O papel da ANPD na efetivação da LGPD sob a ótica dos megavazamentos de dados pessoais no Brasil

O papel da ANPD na efetivação da LGPD sob a ótica dos megavazamentos de dados pessoais no Brasil

Big Data, violações de direitos e o advento da LGPD

Christine Albiani e Juliana Medeiros*

04 de março de 2021 | 11h34

Christine Albiani e Juliana Medeiros. Fotos: Divulgação

Concomitantemente ao advento da economia digital, dados e informações ganharam protagonismo nas discussões sociais, servindo de combustível para resultados empresariais cada vez mais eficientes e uma atuação governamental mais inteligente.

Todavia, associados a este progresso, dos mesmos conjuntos de dados e informações que representaram tais avanços sociais e tecnológicos positivos, advieram casos de abusos e violações de direitos que são pautas de debates em ambientes acadêmicos, empresariais e governamentais.

Fato é que o tratamento de dados pessoais possibilita hoje a customização e maior eficiência na oferta de produtos e serviços adequados à demanda específica do consumidor; a identificação e intensificação recíproca de grupos de pessoas com mesmos interesses e afinidades; o atingimento de prognósticos médicos mais precisos e de diagnósticos mais eficazes; a formulação de políticas públicas mais eficientes, direcionadas às necessidades mais urgentes da população; bem como, a possibilidade de alocação de serviços públicos conforme a demanda de determinadas localidades.

Se a Sociedade Informacional, através da popularização da internet, do advento do Big Data – processamento de uma enorme quantidade de dados – e do desenvolvimento de novas tecnologias e inteligência artificial, trouxe uma infinidade de oportunidades de desenvolvimento socioeconômico; é inegável observar também que tornou mais recorrentes as irregularidades, distorções e abusos perpetrados por organizações públicas e privadas.

Neste contexto de violações de direitos, decorrentes de tratamentos de dados num ambiente digital antes desregulado, e em virtude da pressão internacional ante a necessidade de estabelecimento de relações comerciais com a Europa, que já havia aprovado, em 2018, o seu Regulamento Geral sobre Proteção de Dados (a “GDPR”), foi formulada a nossa Lei Geral de Proteção de Dados Pessoais (“LGPD”).

Após conturbados debates acerca da prorrogação da sua vigência, a LGPD foi promulgada no dia 18 de setembro de 2020, trazendo consigo a figura da Autoridade Nacional de Proteção de Dados (“ANPD”), como agente fundamental para a efetivação das penalidades administrativas e para a real implementação das diretrizes da lei no cotidiano das organizações.

O texto da LGPD (Lei nº 13.709/18), alterado pela MP 869 de 2018, previu a criação da Autoridade de dados sem aumento de despesas, como órgão da administração pública federal e integrante da Presidência da República (art. 55-A da lei 13.853/19). O Governo Federal, logo em seguida à vigência da LGPD, publicou em 27 de setembro de 2020, o Decreto 10.474/20, que instituiu a estrutura regimental do órgão e o quadro demonstrativo dos cargos em comissão e das funções de confiança, porém, ainda sem a formação e nomeação dos seus membros do conselho diretor, o que só veio ocorrer em 06 de novembro do mesmo ano.

A tal da ANPD: O que é? Para que serve? E como funciona a Autoridade Nacional de Proteção de Dados no Brasil?

A ANPD é órgão da administração pública responsável por zelar e executar os dispositivos da LGPD; fiscalizar o seu cumprimento em organizações públicas e privadas; e aplicar sanções em casos de descumprimento da legislação em todo o território nacional (conforme disposição do art. 5º, XVIX, da LGPD).

Observando estruturalmente a Lei Geral de Proteção de Dados Pessoais, é certo dizer que, sem a atuação efetiva de uma Autoridade Nacional reguladora, provavelmente a LGPD não produziria efeitos concretos no mundo dos fatos. Fazendo um paralelo com a Teoria da Força Normativa da Constituição e utilizando-se dos termos de Lassale, a LGPD “não passaria de um pedaço de papel”, já que suas diretrizes provavelmente não seriam implementadas sem a atuação de um órgão responsável pela promoção, orientação e fiscalização de sua aplicação.

A relevância do órgão regulador e fiscalizador é tão grande para a proteção de dados pessoais, que a LGPD faz menção à ANPD em 40 (quarenta) disposições, citando-a para as mais diversas finalidades.

Dentre as atribuições da Autoridade, podemos destacar as seguintes: (a) zelar pela proteção de dados pessoais, dos segredos comerciais e industriais; (b) fiscalizar e aplicar sanções no caso de descumprimento da LGPD; (c) apreciar petições de indivíduos contra controladores de dados; (d) solicitar relatórios de impacto ao controlador de dados pessoais; (e) determinar as hipóteses de dispensa de nomeação do Encarregado (“DPO”); (f) dispor sobre padrões técnicos mínimos de segurança aptas a proteger acessos não autorizados; (g) receber as comunicações de incidente envolvendo dados pessoais; (h) promover ações de cooperação com autoridades de proteção de dados de outros países; (e) editar regulamentos e procedimentos sobre a proteção de dados pessoais e privacidade; dentre outras.

Estruturalmente, a ANPD segue o formato europeu de proteção de dados, já que é inspirada no General Data Protection Regulation (“GDPR”), regulação de proteção de dados da União Europeia. Dessa forma, também utilizando como inspiração o formato das Autoridades Europeias, em especial, a ICO Inglesa; o CNIL, da França; o Garante Privacy, Autoridade de Proteção de Dados Italiana; e a OPC do Canadá, a Autoridade adota um formato de horizontalidade. Isto quer dizer que a LGPD brasileira é uma Lei de dados que se aplica a todos, desde uma empresa de pequeno porte como uma academia de ginástica, até uma grande empresa de tecnologia que trabalha, por exemplo, só com análises de dados.

Deste modo, a LGPD além de horizontal, é de aplicabilidade geral e ampla, podendo ser aplicada a qualquer organização – pública e privada – que realiza tratamento de dados pessoais, ou seja, qualquer operação que envolva o dado pessoal. Com isso, o mero acesso a um dado já é considerado uma operação de tratamento, seguindo pela coleta e passando pela classificação, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, até a eliminação do dado pessoal.

Vale dizer, que o Conselho Nacional de Proteção de Dados Pessoais e Privacidade – órgão consultivo integrante da estrutura da ANPD – foi igualmente criado pela LGPD. A Lei previu que ele deveria ser composto por membros representantes do Poder Executivo, Legislativo e Judiciário, da Sociedade Civil, de Instituições Científicas e do Setor Laboral, nomeados pelo Presidente da República.

Ao Conselho compete, especialmente, elaborar estudos; realizar debates e audiências públicas sobre proteção de dados pessoais e privacidade; bem como disseminar conhecimento sobre estas áreas. Dessa forma, ele auxilia a ANPD em suas funções, atuando como uma espécie de “conselho consultivo ao propor ações a serem realizadas pela autoridade, além de atuar junto à sociedade, trazendo informações e auxiliando cidadãos e entidades quanto à temática.

Para que a Autoridade exerça efetivamente sua função e possua uma participação ativa nos delineamentos da privacidade no país, é necessária sua autonomia técnica e decisória, que é posta em destaque pela própria LGPD no artigo 55-B. Neste sentido, pode-se afirmar que a autonomia técnica conferida à ANPD é inerente e fundamental ao exercício do poder de investigar, cabendo, portanto, à Autoridade, realizar o seu trabalho de forma independente. Ou seja, deve a ANPD ter autonomia técnica ao apurar incidentes de segurança, averiguar o uso e compartilhamento indevido de dados pessoais, vazamentos, e qualquer outra forma de investigação. A autonomia decisória, por sua vez, traduz um poder-dever de estabelecer penalidades, multas e o que for necessário para dar efetividade à Lei.

É exatamente sob esta perspectiva de importância da figura da Autoridade na implementação da Lei e de uma cultura de privacidade de dados pessoais que se faz necessária a análise do papel da ANPD diante do maior vazamento de dados ocorrido no país.

Os vazamentos de dados de cidadãos brasileiros

No início deste ano, o Brasil entrou para o rol de países com escândalos envolvendo vazamento de dados pessoais de seus cidadãos. Foram vazados dados de centenas de milhões de brasileiros, incluindo nome, CPF, gênero, data de nascimento, estado civil, e-mail, telefone, endereço, escolaridade, emprego, salário, FGTS, score de crédito, classe social e etc.

Definido como “vazamento de dados do fim do mundo” pelo especialista em direito digital Ronaldo Lemos – vez que todas essas informações podem agora estar à venda na deep web – na visão do pesquisador, “a partir de agora o Brasil se tornou também um faroeste digital”, pois “qualquer pessoa pode comprá-los, pagando com criptomoedas. Vai ser difícil reverter essa situação”.

O panorama da privacidade ocasionado pelo megavazamento de dados pessoais é verdadeiramente devastador e a famosa comparação entre dados e petróleo ganha novos contornos. Afinal, além do aspecto econômico (já que dados transformados em informações aplicáveis representam valioso ativo econômico), ambos, uma vez vazados, causam danos em larga escala e irreversíveis, já que não há como “desvazá-los”.

Seja neste caso, ou em qualquer outra infração a dados que venha a ocorrer, a ANPD goza de algumas responsabilidades. Dentre elas, a Autoridade deverá trabalhar em conjunto com a empresa que foi vítima de uma brecha de segurança ou de um incidente, a fim de fazer a publicização dos fatos ocorridos de maneira adequada. Tal publicização, cumpre destacar, pode representar um grande prejuízo na confiabilidade da empresa perante o mercado e causar impactos quanto à sua imagem perante clientes e colaboradores, trazendo graves prejuízos econômicos.

Nesta oportunidade, ela deve, preferencialmente, esclarecer sobre as eventuais penalidades e responsabilização, os motivos da ocorrência do incidente, as medidas de prevenção que podem ser adotadas pelas organizações, bem como, alertar os titulares sobre os direitos violados.

Em todos os casos, a empresa que tiver dados de titulares vazados sofrerá sanções administrativas. Ainda que, atualmente, as aplicações das penalidades previstas na LGPD não estejam em plena vigência, já que as mesmas se encontram em período de vaccatio legis, só começando a vigorar em agosto de 2021.

As sanções aplicáveis estão previstas no rol do artigo 52 da Lei. Nelas estão incluídas as possibilidades de advertência; multa de até 2% do faturamento, limitada a R$ 50 milhões por infração; publicização da infração; bloqueio e eliminação de dados; e até a determinação de suspensão da atividade de tratamento de dados pessoais, que tem a potencialidade de inviabilizar diversos modelos de negócio.

Neste sentido, é realmente intrigante perceber que mesmo com as previsões legais, sanções previstas e todos os estudos e pesquisas a respeito da importância de uma preservação e proteção dos dados pessoais dos indivíduos, tal vazamento tenha ocorrido de forma tão desenfreada.

Uma pesquisa realizada pelo Panemon Institute, instituição americana voltada à pesquisa e educação em segurança da informação e privacidade, constatou que o Brasil é o segundo país com mais ataques cibernéticos.

Estes ataques se tornaram cada vez mais comuns em razão da importância dos dados na sociedade informacional e isto, aliado a uma ausência de cultura organizacional focada em prevenção riscos e mitigação de danos relacionados à privacidade e segurança da informação, torna o panorama ainda mais penoso.

É imprescindível concluir que a expansão do uso da internet, o tratamento exponencial de dados e a utilização de novas tecnologias com as suas mais diversas implicações, não seguem o mesmo ritmo com o qual as pessoas passam a compreender e se informar mais sobre como a própria internet e suas aplicações favoritas funcionam e seus direitos inseridos neste contexto.

É exatamente por esta razão que a ANPD tem um papel fundamental não só na aplicação de futuras sanções, ou na edição de parâmetros de aplicação da LGPD, mas principalmente ao exercer a sua função educacional, de conscientização em relação ao zelo e guarda dos dados pessoais dos cidadãos. A difusão das diretrizes e boas práticas relacionadas à proteção de dados pessoais possui um papel crucial na adequação das entidades e empresas à LGPD, mostrando-se fundamental para a coordenação de um sistema alicerçado na importância de tal proteção.

É por isso, que não só em virtude dos acontecimentos narrados, mas notadamente também por causa deles, que os planos e a agenda de atuação da ANPD merecem maior destaque, para que compreendamos desde já quais são os próximos passos da Autoridade para lidar com contextos tão delicados como esses e transportar o enfoque dado pela ANPD para a adequação nas organizações.

Agenda de atuação da ANPD para 2021

No dia 27 de janeiro, a ANPD divulgou – por meio da Portaria nº 11/2021 – sua agenda regulatória até o segundo semestre de 2022. As atividades escolhidas visam demonstrar as prioridades da Autoridade neste início. Essas atividades servirão de base para a criação da Política Nacional de Proteção de Dados Pessoais e da Privacidade.

Desde pronto, insta destacar, que a ANPD apresentará relatórios semestrais sobre o andamento de ações previstas no cronograma. Este apresenta algumas das medidas previstas para a autoridade na LGPD. Veja:

pastedGraphic.png

Tomando por base as atividades definidas na agenda, fica fácil perceber que tais definições são deveras favoráveis, pois conferem uma maior transparência na atuação da Autoridade e a possibilidade de maior segurança jurídica com os parâmetros que vierem a ser definidos.

No entanto, uma grande preocupação é que a agenda prevê um prazo de 2 anos para regulamentar 10 pontos da LGPD. Assim, além de não mencionar diretamente sobre o uso de dados pelo governo, não estipula quando se dará a regulamentação necessária dos outros 43 pontos.

Deste modo, a agenda para as futuras definições não se mostra como uma solução de fato para a segurança jurídica em um ambiente ainda permeado por incertezas. Até que sejam estabelecidos tais pontos, o mercado, os titulares e os incidentes de segurança da informação – a exemplo dos recentes vazamentos de dados – não irão aguardar as definições precisas da ANPD e as entidades terão que se regular. Como se dará essa regulação? A resposta a essa questão é um verdadeiro paradoxo, pois se trata do objeto dos embates mais fervorosos envolvendo a LGPD: o tempo, só ele dirá!

O que nos resta é acompanhar este processo e “torcer” para que ambientes de debates técnicos e multissetoriais sejam fomentados, utilizando-se da experiência de outros países e autoridades de proteção de dados para que essa regulamentação se dê de forma coerente e adequada, tornando viável a aderência às normas e a efetiva adequação à LGPD no dia a dia das organizações.

*Christine Albiani, advogada especialista em Direito Tributário e em Direito Processual Civil pela Universidade Cândido Mendes. Autora do livro ‘Violação de direitos autorais e responsabilidade civil do provedor diante do Marco Civil da Internet’. Integrante do 3º Grupo de Pesquisa do Instituto de Tecnologia e Sociedade (ITS-Rio). Integrante da Comissão Especial de Direito Digital da OAB/BA. 

*Juliana Medeiros, advogada. Autora dos livros ‘O fenômeno das fanfictions e o direito autoral brasileiro’ e ‘Manual do Estudante de Direito’. Integrante do 4º Grupo de Pesquisa em Direito e Tecnologia do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS Rio) e certificada pela Harvard Law School em Direitos Autorais no curso Copyrightx promovido em parceria com o ITS Rio e a Uerj.

Comentários

Os comentários são exclusivos para assinantes do Estadão.