Como já é de conhecimento dos mercados no país, a Autoridade Nacional de Proteção de Dados (ANPD) já pode, a partir deste mês, dar início à fiscalização da aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) e impor sanções a quem descumprir as normas. As penalidades previstas na legislação incluem desde advertência a multas que podem chegar a 2% do faturamento bruto de uma empresa – limitada ao teto de R$ 50 milhões por infração -, além de eliminação dos dados pessoais referentes à infração.
No entanto, para que a ANPD possa atuar nesse sentido, falta ainda a regulamentação de vários dispositivos da lei, que entrou em vigor em setembro do ano passado. Para debater o tema, a Associação Nacional das Instituições de Crédito, Financiamento e Investimento (Acrefi) realizou, nesta semana, a live “LGPD: Os próximos passos da lei geral de proteção de dados no Brasil”.
Na avaliação da mediadora do encontro, Cintia Falcão, consultora jurídica da entidade, “trata-se de um assunto que não se esgota e, a cada dia, traz reflexões sobre a necessidade de mais transparência no uso dessas informações tão preciosas, que são os nossos dados pessoais. Nas palavras do presidente do Banco Central, Roberto Campos Neto, o grande ativo do mundo financeiro hoje é o controle de dados. A ANPD é a autoridade responsável por aplicar essas sanções, mas essas discussões também devem acontecer no Judiciário, órgãos de proteção ao consumidor e demandas coletivas”. Ela destacou ainda que o grande desafio em relação ao tema é o aculturamento da proteção de dados. “Não estamos acostumados com isso e é o grande passo que precisa ser dado pelo cidadão, em especial”, acrescentou.
Por sua vez, Lucas Borges, assessor do Conselho Diretor da ANPD, revelou os próximos passos da lei geral de proteção de dados, com a regulamentação de normas. “Foi feito um planejamento. Há uma série de artigos que precisam ser regulamentados; todos são prioritários, mas é preciso estabelecer uma agenda”. Segundo ele, a autoridade está atualmente trabalhando em frentes seguindo o previsto na agenda para a regulamentação desses dispositivos. No caso de fiscalização e sanções, uma primeira versão da norma já foi submetida à consulta pública e recebeu cerca de 1800 contribuições. Agora, a autoridade está concluindo a análise interna do documento, para depois passar pela área e conselho diretor.
Em breve, assegurou o assessor, duas normas devem ser publicadas. A primeira trata dos procedimentos de fiscalização, como a ANPD pretende abordar os setores. Posteriormente, será elaborada a que vai tratar especificamente da sanção de multa, porque a LGPD prevê que deve ser publicada metodologia específica para o cálculo. “Antes disso, deve sair a norma de para dar início à fiscalização” explicou.
Encontra-se, também, em fase de discussão, a regra de proteção de dados para startups e pequenas empresas, que ainda precisa passar por consulta pública. Outra norma em elaboração na autoridade trata da comunicação de incidentes. “Pela previsão da LGPD, quando houver um incidente relevante com dados pessoais, que envolva riscos e danos para direito dos titulares, deve haver uma comunicação a ANPD. Já há uma indicação do site da autoridade, inclusive um formulário, mas será publicado um regulamento específico sobre isso e essa minuta de regulamento está em elaboração”, disse o assessor.
Riscos envolvidos
Outra frente destacada por Borges é a elaboração da norma que trata do relatório de impacto à proteção de dados pessoais previsto na lei. A regra atribui aos agentes de tratamento, empresas e organizações o dever de elaborar um documento que esclareça como está sendo feito o tratamento de dados e faça uma ponderação sobre os riscos envolvidos e as medidas de segurança. “A minuta está em elaboração”, afirmou.
Enquanto Rubia Ferrão, sócia-fundadora do Pigão, Ferrão e Fiorante Sociedade de Advogados, disse que há muito o que fazer ainda em proteção de dados. Segundo ela, as empresas ainda estão entendendo o cenário e muitas não se adequaram à lei. “O mercado está em alvoroço, em busca por profissionais de dados. Isso aqueceu a economia por todas as óticas, até porque as empresas passaram a estruturar departamentos ou posições, principalmente as maiores, para olhar esse aspecto”.
Já Tatiana Santos, DPO e gerente de Risco Operacional e Controles no Banco Cetelem, falou da experiência na implementação da LGPD na instituição, uma subsidiária de matriz europeia que teve uma adequação ao General Data Protection Regulation (GDPR) no passado. “Vivemos a experiência da implementação da LGPD um pouco antes por conta disso. Nesse sentido, pudemos visualizar e aprender com a experiência de alguém que já passou pelo processo. Havia uma série de itens já desenvolvidos. Ainda assim, quando veio a lei brasileira, tivemos que adotar um olhar mais direcionado às exigências locais. Então, o tempo foi suficiente para cobrir a estrutura principal e estamos trabalhando sempre com melhorias.”
