Dados preocupa especialistas
Responsável por fiscalizar a aplicação da Lei Geral de Proteção de Dados, a ANPD tornou públicos os primeiros passos de seu funcionamentoPor Giovanna Wolf e Bruno Romani - O Estado de S. Paulo
Agenda regulatória e planejamento estratégico da Autoridade Nacional de Proteção de Dados levantam preocupações
Na esteira do principal caso de
vazamento de dados do Brasil, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar a aplicação da Lei Geral de Proteção de Dados (LGPD), tornou públicos os primeiros passos de seu funcionamento - a agência teve os diretores nomeados em outubro de 2020. Apesar de as publicações darem sinais positivos de que os motores do
novo órgão estão aquecendo,
especialistas ouvidos
pelo Estadão demonstram preocupações com o projeto.
53
Foram duas publicações feitas nas
últimas semanas: a agenda
regulatória para 2021 e 2022 e o planejamento estratégico mirando os próximos três anos. O principal ponto de preocupação em relação à agenda é o fato de ela não ter sido construída
em conjunto com o Conselho
Nacional de Proteção de Dados
Pessoais e da Privacidade
(CNPD). A entidade multissetorial, com integrantes da sociedade civil, tem como papel definir diretrizes para a atuação da agência.
“O artigo 58 da LGPD diz que compete ao CNPD propor diretrizes para a atuação da ANPD”, afirma Flavia Lefevre, advogada do coletivo Intervozes. “Certamente a definição da agenda deveria ter passado antes pelo Conselho”. A entidade, porém, ainda está em processo de formação - o edital de convocação foi publicado pela ANPD apenas na última quinta- feira, 4.
Sobre a agenda, a ANPD disse, em nota ao Estadão, que trata-se de
“uma medida adotada
voluntariamente com o objetivo de organizar e priorizar as atividades, assim como de dar transparência e previsibilidade à sociedade quanto aos temas que serão endereçados nos próximos dois anos”. A agência afirmou também que “a portaria que aprova a Agenda Regulatória da ANPD explicitamente estabelece que as metas nela previstas poderão ser alteradas por deliberação do CNPD.
Assim, após a constituição e
funcionamento do conselho, este poderá, naturalmente, opinar quanto
a eventuais ajustes à Agenda
Há também considerações sobre a hierarquização de prioridades da agenda. Na visão de Danilo Doneda, professor do Instituto Brasiliense de Direito Público, o calendário deixou para mais tarde questões que são
urgentes, como a transferência
internacional de dados pessoais. Segundo a ANPD, essa discussão está prevista para o primeiro semestre de 2022. Esse, porém, é um assunto que
aparece em pautas discutidas
atualmente - entre elas estão as novas
regras de privacidade do WhatsApp e o repasse de informações do app para o Facebook.
“A transferência internacional de dados tem sido discutida no mundo todo e depende da ANPD para começar. Uma empresa que faz comércio internacional precisa de segurança para isso”, diz Doneda. “Além disso, os prazos colocados no documento são para o início dos trabalhos sobre os temas e não para a entrega de resultados".
Dentro das prioridades, também salta aos olhos de especialistas o prazo para o início do processo regulatório de direitos dos titulares de dados pessoais - apesar de a LGPD estabelecer esses direitos, diversos
pontos ainda precisam de
regulamentação. Na agenda, essa discussão ficou para o segundo semestre de 2022. “Uma definição mais objetiva dos direitos dos titulares deveria ser feita já nesse primeiro ano”, destaca Diogo Moyses
coordenador do programa de
Telecomunicações e Direitos Digitais do Idec.
Para Doneda, o atraso nesses temas está em conflito com outros que aparecem com mais urgência na
54 agenda. Entre eles está o debate sobre regulamentação diferenciada para
microempresas e empresas de
pequeno porte. “A regulamentação começou não pelo direito do cidadão, mas pelas exceções em relação às empresas. Isso pode sinalizar que,
talvez, haja muitas empresas
pressionando a ANPD e poucos cidadãos fazendo o mesmo. Se a agenda regulatória considerar só a questão de demanda, ela corre o risco de ser sequestrada por empresas”, afirma.
Sobre as priorizações, a ANPD disse
em comunicado enviado
ao Estadão que “a Agenda
Regulatória consiste no
estabelecimento de um cronograma de trabalho e não na priorização de temas em razão de sua importância.” A respeito dos direitos dos titulares de dados pessoais, a agência afirmou que a LGPD já traz clareza quanto aos direitos dos titulares, situação que, segundo ela, “não se verifica quanto a outros itens incluídos na agenda regulatória”. Sobre a transferência
internacional de dados, disse:
“Embora não estejam previstas ações de regulamentação no ano de 2021 quanto ao tema da transferência internacional de dados, o assunto já se encontra em fase de estudos e a ANPD já está em contato com autoridades de outros países com vistas a explorar as possibilidades de cooperação com relação à facilitação dos fluxos transnacionais de dados pessoais”.
Por outro lado, há também quem aponte que a agenda é "realista" - ou seja, ela estaria de acordo com as limitações estruturais do órgão. “A ANPD é vinculada à Presidência da
República - há uma limitação e o órgão ainda está sendo constituído. Acredito que os atrasos não sejam falta de interesse, mas sim devido à própria máquina pública e pela demora para instalação para um órgão”, diz Bruna Martins do Santos, da associação Data Privacy Brasil. Estruturação lenta na crise
O tempo, porém, joga contra a ANPD. A estruturação lenta acontece em
meio a uma crise grave:
o megavazamento de dados que expôs 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos. Antes disso, outro caso já demandava atenção do
órgão: uma falha de segurança no
sistema de notificações de covid-19 do Ministério da Saúde deixou expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros, como mostrou o Estadão.
Sobre o caso do vazamento, a ANPD
se pronunciou sobre o assunto só oito
dias depois da divulgação do caso e, pelo menos, 16 dias após o início da comercialização dos dados.
Em nota ao Estadão em janeiro, a ANPD disse que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes e oficiará para apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação”. O órgão afirmou ainda que “sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados, para
55 promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”.
Segundo a TV Globo, a ANPD teria
também acionado a Polícia
Federal em relação ao caso. O Estadão, porém, apurou que antes da nota de 27 de janeiro a agência não
tinha nem ramais telefônicos
internos. Uma outra pessoa com proximidade à nova agência afirmou
na época que a estruturação
caminhava a “passos de tartaruga”.
Segundo especialistas, o
megavazamento será uma prova de fogo para a agência. Em janeiro, Bruno Bioni, fundador e professor do
Data Privacy Brasil, disse
ao Estadão que, apesar de ainda não poder aplicar sanções, a Autoridade pode atuar de maneira cooperativa com outros órgãos reguladores e também entidades de proteção e de defesa do consumidor: “A ANPD pode atuar tecnicamente, verificando quais os melhores caminhos para formatar o plano de contingência. Em um segundo momento, pode desdobrar para punições e sanções. Ela não vai poder se valer da LGPD, mas ela pode atuar de maneira cooperativa com a Senacon, que pode utilizar o Código de Defesa do Consumidor para aplicar multas e sanções”, afirmou.
Até o momento da publicação desta reportagem, as medidas mais duras tomadas por órgãos federais em relação ao vazamento foram a abertura de um inquérito pela Polícia Federal para investigar o caso e a
inclusão do megavazamento ao
inquérito das fake news, conforme
decretado na último quarta-feira, 3, pelo ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes –
esta última medida foi tomada após uma investigação do Estadão apontar que as informações de autoridades do poder público estavam expostas. Ainda não se sabe, porém, a origem do vazamento.
Diante da gravidade do cenário, os órgãos federais têm sido cobrados por mais atuação. Na semana passada, o Instituto de Defesa do Consumidor (Idec) revelou com exclusividade
ao Estadão que encaminhou uma
representação a diferentes autoridades federais cobrando “providências firmes e imediatas” em
relação ao megavazamento -
cobranças foram direcionadas à Autoridade Nacional de Proteção de Dados (ANPD), ao Banco Central, à Secretaria Nacional do Consumidor (Senacon), ao Ministério Público Federal, à Polícia Federal (PF) e ao Congresso Nacional.
Para a ANPD, especificamente, o Idec pediu uma ampla divulgação do caso em meios de comunicação, a adoção de medidas para reverter ou mitigar os efeitos do incidente e também a coordenação da cooperação entre as autoridades competentes para ações relacionadas ao vazamento.
Uma outra fonte ouvida pela
reportagem afirma que a lentidão da ANPD pode abrir espaço para que outros órgãos tomem a frente de casos como o do megavazamento, o que poderia resultar em “perda de legitimidade” da nova agência.
Ao Estadão, a ANPD diz que “está atenta aos desdobramentos sobre o referido caso, e já solicitou apoio de órgãos de investigação. Em breve, intenciona emitir recomendações
56 sobre como a sociedade poderá agir diante desse fato”.
Nascimento conturbado
A ANPD foi um tema de discussão durante toda a elaboração da Lei Geral de Proteção de Dados.
Apesar de especialistas terem
reforçado ao longo do processo a
importância da agência ser
independente, o órgão foi criado no ano passado vinculado diretamente à Presidência - especialistas apontam que é uma formatação inédita para agências do tipo no mundo, que normalmente são criadas como órgãos independentes. A estrutura da ANPD foi instituída a partir de um decreto publicado pelo presidente Jair Bolsonaro em agosto de 2020. A responsabilidade pela vinculação à presidência, porém, tem origem no
governo Temer - foi o ex-presidente
que vetou a autoridade como um órgão da administração indireta na sanção da LGPD, publicada em agosto de 2018.
Para os especialistas ouvidos
pelo Estadão, o vínculo com a Presidência é um entrave para a atuação do órgão. “A ANPD ficar dentro da estrutura da Presidência é um conflito de interesses, já que a LGPD se aplica também ao setor público. Ou seja, há uma estrutura que está sujeita à ação regulatória”, afirma a advogada Flávia Lefevre.
Os problemas nesse tipo de
configuração ficam claros em casos
como o do Ministério da Saúde, no
qual a ANPD deveria investigar um órgão público. A depender da origem, que ainda é desconhecida, o caso dos megavazamentos pode resultar em uma situação parecida.
É algo, porém, que pode mudar somente nos próximos anos. A LGPD prevê que, depois de dois anos de exercício da ANPD, haja uma revisão
para desvincular o órgão da
Presidência da República. A mudança é vista como essencial: “Até hoje, nunca foi um interesse sincero do Executivo ter a proteção de dados forte - era um custo que iria
questionar várias políticas de
proteção de dados. Apesar de ter sido elaborado o projeto de lei, nunca houve muita simpatia dentro do governo pela LGPD, o Congresso praticamente forçou a barra para a aprovação”, diz Doneda.
https://link.estadao.com.br/noticias/cult ura-digital,em-meio-a-megavazamento- caminho-da-autoridade-de-dados- preocupa-especialistas,70003609943 Retorne ao índice 57