetria das penalidades prevista para os próximos meses, é esperado que, este ano, a ANPD comece a proferir as primeiras decisões e a aplicar as primeiras penalidades, seguindo o movimento já observado na União Europeia, em que as primeiras sanções começaram a ser aplicadas após o primeiro aniversário de sua vigência.
*Adriana Rollo e Julia Shinohara, sócia e advogada da área de proteção de dados do BZCP - Bronstein, Zilberberg, Chueiri e Potenza
