4 anos de LGPD: O que já foi feito e o que está por vir

Em comemoração aos 4 anos de aprovação da Lei Geral de Proteção de Dados Pessoais (“LGPD”), a Incognia promoveu, no último dia 23 de agosto, um webinar com o objetivo de fazer um balanço dos últimos quatro anos no que se refere aos avanços do Brasil em termos de privacidade e proteção de dados e quais as perspectivas futuras sobre o tema. Os convidados, Alexandra Krastins Lopes, Gerente de Projetos da Autoridade Nacional de Proteção de Dados (“ANPD”) e Thiago Guimarães Moraes, Encarregado ou Data Protection Officer (“DPO”) da ANPD, foram mediados pela DPO e gerente de privacidade da Incognia, Dayana Costa.

A íntegra da gravação do evento está disponível neste link, e abaixo você pode conferir alguns dos principais insights do Webinar.

Balanço da ANPD acerca dos quatro anos de LGPD no Brasil 

O balanço geral do cenário de proteção de dados no Brasil, conforme perspectiva dos membros da ANPD convidados, é positivo no sentido de que, desde a estruturação da ANPD em novembro de 2020, a Autoridade tem atuado em seu papel de auxiliar o Brasil na criação de uma cultura de proteção de dados, educando os agentes de tratamento e orientando os titulares acerca de seus direitos. Isso tem sido feito através da publicação de diversas cartilhas e guias orientativos, como o "Guia de segurança da informação para agentes de tratamento de pequeno porte" e "Guia para tratamento de dados pelo poder público", além do diálogo constante com a sociedade através, por exemplo, da participação da ANPD em eventos e debates como o promovido pela Incognia e das inúmeras articulações junto a órgãos do poder público. 

Sobre este último ponto, Alexandra mencionou a publicação da Nota Técnica nº 46/2022 na qual a ANPD recomendou ao INEP (Instituto Nacional de Estudos e Pesquisas Educacionais), dentre outras medidas, a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (“RIPD” ou “DPIA”, em inglês) para análise de riscos e medidas mitigatórias no que se refere à publicação de microdados do Censo Escolar e do Exame Nacional de Ensino Médio (ENEM). Essa recomendação levou em conta que a LGPD não é sinônimo de sigilo e que o interesse público na divulgação dessas informações deve ser sopesado. 

No que tange ao contexto internacional, a ANPD vem dialogando com autoridades estrangeiras para acessar outras experiências e adaptá-las à realidade brasileira, além de participar ativamente de eventos internacionais. A ANPD, inclusive, já firmou Memorando de Entendimentos com a Autoridade espanhola para desenvolvimento de ações conjuntas visando promover a divulgação e aplicação prática do regulamento de proteção de dados. Além disso, a ANPD mantém diálogo constante com outras autoridades como a ICO (Information Commissioner's Office), Autoridade do Reino Unido).

Alexandra Lopes frisou também que a ANPD está em seu processo de independência, no qual para além da autonomia técnica e decisória, terá autonomia administrativa e financeira, o que é importante para colocar o Brasil à frente no panorama internacional de proteção de dados.

Cultura de proteção de dados 

Em sua abordagem sobre o processo de aculturamento da população brasileira quanto à temática de proteção de dados, o DPO Thiago mencionou o estudo realizado pelo CETIC.BR (Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação), o qual contou com o apoio da ANPD. Referida pesquisa concluiu que grande parcela da população brasileira está sim preocupada com o tratamento de seus dados pessoais. O DPO da ANPD destacou o grande receio da população atrelado ao tratamento de dados biométricos já que, conforme estudo divulgado, 65% dos entrevistados informaram estar preocupados com a coleta de sua biometria. 

Thiago concluiu que esse cenário demonstra que os titulares podem não saber como mitigar riscos, mas que nem por isso deixam de se importar com a proteção de seus dados pessoais e reforçou que ainda há muito a ser melhorado na cultura tanto dos usuários como das empresas, pois muitas ainda estão em níveis muito iniciais do processo de adequação à LGPD.

Na contramão do cenário da maioria das empresas brasileiras, vale ressaltar que a Incognia, desde seu nascimento, sempre esteve preocupada com a proteção dos dados pessoais de seus usuários. Antes mesmo da aprovação da LGPD, já possuía programa robusto de privacidade e proteção de dados baseado nas disposições da GDPR (Regulamento Geral de Proteção de Dados da União Europeia) e nas melhores práticas internacionais sobre o tema. Para saber como a Incognia lida com questões envolvendo dados pessoais, visite nossa página de privacidade aqui.

Publicação de guias e resoluções de ANPD 

Embora a LGPD esteja completando 4 anos de sua aprovação, diversas disposições legais ainda não podem ser plenamente aplicadas por ausência de regulamentação. Ainda, existe muita dificuldade dos agentes de tratamento em interpretar dispositivos da lei que, necessariamente, precisarão contar com o auxílio da ANPD. Esse cenário provoca uma grande ansiedade, especialmente do setor privado, quanto à publicação de regulamentos, guias e orientações pela ANPD. Todavia, é importante lembrar que esse processo regulamentar é burocrático e exige o cumprimento de diversas etapas procedimentais até que, finalmente, haja a publicação de algum material por parte da ANPD, sendo importante ressaltar a preocupação da ANPD de publicar materiais que conversem entre si evitando entendimentos distintos e contraditórios.

Nesta linha, a gerente de projetos Alexandra Lopes citou a existência da Portaria 16/2021 da ANPD, a qual descreve as fases obrigatórias para o processo de regulamentação, além de outras etapas incluídas de maneira opcional pela ANPD para ampliar a participação social, tais como a tomada de subsídios e realização de reuniões com especialistas para trazer conhecimento técnico de determinado tema em discussão. Alexandra ressaltou ainda que essas reuniões são transmitidas ao público para cumprir com a transparência e difusão de conhecimento.

A gerente de projetos também citou a necessidade de elaboração de nota técnica de análise de impacto regulatório pela equipe técnica de normatização, além da consulta e audiência pública, etapas essas que antecedem a aprovação do conselho diretor.

Alexandra ressaltou que todo esse processo ocorre durante certo tempo, justamente para possibilitar maior participação da população e oferecer uma maior segurança jurídica na aplicação da norma.

Por fim, a gerente de projetos destacou que os guias já publicados pela ANPD se referem, na verdade, a esclarecimentos orientativos e não constituem regulamentação, mas que ainda serão regulamentados, o que faz com que um guia já publicado possa sofrer modificação posteriormente à publicação de regulamentação específica sobre o tema.

Fiscalização e aplicação de sanções 

Além de outras atribuições, a ANPD é o órgão responsável por fiscalizar o cumprimento da LGPD, inclusive, aplicando sanções aos agentes de tratamento que infringirem a legislação. Embora a LGPD tenha iniciado sua eficácia plena em agosto de 2020, as disposições relativas às penalidades somente passaram a vigorar em agosto de 2021. Todavia, até o momento a ANPD não aplicou nenhuma sanção, o que, conforme reforçado pelos representantes da ANPD, nem mesmo seria possível por questões de segurança jurídica, já que a norma de dosimetria e aplicação de sanções administrativas ainda não foi publicada, estando em fase de Consulta Pública até 15.09.2022.

Os convidados ressaltaram que, uma vez que essa norma esteja finalizada, a ANPD começará a sancionar quando necessário, porém, a Autoridade não deixará de cumprir seu papel orientativo. Conforme bem destacado pela Alexandra Lopes, "mais do que se preocupar com sanção, deve-se ter uma preocupação diária com a governança". 

Ela reforçou que os programas de governança devem estar sempre vivos e constantemente atualizados, com boas práticas implementadas de fato e não só documentadas, e que tudo isso será levado em consideração durante o processo de fiscalização.

Perspectivas futuras 

Quando questionados sobre o que esperar da ANPD para os próximos meses e até mesmo anos, os representantes da ANPD reforçaram a atuação proativa da ANPD e que está disponível para Consulta Pública a agenda regulatória do biênio para que a sociedade possa opinar sobre os temas mais relevantes que serão priorizados pela Autoridade, tais como  relatório de impacto, incidentes de segurança, transferência internacional de dados e direito do titular. E, para além disso, a ANPD reforçou o compromisso com a continuação de ações educativas, uma vez que a conscientização auxilia não apenas na adequação dos agentes de tratamento, promovendo respeito ao titular, como também no empoderamento do titular a partir do conhecimento de seus direitos.

Quer entender como a Incognia endereça o tema da privacidade e aplica privacy by design em suas soluções? Leia mais em nossa página.