5 anos da Lei Geral de Proteção de Dados
Desde a sua promulgação, a LGPD tem apoiado a proteção dos direitos individuais e a promoção de práticas responsáveis de tratamento de dados pessoais. A ANPD tem se destacado ao estabelecer diretrizes que complementam e explicam as disposições da LGPD. Alguns dos desenvolvimentos importantes dos últimos anos incluem a maior clareza quanto às regras aplicáveis aos agentes de tratamento, e o demonstrado esforço de regulamentação e cooperação com diferentes autoridades.
Abaixo apresentamos os principais destaques de atuação da ANPD nos últimos cinco anos, desde a publicação da LGPD, abordando as questões divididas pelos seguintes: (i) fiscalização e sanção da LGPD pela ANPD; (ii) interpretação de dispositivos e modulação de efeitos da norma; (iii) planejamento e cooperação na atuação da ANPD.
Fiscalização e Sanção
A primeira norma de caráter externo editada pela ANPD foi o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador publicado em 29 de outubro de 2021, pela Resolução no 1/2021. Posteriormente, a ANPD publicou em 27 de fevereiro de 2023 o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução no 4/2023), garantindo maior previsibilidade e segurança à aplicação das sanções previstas em lei.
Mais recentemente, estes desenvolvimentos normativos culminaram na aplicação da primeira multa por parte da ANPD por descumprimento da LGPD. Segundo a fiscalização da ANPD, a empresa não possuía encarregado de proteção de dados indicado e realizava tratamento de dados pessoais sem a devida atribuição de uma base legal, o que resultou na aplicação de multa simples e advertência pela Coordenação-Geral de Fiscalização da ANPD.
Interpretação de Dispositivos e Modulação de Efeitos
Como uma lei de caráter geral, a LGPD exige que sua aplicação e seus efeitos sejam ajustados em diferentes contextos, de modo a não inviabilizar o desenvolvimento de determinadas atividades por tornar o cumprimento da lei virtualmente impossível ou demasiadamente oneroso. Por essa razão, a ANPD promoveu a edição e normas e estudos com o objetivo de modular a aplicação da legislação a contextos específicos.
Enunciado de crianças
A partir de uma leitura fria do §1o do art. 14 da LGPD, seria possível concluir que o tratamento de dados pessoais de crianças somente seria autorizado a partir do consentimento de um dos pais ou responsável legal. Notadamente, tal interpretação comprometeria o cumprimento de obrigações legais e o desenvolvimento de atividades que onde a obtenção do consentimento para cada atividade seria virtualmente impossível, como no caso de escolas. Assim, após a realização de estudo preliminar sobre o tema e submetido à consulta pública, a ANPD editou o Enunciado no 1/2023 reconhecendo a aplicação de outras bases legais para o tratamento de dados pessoais de crianças e adolescentes, desde que observado e prevalecente o seu melhor interesse.
Agentes de pequeno porte
A ANPD também exerceu sua competência prevista no art. 55-J, XVIII que prevê a edição de normas, orientações e procedimentos simplificados e diferenciados para agentes de pequeno porte com relação às obrigações da lei. Publicou em 28 de janeiro de 2022 a Resolução no 2/2022, prevendo flexibilizações diante da realidade desses agentes, como registro de atividades de tratamento simplificado, dispensa de um encarregado pelo tratamento de dados pessoais, políticas de segurança da informação simplificadas e prazos em dobro atendimento dos titulares e comunicação de incidentes.
Dados pelo poder público
Outro contexto importante de aplicação da LGPD diz respeito ao tratamento de dados pelo Poder Público. Por força de seus contornos e requisitos específicos, a ANPD publicou em junho de 2022 o Guia de Tratamentos de Dados Pessoais pelo Poder Público que busca auxiliar entidades e órgãos públicos nas atividades de adequação e de implementação das regras de proteção de dados, passando por temas importantes como bases legais para o poder público, o compartilhamento de dados pessoais pelo poder público e a divulgação de dados pessoais.
Dados para fins acadêmicos
Em 26 de junho de 2023, a ANPD deu outro passo importante para parametrização da aplicação da LGPD em contextos científicos, ao publicar Guia Orientativo sobre tratamento de dados pessoais para fins acadêmicos e para realização de estudos e pesquisas. A LGPD já estabelece dentre suas regras uma disciplina específica para o tratamento de dados pessoais para fins exclusivamente acadêmicos, sendo relevante a publicação Guia para oferecer recomendações e orientações aos agentes de tratamento envolvendo essas questões acadêmicas e de produção de conhecimento.
Incidentes (em curso)
Por fim, nesse ponto, ressalta-se também a iniciativa da ANPD para regulamentar a comunicação de incidentes envolvendo dados pessoais. Agentes de tratamento por mais rígidos que sejam seus procedimentos de segurança da informação e controles aplicados sempre estarão sujeitos à ocorrência de incidentes com dados pessoais. A regulamentação da matéria, portanto, era de extrema importância para que os agentes de tratamento tivessem orientação quanto aos prazos envolvidos e a obrigatoriedade da comunicação à ANPD e titulares a depender da gravidade do incidente. A proposta do Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais foi submetida à consulta pública entre o período de 02 de maio e 15 de junho de 2023, e deverá ter sua versão final publicada dentre os próximos meses.
Planejamento e Cooperação
Agendas regulatórias
Para uma adequada atuação institucional da ANPD, é necessário estabelecer determinados instrumentos de planejamento. Nesse ponto, destaca-se a sua Agenda Regulatória como principal mecanismo relacionada a ações externas. A primeira Agenda Regulatória foi editada para o biênio de 2021 e 2022 e contou com a inclusão de dez temas, com destaque para a elaboração de regimento interno da ANPD, as regras especiais para o tratamento de dados por agentes de pequeno porte e o estabelecimento de normativos para aplicação de sanções administrativas.
Por sua vez, para o biênio de 2023-2024 a ANPD expandiu sua Agenda Regulatória com a previsão de vinte temas para que o início do processo de regulamentação seja iniciado até o final de 2024, mantendo-se na lista os temas do biênio anterior que não haviam sido concluídos. Destacam-se os seguintes temas previstos para este biênio: (i) transferência internacional de dados pessoais, (ii) comunicação de incidentes e especificação do prazo de notificação, (iii) encarregado de proteção de dados pessoais, (iv) dados pessoais sensíveis - organizações religiosas; (v) direito dos titulares de dados pessoais; (vi) inteligência artificial e (vii) dados pessoais sensíveis – dados biométricos.
Comitê de governança
De modo a complementar seu planejamento institucional, a ANPD institui o Comitê de Governança, Riscos e Controles por meio da publicação da Portaria no 15/2021 a qual tem efeitos administrativos internos a partir da instituição de órgão que visa à implementação de ações de governo digital e ao uso de recursos de tecnologia da informação e comunicação apenas no âmbito da ANPD. O Comitê vem se reunindo trimestralmente para deliberar, estabelecer e acompanhar os objetivos, metas, planos, projetos e ações de tecnologia da informação do âmbito da autoridade.
Cooperação CADE
Por outro lado, reconhece-se que a proteção de dados não é um tema isolado e por sua amplitude se envolve nos mais diferentes aspectos com diversos temas, exigindo a cooperação da ANPD com demais autoridades e entidades públicas.
No cenário atual onde cada vez mais se destaca a importância dos dados pessoais no contexto dos mercados digitais, revelando a intersecção entre a proteção de dados e a defesa da concorrência Muitas vezes dados pessoais são utilizados para entender melhor o comportamento do consumidor, personalizar serviços e produtos, e direcionar estratégias de marketing. Portanto, o acesso a dados pessoais pode conferir uma vantagem competitiva significativa a uma empresa em relação às suas concorrentes. Por outro lado, o tratamento indevido de dados pessoais também pode caracterizar situações em que haja uma prática anticompetitiva.
Tendo isso em vista, em 02 de junho de 2021, a ANPD firmou com o Conselho Administrativo de Defesa Econômica (CADE) Acordo de Cooperação Técnica com o objetivo de viabilizar a atuação coordenada das autoridades em casos que sejam pontos de contato entre a proteção de dados e a defesa da concorrência. O acordo determina obrigações comuns às partes como compartilhamento de documentos, estudos e pesquisas, promoção de eventos e reuniões conjuntas, a cooperação em atos de concentração envolvendo o tratamento de dados pessoais e casos de infração à ordem econômica que envolvam dados pessoais.
Cooperação TSE pra eleições
Outro ponto em que se observa a intersecção de competências de autoridades diversas diz respeito ao tratamento de dados pessoais no contexto eleitoral. De modo a auxiliar o público, em especial os agentes do processo eleitoral, como candidatos. partidos políticos, coligações e federações partidárias, no início de 2022, a ANPD publicou em conjunto com o Tribunal Superior Eleitoral um Guia Orientativo para aplicação da LGPD por agentes de tratamento no contexto eleitoral para oferecer a esses agentes boas práticas de transparência, responsabilidade e boa-fé. O Guia também traz casos práticos em que esclarece a aplicação da LGPD em situação envolvendo a legislação eleitoral, bem como a competência da ANPD e da Justiça Eleitoral nessas situações. O documento publicado está em linha com o Acordo de Cooperação Técnica firmado entre ANPD e TSE em 23 de novembro de 2021 que prevê produção conjunta de estudos, pesquisas e materiais educativos acerca de procedimentos e práticas necessários à aplicação das disposições da LGPD no contexto eleitoral.
***
Em se tratando de uma lei tão abrangente, é necessário reconhecer que visto todo o desenvolvimento realizado nos últimos anos, ainda há pontos de regulamentação que devem ser abordados em breve, como reconhece a própria agenda regulatória da ANPD para este biênio 2023-2024: a transferência internacional de dados pessoais, complementações relativas ao exercício e resposta aos direitos dos titulares de dados pessoais, normas sobre o encarregado de dados pessoais e o tratamento de dados pessoais sensíveis pelas organizações religiosas, dentre outros. Nos últimos anos, a ANPD avançou em sua atuação institucional e em pontos de regulamentação da LGPD desde sua publicação, com claros esforços de orientar e garantir maior segurança jurídica à aplicação das regras de proteção de dados, compromisso que deve ser continuamente renovado.