A Lei Geral de Proteção de Dados, conhecida como LGPD, introduzida pela Lei nº 13.709/2018, dispõe sobre o tratamento de dados pessoais, ou seja, dados que possibilitam a identificação íntima daqueles que os disponibilizam, inclusive nos meios digitais, coletados, processados e transmitidos por pessoas naturais ou pessoas jurídicas de direito público ou privado, visando salvaguardar, com técnicas de segurança e sigilo, a manutenção dos direitos fundamentais dos cidadãos, como a liberdade e a privacidade.
Contextualizando a linha do tempo até a formalização da LGPD, compreendemos que algumas leis publicadas no cenário brasileiro foram relevantes à proteção e privacidade de dados por debaterem acerca da necessidade de disciplinar o direito de acesso à informação.
Num breve histórico, as primeiras regulações legais que influenciaram a legislação brasileira à LGDP decorreram da criação da Lei de Acesso à Informação – Lei nº 12.527/2011, a qual promoveu a publicidade e transparência de informações de interesse geral pelo setor público; da Lei Carolina Dieckmann – Lei nº 12.737/2012, criada para criminalizar a invasão de aparelhos eletrônicos para obtenção indevida de informações sem permissão; e, da Lei do Marco Civil da Internet – Lei nº 12.965/2014, que estabeleceu as garantias, direitos e deveres para o acesso às informações pelos usuários digitais.
Diante da importância do tema, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela aplicação e fiscalização do cumprimento da LGPD, instituiu o Dia Internacional da Proteção de Dados Pessoais, em 28 de janeiro de 2021, pela Portaria nº 11 de 2021, com o intuito de celebrar a histórica data de 28 de janeiro de 1981, ocasião em que foi regulamentada a Convenção 108 do Conselho da Europa, o primeiro instrumento internacional relacionado ao tratamento e a proteção de dados de caráter pessoal.
E, aproveitando o ensejo, a ANPD publicou uma Agenda Regulatória, que consiste em, dentro das atribuições da lei, elaborar diretrizes visando zelar pela proteção de dados pessoais e como ferramenta de transparência das ações regulatórias no período de vigência do biênio 2021-2022, que servirão como ponto de partida para o aprofundamento da norma e orientação ao público sobre as melhores práticas de manejo e repasse dos dados pessoais. Segue abaixo iniciativas da Agenda:
– Fase 1 – Previsão de início do processo de regulamentação para o primeiro semestre de 2021:
1º) Publicação do regimento interno da ANPD atualmente em fase final de aprovação -, e o seu Planejamento Estratégico até 2023, publicado em 01/02/2021, no qual contém os objetivos estratégicos, ações estratégicas e os indicadores vinculados que devem ser cumpridos pela Autoridade, a curto, médio e longo prazo.
2º) Edição de normas para atender o disposto no artigo 55-J da LGPD, o qual estabelece uma regulamentação diferenciada no que tange às regras de tratamento de dados pessoais e sensíveis para microempresas e empresas de pequeno porte, além das startups, associando procedimentos adequados, aplicáveis e efetivos aos pequenos e médios negócios.
3º) Edição de normativos sobre sanções administrativas a infrações da referida lei, conforme estabelece o artigo 53 da LGPD, bem como as metodologias que orientarão o cálculo do valor-base das sanções de multa. Nesse contexto, importante esclarecer que embora a Lei nº 13.709/2018 tenha entrado em vigor no mês de agosto de 2020, em relação às multas, há a previsão de sua vigência a partir de agosto de 2021.
4º) Os agentes responsáveis por operar os dados sensíveis devem comunicar à autoridade nacional, sob pena de assumirem as responsabilidades, quando ocorridas infrações à privacidade ou falhas na execução do tratamento dos dados. Apesar de a LGDP estabelecer critérios mínimos acerca da comunicação de incidentes de segurança que possam gerar risco ou dano significativo ao titular, a ANPD regulamentará itens como prazo, critérios e procedimentos relativos à comunicação e recebimento das reclamações.
5º) Definição de regras e procedimentos sobre proteção de dados pessoais e privacidade, na forma do artigo 55-J, inciso XII, bem como sobre relatórios de impacto, nos casos em que a coleta, tratamento, uso e compartilhamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais, objetivando a organização de iniciativas, como por exemplo, de implementação de auditorias e atividades de fiscalizações internas, eliminação de informações quando não mais necessárias ou se excessivas ou se tratadas em desconformidade com a legislação, a portabilidade de dados somente mediante consentimento dos titulares, dentre outras providências.
– Fase 2 – Previsão de início do processo de regulamentação para o primeiro semestre de 2022:
6º) A depender do volume de operações das informações, será designado pelo controlador um encarregado da proteção de tais dados, cujas atividades estão previstas no artigo 41, §2º e incisos da LGPD. Como resultado, a ANPD estabelecerá, conforme o §3º, normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
7º) Regulamentação da estrutura de transferência internacional de dados pessoais, permitida entre países autorizados quando preenchidos os requisitos taxativos dispostos no art. 33, da LGPD.
– Fase 3 – Previsão de início do processo de regulamentação para o segundo semestre de 2022:
8º) Regulamentação de diversos pontos pertinentes aos direitos garantidos pela LGPD aos titulares dos dados pessoais quanto ao acesso e ao tratamento de suas informações, elencados nos artigos 9º,18º, 20º e 23º, sem prejuízo de outros a serem tratados, ainda que não previstos na legislação.
9º) Confecção de documentos orientando o público acerca das bases e hipóteses legais de aplicação da LGPD, especialmente no que se refere aos requisitos para o tratamento de dados pessoais.
A regulação conduzida na Agenda Regulatória da Autoridade Nacional Proteção de Dados busca orientar o público e editar resoluções sobre os temas prioritários que devem ser enfrentados no que tange às boas práticas do planejamento procedimental compatível com a LGPD e a forma consciente para a execução de ações relacionadas à privacidade e segurança de informações, trazendo uma mudança significativa no cenário de governança de dados pessoais de clientes e usuários.
Alertamos, diante disso, sobre a necessidade de adaptação interna das empresas tomando por base os termos da legislação em vigor associada com as orientações da Agenda Regulatória, providenciando estratégias inovadoras, técnicas e atuações rigorosas nos controles dos dados coletados, armazenados e transferidos, com cuidado especial das políticas de segurança e privacidade de dados, a fim de conferir efetividade aos direitos prestigiados, sob pena de responsabilização, com a imposição de multas, dos prejuízos que possam ser causados aos clientes e usuários.
Ana Carolina Cabanillas Tadioto é estagiária na Jorge Gomes Advogados, graduanda do curso de Direito pelo Centro Universitário Antônio Eufrásio de Toledo de Presidente Prudente.
Marjorie Sampaio Corradi é advogada na Jorge Gomes Advogados, Bacharel em Direito pelo Centro Universitário Antônio Eufrásio de Toledo de Presidente Prudente.
