Desde a sua divulgação, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem gerado muitas dúvidas, uma vez que ela alcança diferentes setores e indivíduos, interfere em todo o fluxo de tratamento de dados pessoais dentro de uma organização, além de demandar em muitos casos um investimento extra em assessoria jurídica, segurança da informação e contratação de novos funcionários ou incorporação de novas funções.
Como a referida lei é muito abrangente, a Autoridade Nacional de Proteção de Dados (ANPD) trabalhou na regulamentação de diversos pontos importantes desde a sua criação. Com um viés educativo, a ANPD já lançou diversos guias orientativos com temas relacionados à proteção de dados pessoais. Entre os temas abordados, estão o tratamento de dados pessoais pelo poder público, a aplicação da LGPD no contexto eleitoral, definições dos agentes de tratamento de dados pessoais e do encarregado, segurança da informação para agentes de pequeno porte, utilização de cookies etc.[1]
Devido a importância do tema, a proteção de dados passou a ser um direito fundamental na Constituição Federal por meio da Emenda Constitucional 115/2022 e, recentemente, a ANPD passou a ser reconhecida como autarquia de natureza especial[2], conquistando autonomia administrativa e financeira.
Em 2022, a ANPD analisou em média 23 incidentes de segurança por mês, o que representa um aumento de 40% em relação ao ano anterior. Além disso, já foram instaurados 15 processos de apuração para averiguar os incidentes não comunicados pelos agentes de tratamento, segundo informações do site da referida autoridade[3].
Com tantos avanços, a ANPD aprovou em novembro de 2022 a tão esperada Agenda Regulatória para 2023/2024, com 20 ações que serão objetos de regulamentação ou estudo:
1. Regulamento de dosimetria e aplicação de sanções administrativas
2. Direitos dos titulares de dados pessoais
3. Comunicação de incidentes e especificação do prazo de notificação
4. Transferência Internacional de dados pessoais
5. Relatório de impacto à proteção de dados pessoais
6. Encarregado de proteção de dados pessoais
7. Hipóteses legais de tratamento de dados pessoais
8. Definição de alto risco e larga escala
9. Dados pessoais sensíveis – organizações religiosas
10. Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa
11. Anonimização e pseudonimização
12. Regulamentação do disposto no art. 62 da LGPD
13. Compartilhamento de dados pelo Poder Público
14. Tratamento de dados pessoais de crianças e adolescentes
15. Diretrizes para a política nacional de proteção de dados pessoais e da privacidade
16. Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança
17. Dados pessoais sensíveis – dados biométricos
18. Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança
19. Inteligência artificial
20. Termo de ajustamento de conduta – TAC
Dentre os temas elencados acima, um dos mais aguardados é o Regulamento de dosimetria e aplicação de sanções administrativas, que está atualmente em fase final de elaboração. Importante lembrar que a própria LGPD determina que a ANPD deverá definir como ocorrerão as sanções administrativas e quais critérios serão utilizados para o cálculo do valor das multas. Nesse contexto, vale salientar que o artigo 52, §1o da referida lei, lista fatores que terão relevância na dosimetria da multa, como por exemplo: adoção de boas práticas de governança, pronta implementação de medidas corretivas, boa-fé do infrator e sua cooperação, estruturação de mecanismos e procedimentos internos para minimizar os danos.
Outro tema de destaque é o tratamento de dados pessoais de crianças e adolescentes. Sobre este assunto, já foram coletadas contribuições da sociedade e a ANPD já possui um estudo preliminar. Foi apontada inclusive a necessidade de verificação dos impactos de plataformas e jogos digitais que estão na internet na proteção de dados de crianças e adolescentes.
A elaboração da agenda levou em conta as contribuições feitas pela sociedade por meio de tomada de subsídios. A divulgação dos temas é muito bem-vista e possibilita a previsibilidade, transparência e publicidade de todo o processo regulatório da Autoridade.
Com tantos avanços, fica claro que a proteção de dados tem conquistado grande relevância no Brasil, sendo cada vez mais difícil ignorar o cumprimento da LGPD. Mesmo exercendo um papel educativo, acredita-se que a ANPD passará a ter uma atuação mais impositiva após a divulgação dos parâmetros para dosimetria de multas.
Nadia Andreotti Tüchumantel Hackerott é consultora associada do HBC Advogados e possui extensa experiência na área de Propriedade Intelectual, Contratos e assuntos relacionados ao Direito Eletrônico e Proteção de Dados. Pós-graduada em Direito Contratual e em Direito Digital e Compliance. Fez cursos de extensão em Direito Digital Aplicado, Tributação dos Negócios de Tecnologia e Propriedade Intelectual, Direito das Startups e especialização em Propriedade Intelectual nos Estados Unidos e no Japão. Coordenadora e autora da obra “Aspectos Jurídicos do E-commerce”.
[1] Os Guias e cartilhas podem ser encontrados na página da Autoridade, por meio do link: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes.
[2] Lei 14.460/22
[3] https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-comemora-aniversario-de-dois-anos
