in Artigos

Ano de vigência da LGPD: o que esperar para 2022?

lgpd lei geral de proteção de dados

1.3k Visualizações

Fabio Luiz Barboza Pereira*

Cecília Alberton Coutinho Silva*

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018, ou LGPD) é a principal lei que regula o tratamento de dados pessoais no Brasil e garante uma série de direitos aos titulares de dados, além de impor importantes obrigações aos agentes de tratamento. 

De 14 de agosto de 2018, quando a LGPD foi publicada, até hoje, diversos fatos relevantes ocorreram, não apenas em termos de discussões acerca da data de entrada em vigor da LGPD e criação da Autoridade Nacional de Proteção de Dados (ANPD), mas também em razão das medidas extraordinárias que precisaram ser manejadas para combater a pandemia do Covid-19. Esse contexto impactou em grande medida a capacidade dos agentes de tratamento, de natureza pública e privada, de adotar as medidas legais, técnicas e administrativas necessárias para garantir o cumprimento da LGPD.

Apesar disso, a LGPD entrou em vigor em 18 de setembro de 2020, à exceção das sanções administrativas, que passaram a ser exigíveis a partir de 1º agosto de 2021, nos termos da Lei nº 14.010/2020. Nesse cenário, analisaremos, a seguir, os principais objetos de debate envolvendo a LGPD no último ano, bem como o que se deve esperar nos próximos meses em matéria de proteção de dados no Brasil. 

Entrada em Vigor

O texto original da LGPD previa que as empresas teriam 24 meses para promover as medidas necessárias para a adequação à Lei, antes da efetiva entrada em vigor do texto. No entanto, considerando o contexto pandêmico, a Câmara dos Deputados decidiu por postergar a competência da ANPD de impor sanções administrativas até 1º de agosto de 2021. O Presidente da República também editou a Medida Provisória nº 959/2020, que pretendia adiar a efetividade de outros artigos da LGPD até 3 de maio de 2021, o que acabou sendo rejeitado no Legislativo. Com isso, a LGPD entrou em vigor no dia 18 de setembro de 2020.

Criação da ANPD

O órgão regulador responsável pela aplicação das regras de proteção de dados no Brasil é a Autoridade Nacional de Proteção de Dados (ANPD). Apesar dos vetos que o projeto de lei original da LGPD sofreu em 2018, o que impactou muito a criação da ANPD, em julho de 2019, com a sanção da Medida Provisória (MP) 869/2018 e sua consequente conversão em lei (Lei nº 13.853/2019), a criação da ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) foi finalmente aprovada. A ANPD foi criada como uma entidade integrante da administração pública federal, vinculada à Presidência da República. Além disso, a referida Lei atribuiu natureza jurídica transitória à ANPD, uma vez que poderá, dentro de dois anos, ser transformada, pelo Poder Executivo, em entidade da Administração Pública Federal Indireta, sujeita a regime autárquico especial.

Tal possibilidade de mudança da natureza da ANPD é benéfica às empresas que transferem dados para a União Europeia, visto que o Regulamento Europeu de Proteção de Dados (GDPR) prevê, como uma das exigências para considerar um país com grau de proteção adequado, a independência de suas autoridades supervisoras em relação a seu governo. Figurar como país com proteção adequada na lista da Comissão Europeia confere às empresas uma maior facilidade no cenário de transferência internacional de dados com a UE, dispensando eventuais procedimentos burocráticos envolvidos nas demais bases legais que são permitidas pelo GDPR.

Em outubro de 2019, os primeiros membros do CNPD foram nomeados. Em janeiro de 2021, a Portaria 11/2021 foi publicada, estabelecendo a Agenda Regulatória da ANPD para 2021/2022, além de listar os dez tópicos prioritários a serem regulados durante esse período. 

Regulação de Tópicos Específicos da LGPD

A ANPD já publicou diversas diretrizes e documentos técnicos em seu site oficial. Os documentos cobrem uma série de temas, incluindo os Fascículos de Proteção de Dados e de Vazamento de Dados, além do Guia Orientativo para Definições dos Agentes de Tratamento e Dados Pessoais e do Encarregado e de Segurança da Informação para Agentes de Tratamento de Pequeno Porte. A Autoridade também publicou:

  • seu Regimento Interno;
  • Plano Estratégico de 2021/2023, contendo os objetivos e atividades pretendidas da ANPD;
  • Consulta Pública sobre a minuta de resolução que regulamenta a aplicação da LGPD para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, nos termos do art. 55-J, inciso XVIII da lei; 
  • instruções sobre incidentes de segurança com dados pessoais e sua avaliação para fins de comunicação à ANPD, incluindo o prazo específico de notificação a ser observado; 
  • Consulta Pública sobre a norma de fiscalização da Autoridade, estabelecendo o mecanismo de fiscalização que a Autoridade pretende adotar, com previsão de ações de monitoramento, orientação e prevenção e aplicação de sanção, seguindo a lógica da regulação responsiva. 

Além disso, ainda em 2021, de acordo com as competências estabelecidas pelo artigo 55-J, inciso XIII, da LGPD, a ANPD editará regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

Em 2022, a ANPD irá:

  • estabelecer normas complementares sobre a definição e as atribuições do Encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados; 
  • regular as disposições da LGPD sobre transferência internacional de dados pessoais e os mecanismos para transferência de dados, incluindo a definição do conteúdo de cláusulas-padrão contratuais, dentre outros;
  • regular os direitos do titular dos dados, incluindo prazos para petição à ANPD, revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais e tratamento de dados por pessoas jurídicas de direito público; 
  • publicar um documento, na forma de Guia de Boas Práticas, orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no artigo 7º, mas não restritas a ele.

Acordo de Cooperação Técnica

Em março de 2021, a ANPD e a Secretaria Nacional do Consumidor (Senacon) assinaram um Acordo de Cooperação Técnica (ACT), com o objetivo de promover ações conjuntas sobre assuntos de interesse recíprocos.

Por meio do ACT, a Senacon passará a compartilhar com a ANPD informações coletadas sobre as reclamações de consumidores relacionadas à proteção de dados pessoais, cabendo à ANPD fixar as interpretações necessárias quanto à aplicação da LGPD nos casos concretos e disponibilizar à Senacon acesso a dados e informações necessárias para contribuir para o aprimoramento das atividades da Senacon, o que é permitido com base nos artigos 25 e 26 da LGPD. 

A celebração do ACT é um passo muito importante no aprimoramento da cultura de privacidade e de proteção de dados no Brasil e um instrumento fundamental para a atuação eficaz da ANPD para fiscalização do cumprimento do disposto na LGPD. O ACT já está em vigor e terá duração de 24 meses, podendo ser prorrogado pela ANPD e pela Senacon, e não excluirá a obrigação das empresas de cumprir com as disposições do Código de Defesa do Consumidor (CDC) e de todas as demais normas do Sistema Nacional Defesa do Consumidor, além da LGPD e demais legislações aplicáveis de proteção de dados.

Outro Acordo de Cooperação Técnica foi assinado, em 2 de junho de 2021, com o Conselho Administrativo de Defesa Econômica (CADE), destinado ao combate às atividades lesivas à ordem econômica e ao fomento e à disseminação da cultura da livre concorrência nos serviços que vindicarem a proteção de dados pessoais. Para esse fim, a ANPD e a CADE irão compartilhar informações e participar de atividades educacionais conjuntas sobre procedimentos e práticas para promover a concorrência em serviços de proteção de dados pessoais. 

Vale ressaltar, também, que a ANPD assinou um Memorando de Entendimento com a Agência de Proteção de Dados espanhola em 5 de outubro de 2021, destinado a promover o desenvolvimento de ações conjuntas na divulgação e na aplicação prática da regulamentação de proteção de dados. O Memorando consiste no estabelecimento das bases para a colaboração institucional entre as duas Autoridades, com as finalidades de promover a disseminação do direito à proteção de dados pessoais, garantir a cooperação conjunta em matéria de proteção de dados pessoais, além de fornecer um quadro para a troca de conhecimentos técnicos e melhores práticas, a fim de fortalecer as capacidades das equipes de ambas as partes relacionadas à aplicação da lei sobre a proteção de dados pessoais.

Nota Técnica da ANPD sobre a Política de Privacidade do WhatsApp

A primeira grande repercussão sobre a interferência da ANPD nas atividades de processamento de dados e políticas de privacidade das empresas foi em março de 2021, quando a Autoridade emitiu uma Nota Técnica (nº 02/2021/CGTP/ANPD), apresentando as implicações e possíveis consequências das alterações promovidas na Política de Privacidade e Termos de Serviço pelo WhatsApp, que passaria a compartilhar os dados pessoais dos usuários com as empresas do mesmo grupo econômico do Facebook, do qual também faz parte. Diante da forte repercussão, nacional e internacional, sobre o tema, a Autoridade compilou o documento contendo as recomendações de adequação à LGPD e medidas tomadas.

Dentre os principais tópicos trazidos pela Nota Técnica, destaca-se:

  • a competência da ANPD para analisar questões relacionadas às Políticas de Privacidade do WhatsApp;
  • a importância do princípio da transparência e da obtenção do consentimento válido para tratamento de dados, sempre que aplicável, garantindo-se a consulta facilitada e gratuita sobre as informações objeto do tratamento;
  • o fato de que a Política de Privacidade brasileira do WhatsApp deve convergir com a Política europeia, considerando a similaridade e inspiração da LGPD na GDPR;
  • a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), sobre a integração do WhatsApp com o WhatsApp business, considerando que os serviços tratam dados pessoais em larga escala e contam com um grande volume de usuários; 
  • a necessidade de indicar as bases legais para a coleta de dados pessoais e suas respectivas finalidades, garantindo o exercício de direitos dos titulares;
  • a obrigação de informar os titulares sobre todos os seus direitos e os dados pessoais objeto de tratamento de forma simplificada e eficaz, nos termos do artigo 9ª da LGPD; 
  • a importância de incluir na Política as circunstâncias nas quais poderia ocorrer o tratamento não intencional de dados de crianças e adolescentes, identificando os dados sensíveis que serão tratados, suas bases legais e finalidade, além das medidas de segurança aptas para prevenir danos e mitigar riscos aos usuários;
  • a apresentação, pelo WhatsApp, das medidas de segurança utilizadas em conformidade com os parâmetros de boas práticas de segurança da informação previstas na legislação brasileira, principalmente em relação a questões de privacy by design e by default.

A Nota Técnica ressalta, então, a urgente necessidade das empresas em empreenderem todos os esforços cabíveis, no âmbito das suas respectivas capacidades técnicas, para adequarem-se às obrigações previstas na LGPD e, da mesma forma, de serem capazes para responder a eventuais requisições da ANPD sobre as atividades de tratamento de dados que desenvolvem.  

O que esperar no futuro?

Pesquisas recentes realizadas no Brasil por empresas de consultoria e gestão de risco indicam que a maioria das empresas brasileiras não estão adequadas à LGPD e a ANPD demonstrou estar ciente da necessidade de investir tempo e esforço na conscientização sobre a relevância da proteção dos dados pessoais, em detrimento de uma postura mais sancionatória e repressiva.

Todavia, isso não significa que as empresas não devem se comprometer com a adequação à LGPD. A LGPD tem aplicação transversal, impacta nacionalmente diversos setores da economia e, somando-se a isso, diversos órgãos como o Ministério Público, CADE, Senacon e PROCONs, têm invocado a LGPD em representações administrativas e judiciais. Além disso, o STF também já se posicionou a respeito dos direitos relacionados à proteção de dados, em julgamento paradigmático sobre o tema, o que contribuiu substancialmente para o histórico reconhecimento da proteção de dados como direito fundamental, que passará a fazer parte do rol do artigo 5° da Constituição Federal, tendo em vista a recente aprovação, pelo Senado Federal, da Proposta de Emenda à Constituição 17 (PEC 17/2019). A PEC também remete privativamente à União a função de legislar sobre o tema e seguirá, agora, para promulgação em sessão do Congresso Nacional. 

Nesse contexto e dado o aumento substancial do número de ataques cibernéticos, incidentes de segurança e vazamento de dados, por conta do grande volume de informações e documentos digitalizados, além da crescente exposição online de dados pessoais por conta da pandemia do Covid-19, proteção de dados e segurança da informação nunca foram temas tão importantes como hoje em dia. Quer dizer, a conformidade com a legislação de proteção de dados passou a ser um dos mais importantes ativos de mercado que uma empresa pode ter.

Bibliografia

  1.  Disponível em: https://cartilha.cert.br/fasciculos/protecao-de-dados/fasciculo-protecao-de-dados.pdf.
  2. Disponível em: https://cartilha.cert.br/fasciculos/vazamento-de-dados/fasciculo-vazamento-de-dados.pdf
  3.  Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf
  4. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf
  5. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-1-de-8-de-marco-de-2021-307463618
  6. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/planejamento-estrategico/planejamento-estrategico-2021-2023.pdf
  7. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-consulta-publica-e-inscricoes-para-audiencia-publica-sobre-norma-de-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte
  8. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/minuta_de_resolucao___aplicacao_da_lgpd_para_agentes_de_tratamento_de_pequeno_porte.pdf
  9. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca
  10.  Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-consulta-publica-sobre-norma-de-fiscalizacao
  11. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-consulta-publica-sobre-norma-de-fiscalizacao/2021.05.29___Minuta_de_Resolucao_de_fiscalizacao_para_consultapblica.pdf
  12. Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/arquivos/acordo_anpd_senacon_assinado.pdf
  13. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-e-cade-assinam-acordo-de-cooperacao-tecnica
  14. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-assina-memorando-de-entendimento-com-a-agencia-espanhola-de-protecao-de-dados
  15. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/NOTATECNICADACGTP.pdf

*Fabio Luiz Barboza Pereira é sócio da área de Tecnologia da Informação & Proteção de Dados do Veirano Advogados 

*Cecília Alberton Coutinho Silva é advogada de Tecnologia da Informação & Proteção de Dados do Veirano Advogados e Mestranda em Direito na Pontifícia Universidade Católica do Rio Grande do Sul. 

Reportar

Retorno sobre Investimento em privacidade e proteção de dados
casos de corrupção

Você condena os casos de corrupção?