Por Laura Aliende da Matta e Matheus Perez Matsuno

A semana do Dia Internacional da Proteção de Dados Pessoais (28 de janeiro) trouxe novidades na área de proteção de dados no Brasil, com a publicação da Agenda Regulatória do biênio 2021-2022,[1] por meio da Portaria nº 11/2021 da Autoridade Nacional de Proteção de Dados (ANPD). A agenda é um instrumento de planejamento que reúne as ações regulatórias definidas como prioritárias para a ANPD nos próximos dois anos, seja como objetos de estudo ou regulamentação.

 Esta medida é de grande importância ao setor empresarial, pois proporciona a possibilidade de estruturar estratégias de adequação que caminhem ao lado dos avanços regulatórios da própria Autoridade, permitindo um cenário de maior previsibilidade.

A agenda prevê relatórios semestrais de acompanhamento das iniciativas regulamentares produzidas pela Coordenação Geral de Normatização, sem prejuízo da readequação das iniciativas e metas conforme necessário. Em um primeiro momento, porém, a Agenda elencou dez temas prioritários na área de proteção de dados e informou a previsão para o início da atividade regulatória a eles relacionada. Os temas serão desenvolvidos pela ANPD em três fases:

  • Fase 1: iniciativas com início em até um ano (até o 2º semestre de 2021);
  • Fase 2: iniciativas com início em até um ano e seis meses (até o 1º semestre de 2022); e
  • Fase 3: iniciativas com início em até dois anos (até o 2º semestre de 2022).

A iniciativa de transparência deve ser elogiada, mas ainda é preocupante a falta de definição sobre como alguns dos temas serão enfrentados enquanto não forem regulamentados. Seria interessante que a ANPD divulgasse ao menos as balizas para a continuidade dos negócios com maior grau de segurança jurídica. Um exemplo de tema a ser tratado é o das bases para a transferência internacional de dados pessoais (em detalhes mais adiante), para as quais ainda não é possível fazer uma interpretação estrita e literal, o que as deixa suscetíveis a relevantes divergências de opinião. Além disso, para grande parte do mercado, realizar negócios sem algum grau de transferência internacional de dados é praticamente impossível atualmente e, por ora, não há soluções legais escaláveis que possam ser adotadas pelos agentes de tratamento.

Seja como for, o saldo da Portaria nº 11/2021 é positivo, pois ela traz elementos relevantes para o planejamento de ações de adequação, assim como de acompanhamento e cobrança de iniciativas regulatórias que serão adotadas pela ANPD. Confira a seguir todos os temas da agenda:

 

  • Regimento Interno da Lei Geral de Proteção de Dados (LGPD) e Planejamento Estratégico da ANPD

Esses dois primeiros temas são pré-requisitos para o início da atuação da ANPD, assim como para a definição de ações, objetivos e prazos. Os documentos são de grande valor para que a sociedade civil possa acompanhar o desenvolvimento da ANPD, por meio de prestações de contas e comparações com o calendário determinado. O Planejamento Estratégico da ANPD de 2021-2023 tem três objetivos estratégicos:

  1. Promover o fortalecimento da cultura de proteção de dados pessoais;
  2. Estabelecer ambiente normativo eficaz para a proteção de dados pessoais; e
  3. Aprimorar as condições para o cumprimento das competências legais.

  • Proteção de dados pessoais e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos

Esse tema está de acordo com a competência regulatória estabelecida no artigo 55-J, inciso XVIII, da LGPD. Ele é de especial importância, pois o ônus de adequação gerado pela LGPD pode significar um entrave competitivo relevante para essas empresas. Além da dispensa do cumprimento de determinadas obrigações em alguns contextos, como nomear um encarregado da proteção de dados, seria interessante que a regulamentação trouxesse elementos de simplificação do cumprimento de outras obrigações para facilitar a adequação à lei.

  • Os direitos dos titulares de dados pessoais

O quarto tema está previsto para ser realizado na Fase 3. A LGPD define expressamente alguns dos direitos de titulares de dados, mas ainda existem muitos pontos de indeterminação – por exemplo, nos artigos 9º, 18, 20 e 23 da lei. A título exemplificativo, o artigo 9º da LGPD prevê que o titular dos dados tem direito a informações “disponibilizadas de forma clara, adequada e ostensiva” sobre o tratamento de seus dados, mas não estabelece critérios objetivos para o cumprimento desse requisito. Com a regulamentação prevista, é de se esperar que as empresas possam contar com protocolos objetivos para a divulgação de informações, o que poderá reduzir em muito os custos relacionados à implementação. Além disso, o artigo 18, que trata dos direitos de requisição do titular em relação ao controlador, previsivelmente terá diretrizes mais claras sobre procedimentos como anonimização, bloqueio ou eliminação de dados desnecessários, entre outras situações.

  • O estabelecimento de normativos para aplicação do artigo 52 e seguintes da LGPD

O quinto tema está previsto para a Fase 1. O artigo 52 e seguintes da LGPD discorrem sobre as sanções administrativas aplicáveis aos controladores e operadores. Espera-se que sejam mais bem definidas as circunstâncias e condições para aplicação das penalidades previstas. Em observância ao fundamento do desenvolvimento econômico e tecnológico e da inovação afirmado na lei, é mister fornecer informações que permitam aos controladores compreender os critérios de aplicação das sanções administrativas e adequar-se em conformidade.

  • Comunicação de incidentes e especificação de prazo de notificação

O sexto tema (também para a Fase 1) é o da regulamentação de itens para comunicação de incidentes. O artigo 48 da LGPD responsabiliza o controlador dos dados por comunicar à ANPD e ao titular a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares. Contudo, não há previsão expressa de alguns elementos essenciais a essa comunicação, como a especificação do prazo de notificação e do formato, que deverão ser descritos em resolução da ANPD.

 

  • Relatório de Impacto à Proteção de Dados Pessoais

O artigo 38 da lei, complementado pelo artigo 55-J, inciso XIII e artigo §3º, faculta à ANPD a exigência de um Relatório de Impacto à Proteção de Dados Pessoais dos controladores de dados. Apesar da previsão do artigo 5º, inciso XVII, ainda não há modelo padronizado para o relatório, como foi fornecido pelas autoridades europeias, por exemplo, quando da aprovação do Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês).

  • Encarregado de proteção de dados pessoais

O oitavo tema está previsto para a Fase 2. O encarregado de proteção de dados pessoais, também conhecido como Data Protection Officer (DPO), deve ser indicado pelo controlador para atuar como meio de comunicação entre o agente de tratamento, o titular e a ANPD (artigo 5º, inciso VIII, da LGPD). Sua indicação é obrigatória para o controlador, nos termos do artigo 48. No entanto, o parágrafo § 3º do mesmo artigo expressa que a ANPD poderá estabelecer normas complementares sobre a definição, atribuições do encarregado e hipóteses em que sua indicação é dispensada. Sendo assim, a ANPD terá a oportunidade de avaliar a necessidade de indicação de um encarregado conforme a natureza e o porte das entidades ou o volume de operações de tratamento de dados, bem como definir os atributos necessários ao profissional alocado em cada setor de atividades.

  • Transferência internacional de dados pessoais

A agenda aponta para a necessidade de regulamentar os artigos 33, 34 e 35 da LGPD, atividade a ser realizada na Fase 2. O artigo 33 dispõe sobre casos em que é permitida a transferência internacional dos dados pessoais, como para países ou organismos internacionais que proporcionem grau de proteção adequado de proteção de dados (artigo 33, inciso I, da LGPD), ao passo que o artigo 34 expressa quais fatores a ANPD levará em consideração para determinar o nível de proteção de dados pessoais desses países ou organismos. Não está definida, no entanto, a lista de países classificados conforme seu grau de proteção, como foi feito pelas autoridades europeias. Também se espera que a ANPD defina diretrizes para interpretação do que constitui a transferência internacional (podendo ser incluído ou excluído, por exemplo, o armazenamento em servidores internacionais contratados para serviço de nuvem) e o conteúdo de cláusulas-padrão contratuais (conforme o artigo 35 da LGPD).

  • Hipóteses legais de tratamento de dados pessoais

O décimo e último tema da Agenda Regulatória da ANPD prevê para a Fase 3 a publicação de orientações sobre a aplicação das bases e hipóteses legais de tratamento de dados ao caso concreto. Bases legais como legítimo interesse e proteção ao crédito são especialmente abertas à interpretação e carecem de orientações claras que tornem possível satisfazer as exigências da lei. A ANPD publicará em um guia de boas práticas as diretrizes para que os agentes atuem de maneira regular e lícita.

[1] BRASIL. Autoridade Nacional de Proteção de Dados. Torna pública a agenda regulatória para o biênio 2021-2022. Portaria nº 11, de 27 de janeiro de 2021. Acessível em: http://www.in.gov.br/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313