SEGURANÇA JURÍDICA PARA EMPRESAS E CIDADÃOS
Diretora Miriam Wimmer destaca o cenário complexo da legislação brasileira e a pluralidade de órgãos públicos de regulação e sanção e aponta a articulação entre eles como o maior desafio da ANPD. Por: Vania Mezzonato
À frente da recém-criada Autoridade Nacional de Proteção de Dados (ANPD), entidade do Governo Federal que tem atribuições relacionadas à proteção de dados pessoais e da privacidade e, sobretudo, à fiscalização do cumprimento da Lei nº 13.709/2018, a Diretora Miriam Wimmer destaca o cenário complexo da legislação brasileira e a pluralidade de órgãos públicos de regulação e sanção e aponta a articulação entre eles como o maior desafio da ANPD para “assegurar a interpretação consistente da lei e trazer segurança jurídica tanto para empresas como também para cidadãos.”
Em entrevista exclusiva à Revista de Seguros, ela adianta que a entidade já iniciou essa articulação, principalmente no campo da defesa do consumidor. “É imprescindível que essa cooperação ocorra, seja de maneira informal, com o diálogo entre os técnicos e dirigentes desses órgãos, seja de maneira formal, com assinatura de acordos de cooperação técnica”, afirmou. Lei a seguir os principais trechos da entrevista.
Diante do avanço nos processos digitais e tecnológicos no ano de 2020, impulsionado, sobretudo, pela pandemia da Covid- 19, como a ANPD vem se estruturando para atender às demandas e aos desafios que as novas tecnologias e a LGPD apresentam?
Miriam Wimmer – A ANPD é um órgão criado há menos de 4 meses, que se encontra, portanto, em fase inicial de estruturação. Ao longo de seus primeiros meses de existência, a Autoridade trabalhou para constituir seu corpo técnico, e hoje já contamos com cerca de 25 servidores, incluídos os cinco diretores. Nosso time tem perfis e trajetórias diversos, com formação técnica e jurídica, e com experiência tanto no setor privado como também em diferentes órgãos da administração pública.
Essa composição diversa é muito importante para que possamos dar conta dos novos desafios suscitados pela tecnologia. Também trabalhamos, nesses primeiros meses, para publicar o nosso planejamento estratégico e nossa agenda regulatória, com a previsão de pautas que serão abordadas de maneira prioritária ao longo dos dois primeiros anos de existência da ANPD.
Com isso, queremos agir de maneira transparente e dar previsibilidade aos agentes de tratamento e aos titulares de dados sobre os temas que serão objeto de consulta pública ao longo desse período. Em paralelo, estamos também nos estruturando para receber comunicações de indivíduos e também de organizações, inclusive, no que tange a incidentes de segurança.
Dentre as diversas atribuições previstas na Lei, a LGPD prevê que a ANPD articulará a sua atuação com outros órgãos reguladores. Tal atribuição é de grande importância no caso do setor segurador, aí incluídos os segmentos de Seguros Gerais, previdência Privada e Vida, Capitalização e Saúde Suplementar, uma vez que são regulados, respectivamente, pelo CNSP/Susep e pela ANS. Desta forma, como entende que se dará a interlocução entre tais órgãos e a ANPD?
O Brasil tem um cenário bastante complexo em termos de regulação e de enforcement, com uma pluralidade de órgãos públicos dotados de competências reguladoras e sancionadoras em áreas que podem, de algum modo, tocar no tema da proteção de dados pessoais. Assim, um grande desafio para a ANPD é justamente promover a articulação com tais órgãos e entidades, de modo a assegurar a interpretação consistente da lei e trazer segurança jurídica tanto para empresas como também para cidadãos.
Nesse sentido, já iniciamos a articulação em alguns setores, notadamente no campo da defesa do consumidor, e pretendemos, ainda, estabelecer relações construtivas com órgãos reguladores setoriais. É imprescindível que essa cooperação ocorra, seja de maneira informal, com o diálogo entre os técnicos e dirigentes desses órgãos, seja de maneira formal, com assinatura de acordos de cooperação técnica.
Há espaço para elaboração de normativos conjuntos?
Já existem diversos casos de resoluções conjuntas publicadas por órgãos públicos e esse é um exemplo interessante de como pode ocorrer a cooperação entre órgãos que não se encontram submetidos à mesma cadeia hierárquica, mas que têm competências que incidem sobre um mesmo objeto da realidade. Ainda não discutimos, na ANPD, se esse é o melhor modelo, mas sem dúvida é um tema a ser estudado.
Considerando que a LGPD é uma lei de cunho principiológico, em que há necessidade de regulamentação, inclusive na forma já indicada por alguns dispositivos da Lei, quais as matérias que serão prioritárias para regulamentação da ANPD nesse momento inicial de implementação da Lei? Por quê?
Conforme mencionado anteriormente, a ANPD se empenhou para publicar sua agenda regulatória, de modo a trazer previsibilidade quanto à sua atuação na esfera normativa. Prevemos, ainda em 2021, publicar (i) nosso planejamento estratégico (o que já ocorreu); (ii) nosso regimento interno (o que deve ocorrer em breve); e iniciar o processo regulatório sobre (iii) regulamentação diferenciada para micro e pequenas empresas; (iv) incidentes de segurança; (v) aplicação de sanções administrativas; e (vi) relatório de impacto à proteção de dados pessoais.
Importante notar que a ANPD já deu início ao processo de tomada de subsídios sobre a regulamentação diferenciada para PMEs, assim como sobre a regulamentação referente a incidentes de segurança. No ano que vem, iniciaremos o processo regulatório sobre (vii) os direitos dos titulares de dados, (viii) o encarregado, (ix) transferências internacionais de dados pessoais e (x) bases legais para o tratamento de dados.
Esses temas foram escolhidos a partir de um processo de discussão entre os diretores, levando em consideração impactos econômicos e impactos sobre os titulares de dados. É importante observar que essa agenda poderá ser atualizada em função de novos temas ou de novas demandas que venham a surgir no período de sua vigência.
A LGPD introduziu por meio do seu Art. 50 o conceito de “autorregulação regulada”, que, de forma geral, demonstra o incentivo que a LGPD buscou direcionar aos agentes de tratamento, para desenvolver as regras de boas práticas e de governança relacionadas às atividades de tratamento de dados pessoais. Assim, qual a importância das iniciativas de setores privados em elaborar as referidas regras de boas práticas e requerem a chancela à ANPD?
De fato, a LGPD incorpora uma abordagem baseada na ideia de “accountability”, incentivando que os agentes de tratamento de dados incorporem medidas técnicas e jurídicas que sejam eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
Do mesmo modo, a LGPD incentiva os agentes de tratamento a implementar programas de governança em privacidade e a formular, individualmente ou por meio de associações, regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Essas regras de boas práticas e de governança poderão ser reconhecidas e divulgadas pela Autoridade Nacional.
A importância dessa abordagem, que incentiva o comportamento responsável dos agentes de tratamento, fica clara quando consideramos a abrangência da legislação e o fato de que cada setor possui suas especificidades. Assim, especialmente considerando que não temos previsão de expedição de regulamentação específica para determinados setores ao longo dos dois primeiros anos da ANPD, é bastante oportuno que os setores se organizem para elaborar suas próprias regras de boas práticas e mecanismos de promoção da conformidade à LGPD.
A LGPD prevê que os bancos de dados já existentes sejam adequados progressivamente; ou considerando- se a complexidade das operações de tratamento e a natureza dos dados, existe alguma perspectiva quanto a critérios?
Entendemos que essa adequação progressiva é necessária, mas que pode, de fato, trazer importantes desafios técnicos. Ainda não houve, na ANPD, discussão sobre os critérios a serem adotados na futura regulamentação sobre o assunto.