separador
Atualizado:
Reportagem do Portal UOL, publicada em 16/02/2021
Os megavazamentos envolvendo dados pessoais de 223 milhões de pessoas e de mais de 100 milhões de contas de celular caíram como uma bomba no colo da ANPD (Autoridade Nacional de Proteção de Dados), que foi criada para funcionar como xerife da aplicação da LGPD (Lei Geral de Proteção de Dados), que entrou em vigor em 18 de setembro de 2020. Em processo atrasado de estruturação, chegou a hora de a Autoridade mostrar sua relevância.
O desafio é enorme, segundo especialistas ouvidos por Tilt. No final de janeiro, o órgão divulgou sua agenda de prioridades até 2022, o que foi visto como um sinal positivo de sua transparência. No entanto, o documento trouxe preocupações: os trabalhos têm prazo de início, mas não de fim. Não há data limite para que as regras saiam do papel.
Já está definido que as sanções administrativas da LGPD poderão ser aplicadas a partir de agosto deste ano —advertência, multas (de até 2% do faturamento da empresa), bloqueios e suspensões. Mas, antes disso, a ANPD precisa definir quais critérios serão usados. Pela agenda, as discussões começam no primeiro semestre de 2021, sem data para acabar.
Caso as regras não sejam concluídas até agosto, ela só vai poder fiscalizar, mas não multar.
"Você cria uma Autoridade que não pode punir quem desrespeita a lei. Seria mais seguro ter uma agenda com compromissos concretos", afirma advogado de direito digital Danilo Doneda.
José Renato Laranjeira, membro da Coalizão Direitos na Rede, enxerga um risco claro de vácuo normativo, que pode significar inclusive que o prazo de agosto (quando as sanções poderão ser aplicadas) seja adiado. Para ele, a falta de clareza sobre os direitos dos titulares de dados diante dos novos crimes torna tudo mais preocupante. "Com esses vazamentos acontecendo, os titulares de dados não sabem a quem recorrer."
"São questões absolutamente urgentes. Fica a impressão de uma cascata de atrasos, em detrimento da real proteção de nossos dados pessoais", acrescenta Paulo Rená, professor do Centro Universitário de Brasília e gestor do projeto de elaboração do Marco Civil da Internet e do Ibidem (Instituto Beta para Democracia na Internet).
Segundo ele, as ações educativas e preventivas precisam acontecer antes das punições, isso já está previsto pela LGPD. Porém, essas incertezas deixam claro como o trabalho da ANPD está atrasado e enfraquecido. "É nessa etapa que o nível das sanções será avaliado, se vai depender da extensão do dano, se vale advertência ou multa", diz Maria Cecília Oliveira Gomes, advogada e professora do Data Privacy Brasil.
Por outro lado, a pressão da sociedade nesse momento pode influenciar. "É uma decisão política. A ANPD pode, diante da enorme quantidade de vazamentos de dados, aplicar multa para mostrar o rigor do seu papel. É possível, mas depende muito do cenário até agosto", ressalta Marina Pita, coordenadora do coletivo Intervozes.
Em resposta a Tilt, a ANPD afirmou que "entende a necessidade de regulamentar com urgência o tema e envidará todos os esforços possíveis para a conclusão até agosto de 2021". Paralelamente, disse que vai trabalhar "orientando os titulares [dos dados] e empresas, tendo em vista que normalmente medidas orientativas e educacionais promovem uma cadeia de maior impacto na sociedade."
Sobre a falta de prazos limites finais para a agenda, afirmou que as regras deverão ser precedidas de consulta e audiências públicas e análise de impacto regulatório. "Tendo em vista a complexidade, a ANPD entende que alguns temas podem exigir debates mais extensos que outros."
Vazamentos podem ficar impunes?
É importante frisar que empresas e governos não deixarão de ser punidos até a ANPD definir tudo, destacaram os entrevistados.
A Autoridade chega como uma parte dentro de um ecossistema que pode ser acionado —o STF (Supremo Tribunal Federal) já reconheceu que a proteção de dados é um direito fundamental e, em muitos casos, o Código de Defesa do Consumidor e o Marco Civil da Internet norteiam as investigações.
Cabe à ANPD observar os trabalhos de todos os envolvidos para garantir a proteção de dados no Brasil. No entanto, Luíza Brandão, diretora do IRIS (Instituto de Referência em Internet e Sociedade), teme que essa falta de definição sobre as consequências para as infrações à LGPD demande de outras instituições e órgãos estatais.
"Os efeitos podem ser preocupantes, como falta de consistência na aplicação da lei, discrepância entre decisões e sobrecarga de outros sistemas institucionais", afirmou.
Entidades que podem ser acionadas pelo cidadão, segundo Diogo Moyses, representante do Idec (Instituto Brasileiro de Defesa do Consumidor).
- Procon
- Ministério Público Federal
- Senacon (Secretaria Nacional do Consumidor), que integra o Ministério da Justiça
- Idec
No caso dos vazamentos recentes de dados, Rená lembra que, mesmo sem sanções administrativas, a ANPD já pode propor parâmetros para decisões judiciais. "A solução deste certamente será um modelo-chave para outros casos", acredita. "Se a LGPD não servir para esse caso, não vai servir para nada. O mesmo vale para a ANPD."
A Autoridade disse à reportagem que está atuando diretamente nos casos em conjunto com outros órgão "para que os responsáveis não saiam impunes". Ela defendeu que os direitos dos titulares já podem ser cobrados, o problema é que muitas empresas não estão preparadas para atender.
E cadê o CNPD?
Outro ponto bastante criticado pelos especialistas foi a ausência do CNPD (Conselho Nacional de Proteção de Dados) na agenda, que será formado por representantes da sociedade civil (empresários, acadêmicos, sindicatos, entre outros) e do poder executivo.
"Sem isso, não tem como funcionar", diz Doneda, que já foi nomeado como um dos membros do grupo. "Ele existe justamente para ajudar a Autoridade a definir prioridades e a política pública de proteção de dados."
Diogo Moyses ressalta que o CNPD deveria ter sido formato antes mesmo da divulgação dessa agenda. "Ele precisava ter sido ouvido para ajudar a construir o cronograma."
Segundo a ANDP, o conselho não foi mencionado na agenda porque não se tratava de regulamentação. "Mas tanto é uma prioridade, que os editais para indicação já foram publicados e o prazo para o envio das candidaturas já está correndo", disse.