A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) acaba de publicar a sua agenda regulatória para o biênio 2021-2022. A expectativa em torno deste documento era grande porque a Lei Geral de Proteção de Dados (LGPD) entrou em vigor com diversos pontos relevantes pendentes de regulamentação pela ANPD.
Os pontos escolhidos para serem tratados na fase 1 foram: Regulamentação para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais para fins econômicos; Estabelecimento de normativos para aplicação das sanções administrativas; Comunicação de incidentes de segurança (ex. vazamentos de dados) e especificação do prazo de notificação; e Regras e procedimentos sobre relatórios de impacto à proteção de dados pessoais.
Ficaram para fase 2 as Normas complementares sobre definição e atribuições do encarregado, assim como as hipóteses de dispensa, embora essa fosse uma questão que merecia atenção imediata.
E por fim, para fase 3 a Regulamentação de tópicos sobre direitos dos titulares de dados pessoais e Guia de boas práticas sobre bases e hipóteses legais de aplicação da LGPD.
Apesar do esforço de produzir uma agenda proativa, ainda resta muito trabalho a ser feito. Considerando a exigência do artigo Art. 55-J, §2º, da LGPD que determina a realização de uma audiência pública, bem como de análises de impacto regulatório para regulamentação de qualquer artigo, a espera será longa.
Caso a ANPD tivesse sido criada no momento da publicação da LGPD, quando ainda havia um prazo de vacância de dois anos, o órgão regulador teria razoável tempo para conscientizar e orientar as empresas no processo de adequação, que é árduo e requer um esforço de todos os seus departamentos, já que implica em investimentos, mudança de procedimentos, fluxos e cultura.
A entrada em vigor da lei foi muito conturbada e gerou insegurança jurídica. Atualmente, as empresas já podem ser demandadas pelo Titular de dados, Ministério Público e Órgãos de Defesa do Consumidor, sendo necessária a sua adequação, sem as diretrizes da ANPD. As empresas e órgãos públicos se veem à mercê de seguir as melhores práticas internacionais, sem saber se a ANPD validará essas ações.
Nesse cenário, resta às empresas fazerem o seu papel, já que a privacidade de dados é um caminho sem volta. Trata-se de uma exigência do próprio mercado e dos consumidores cada vez mais atuantes - vide a repercussão negativa da nova Política de Privacidade do WhatsApp - deixando claro que o descaso nesse tema trará consequências graves, impactando inclusive no valor de mercado das ações na bolsa.
Por ora, cabe ao bom senso do Judiciário e dos órgãos de defesa do consumidor decidir sobre eventuais conflitos, até que de fato tenhamos as definições de questões tão importantes pela ANPD.
*Mariana Engel Blanes Felix é sócia do escritório Martinelli Advogados e DPO certificada pelo EXIN
