Após a tumultuada entrada em vigor da Lei Geral de Proteção de Dados (LGPD), há fortes expectativas das pessoas e das empresas acerca dos desdobramentos da proteção de dados no Brasil. Na Europa, a experiência com a proteção de dados está mais consolidada, o que faz com que seja comum a prática de consultar as estratégias e mesmo a legislação europeia para saber como agir. No entanto, a realidade nacional é distinta, com uma cultura, demandas e mesmo legislação diferentes, o que exige que se comece, de fato, a desenvolver respostas brasileiras para o fundamental tema da proteção de dados pessoais.
Parte destas respostas está nas mãos da ANPD, a chamada Autoridade Nacional de Proteção de Dados Pessoais, órgão criado com a LGPD, cuja competência, entre outras atividades, inclui a fiscalizar e aplicar sanções, criar normas e dispor sobre as formas de publicidade das operações de tratamento de dados pessoais.
No fim de janeiro, foi editada portaria que divulga a agenda regulatória da ANPD, movimento que permite enxergar os novos percursos que a entidade tomará. Entre outras providências previstas estão a Definição de Regimento Interno da ANPD e Planejamento Estratégico, as quais sinalizam o momento ainda inicial em que está a autoridade.
Além disso, está prevista a criação de um marco normativo para startups, pequenas e médias empresas, tendo em vista que a LGPD prevê uma regulamentação diferenciada. Esse ponto é de grande importância à medida que, diferentemente da legislação europeia e mesmo da recente lei californiana (CCPA), a LGPD não faz distinções entre deveres das empresas. Em outras palavras, os deveres legais são em maior parte iguais independentemente do setor, tipo de atividade ou porte da empresa. Um exemplo interessante é a figura do Data Protection Officer (DPO), ou encarregado de dados pessoais, a quem compete a interface com a própria ANPD e com os pedidos dos titulares de dados pessoais, ou seja, com as solicitações das pessoas sobre seus direitos. De acordo com a LGPD, todas as empresas – e, de maneira geral, também a administração pública – precisam contar com um DPO. Será que essa obrigação será imposta de fato a todas as 20 milhões de empresas contabilizadas no Ministério da Economia?
Vale notar que a figura do DPO foi destacada como um ponto específico da agenda; afinal, a falta de clareza pode ensejar desafios muito grandes não apenas quanto à necessidade, mas quanto ao exercício da atividade e perfil para a função.
Além disso, a ANPD prevê em sua agenda regular o tema das sanções por descumprimentos de cuidados em matéria de dados pessoais, comunicação de incidentes e relatório de impacto. Embora não se possa decifrar se um papel educacional – e menos sancionatório – está nas entrelinhas, a indicação da preocupação com as situações concretas em que há incidentes com dados pessoais demonstra que o plano não é ficar apenas na teoria. É preciso respostas e procedimentos definidos para as situações que invariavelmente acontecerão.
A divulgação da agenda coincidiu com o Dia Internacional de Proteção de Dados Pessoais, mundialmente comemorado no dia 28 de janeiro. No Brasil, no entanto, parece não haver tantos motivos para celebrar, sobretudo diante da recente notícia do vazamento de uma base com dados da Serasa com 220 milhões de pessoas, entre os quais havia nome, endereço, dados do Imposto de Renda, fotos, scores de crédito, gênero, data de nascimento, nome do pai e da mãe, estado civil, vínculos familiares, e-mail, telefone, classe social e título de eleitor – tudo oferecido de graça em um fórum de internet.
Se confirmado, será o maior vazamento de dados da história do país, já que foram expostas mais pessoas do que a população viva no Brasil. Este caso, tanto pela quantidade de dados quanto por sua natureza, acende uma forte luz sobre as atividades das empresas e a capacidade de preservar a proteção dos dados que administram e comercializam – e, ainda, ocorre justamente no momento que os bancos brasileiros se preparam para o open banking. Esse episódio deve ser marcado na agenda da ANPD como um dia a ser lembrado. Ao tempo em que a autoridade ainda inicia suas atividades, o cenário brasileiro demanda medidas efetivas e responsabilização de infratores. Enfim, para que realmente se possa festejar, a LGPD precisa ser uma agenda de todo o Brasil.
Gabriel Schulman é advogado, doutor em Direito e coordenador da pós-graduação em Direito e Tecnologia da Universidade Positivo.