“Lei Geral de Proteção de Dados é uma lei viva”, diz Waldemar Gonçalves, diretor-presidente da ANPD

Multas devem começar a ser aplicadas neste mês

Diretor-Presidente da ANPD, Waldemar Gonçalves Ortunho Júnior - Foto: Edilson Rodrigues / Agência Senado
Diretor-Presidente da ANPD, Waldemar Gonçalves Ortunho Júnior - Foto: Edilson Rodrigues / Agência Senado

O Brasil criou a Lei Geral de Proteção de Dados (LGPD, nº 13.709) em 2018 e, na esteira do marco regulatório de como empresas e órgãos públicos devem tratar informações pessoais dos cidadãos, nasceu a Autoridade Nacional de Proteção de Dados (ANPD).

Inicialmente, o órgão estava vinculado à Presidência da República, mas ganhou autonomia no fim do ano passado, após aprovação do Congresso, podendo gerir-se financeiramente e ter os mandatos do conselho diretor livre de pressão política ou econômica.

Receba no seu e-mail a Calculadora de Aposentadoria 1-3-6-9® e descubra quanto você precisa juntar para se aposentar sem depender do INSS

Com a inscrição você concorda com os Termos de Uso e Política de Privacidade e passa a receber nossas newsletters gratuitamente

A autonomia, agora, estimula uma mudança natural na atuação discreta adotada até aqui pela ANPD, como explica em entrevista ao JOTA o diretor-presidente Waldemar Gonçalves Ortunho Júnior.

Punições vão começar neste mês

A partir da conclusão, o órgão deve começar a aplicar multas.

Já há oito casos prontos para aplicação de penalidades. “A dosimetria vai aumentar a visibilidade da ANPD. Muitos que não sabem o que são essas letras passarão a entendê-las, em função de punições. Eu prefiro não punir ninguém, o que significaria que nada foi infringido em função de vazamentos de dados pessoais. Mas vamos ter de mostrar sempre que temos um reio [chicote] atrás e que será usado quando houver esse descumprimento. Em havendo a dosimetria e fiscalização tendo fôlego. Ao longo desse semestre vai haver punições”, afirma.

Leia a seguir os principais trechos da entrevista do diretor-presidente da ANPD ao JOTA.

Há expectativa sobre como a ANPD pretende criar uma dosimetria para punir vazamentos de dados. O que é possível dizer sobre isso?

Estamos trabalhando bastante neste ponto. É algo importante, mas muito complexo porque afeta diretamente a saúde financeira das empresas. Vimos que era algo que devia se discutir, mas com bastante detalhes. Acreditamos que estamos na parte final [da elaboração da dosimetria]. A nossa Procuradoria Federal especializada já emitiu parecer, que agora vai para o conselho para aprovação e emissão de uma norma.

A dosimetria tem prazo para ser apresentada?

Não tenho prazo. A norma tem que ser a melhor possível, mesmo que demore um pouco mais. Mas creio que ela não passa de fevereiro. Começamos desde os primeiros dias da ANPD a tratar de dosimetria.

Como foi a construção dessa norma?

Fizemos todos os passos: tomada de subsídios, audiência pública e consulta pública. Tivemos 2.504 sugestões, o que mostra o quanto o assunto é importante. Todas as sugestões foram consideradas. O produto final não será apenas algo da ANPD, pois considerou essas sugestões, que enviamos para Procuradoria Federal checar a parte legal. O que tiver divergências o conselho irá julgar, alterar e aprovar. Mas ela está bem alinhada com o que pensa a ANPD, o setor e a sociedade.

Veremos multas pesadas quando houver vazamentos?

A dosimetria é para não cometer injustiças. Vamos considerar o tamanho de uma empresa, o dano que um vazamento causou, o risco que se poria. São diversos fatores de uma dose em que avaliamos o tamanho do prejuízo e o tamanho da empresa. Não é justo encerrar as atividades da empresa, às vezes por algo que não era tão danoso. É uma forma de criar doses [de punição]. Se comparamos com a medicina: o remédio pode matar o paciente se não for aplicado na dose adequada. É a mesma coisa aqui. Nós queremos aplicar uma dose proporcional ao dano que ocorreu.

Há uma impressão de que a ANPD não pune empresas por vazamentos, apesar de vários casos…

Essa sensação que nós não estamos punindo vem em função da dosimetria. Não posso punir ainda. Em 2022, tivemos 1.043 requerimentos de denúncias e 287 notificações de incidentes. Temos oito processos administrativos. Nesses oito casos, já vimos que houve falha dos órgãos das empresas e haverá alguma consequência. Só estamos esperando a dosimetria para sair alguma sanção. Não sair sanção não quer dizer que é uma inação das autoridades.

Quando veremos essas punições?

Alguns olham para a autoridade e dizem “ela não está punindo”. Ela não pode ainda punir. A dosimetria vai aumentar a visibilidade da ANPD. Muitos que não sabem o que são essas letras passarão a entendê-las, em função de punições. Eu prefiro não punir ninguém, o que significaria que nada foi infringido em função de vazamentos de dados pessoais. É o que temos procurado divulgar. Mas vamos ter de mostrar sempre que temos um reio [chicote] atrás e que será usado quando houver esse descumprimento. Em havendo a dosimetria e fiscalização tendo fôlego, ao longo desse semestre vai haver punições.

Como foi o início da atuação da ANPD?

Fomos criados em 2020, com uma primeira agenda regulatória para os dois primeiros anos. A autoridade estabeleceu 10 pontos que seriam prioritários e cumprimos. [Para formular] uma norma no Brasil, dentro da visão da autoridade, que envolve transparência, tomada de subsídios, consultas públicas, audiências públicas, análises de impacto regulatório. É uma ação que objetiva a ter a melhor norma possível. Mas isso dura de seis meses a um ano. Nós passamos a usar os guias orientativos. Os guias de orientação são o grande diferencial em relação ao modelo europeu, que já tem tudo regulamentado. Nós ainda temos que regulamentar. Uma função muito importante da autoridade é a da Coordenação-Geral de Normatização, na qual temos 65 artigos para normatizar.

Então, eu tenho uma agenda regulatória, estou trabalhando em normatização nos primeiros anos, por exemplo, de flexibilização para pequenas empresas em termos de adequação a LGPD. Mas muitos assuntos vieram com uma importância grande e nós tivemos que abordá-los usando os guias, que são uma mensagem para toda a sociedade sobre qual é a visão da autoridade. É um estudo mais rápido, ele [guia] não é definitivo, provavelmente vai sofrer algumas atualizações até o final para se transformar numa norma.

Entre as prioridades, esteve a alteração no formulário para as empresas comunicarem incidentes de segurança?

A comunicação de incidentes de dados está na lei, mas os detalhes corretos e a forma que a ANPD pensa ainda não estavam prontos. Passamos a receber muitas dúvidas, muitas informações que eram desnecessárias e muitas informações importantes não constavam neste comunicado. Por isso, emitimos uma forma de ter uma relação melhor com as empresas, dizendo: “Isto não é importante neste momento, isto é não é importante. Então, me informe assim”. Trata-se de um ganho das duas partes. Para a empresa, que está agora orientada, o que ela tem que responder, as séries de perguntas que nós elencamos. E para a nossa fiscalização, pois a empresa já tem no comunicado dissidente diversos detalhes que ela não vai perder mais tempo buscando, já vem no próprio comunicado.

As empresas não vinham comunicando voluntariamente falhas em seus sistemas de proteção?

A própria LGPD impõe que a empresa deve comunicar ANPD e ao titular de dados quando ocorre vazamento para mitigar os danos pessoais ao titular. Isso é uma obrigação. Mas, muitas vezes, nós ficamos sabendo através da imprensa ou de uma denúncia. Temos sempre procurado a todos os setores e os apoiado a elaborarem cartilhas e manuais de boas práticas para o seu segmento, pois quando se começa a investir em segurança de dados pessoais se melhora não só a segurança da informação, mas também a parte de governança. É importante toda empresa vestir a camisa da proteção de dados. Tem muito ataque interno, é uma senha fraca e que um funcionário descontente pode causar vazamento.

A atuação será mais investigativa e menos responsiva daqui para frente?

Temos de ter as duas. A responsiva para orientar, trazer todas as empresas para que, de preferência, não ocorra [vazamento]. A gente sabe que incidentes sempre vão ocorrer. Mas é necessário que as empresas coloquem o máximo de tecnologia para que isso não aconteça. A parte da punição é, justamente, para aquelas empresas que não entenderam o recado, que não fizeram nada na proteção dos seus dados. Quando o titular fornece dados, a responsabilidade de proteção passa a ser do controlador das informações. Tem de colocar todas as ferramentas de tecnologia —as mais modernas— para proteção. Essa é a parte responsiva. A investigativa é que vai dar essa proteção. Em toda investigação, vamos à empresa e vemos os cuidados que tiveram. Os relatórios de impactos, por exemplo, é a primeira defesa. É onde vamos analisar se a empresa, com as ferramentas adequadas, viu quais dados que forneciam maior dano ao titular, se protegeu com criptografia. Muitas vezes, o vazamento é de dados criptografados, sem serventia nenhuma ao cibercriminoso. Esses cuidados é que são necessários que a empresa demonstre ter tido.

A ANPD tem “braços técnico” para dar conta da demanda interna, conduzir investigações externas e concluir a normatização?

A autoridade de proteção de dados do Reino Unido, por exemplo, tem 900 pessoas trabalhando. Temos apenas dois anos e 77 funcionários. Temos [áreas de] fiscalização e normatização, mas a produtividade desses órgãos tinha de ser maior. A única forma é com mais recursos humanos e financeiros. Esse pleito temos feito no governo, num primeiro momento, para um concurso público de 215 posições. Isso vai provocar um aumento de recursos financeiros, porque essas pessoas vão precisar de equipamento e espaço.

A autoridade tem alguma inspiração internacional ou órgão de outro país exemplo de espelho?

Quando se chega por último, você tem que ver o que os demais fizeram e fazer melhor. Não cometer os mesmos erros e copiar os acertos. Isso é importante. A Lei Geral de Proteção de Dados ocorreu depois de praticamente 10 anos de discussão no Congresso, muito inspirada no modelo europeu. Estudou-se os diversos modelos e se julgou que o mais adequado ao Brasil era o GDPR [Regulamento Geral sobre a Proteção de Dados europeu]. É claro que são realidades diferentes, estruturas financeiras diferentes, não é uma cópia autêntica do modelo europeu, mas ela é bastante inspirada. Com isso, temos buscado sempre o que é melhor em termos de estrutura para uma autoridade naquele modelo. Buscamos muito esses bons exemplos. Mundialmente, há uma cooperação. Quando fomos criados, já no primeiro momento a União Europeia nos ofereceu uma capacitação para autoridades, que não é um curso para proteção de dados para as empresas, e sim para autoridades que atuam na área. Foi a primeira capacitação que nós fizemos com quem já estava aqui na ANPD.

Alguns vazamentos envolvem empresas internacionais com atuação no Brasil. Há interlocução multilateral para lidar com tais casos?

Em [mega]vazamento de dados temos a parte administrativa, mas há a parte penal onde entra o Ministério Público, a Polícia Federal, normalmente quando temos ações assim nós envolvemos outros órgãos. O caso típico foi a Meta [Facebook], quando compartilhou dados com o WhatsApp. Na época nós não podíamos nem sancionar, foi anterior ao primeiro de agosto de 2021, quando começou a possibilidade de sancionamento. Naquela ocasião, montamos um pool com quatro órgãos para atuar com as duas empresas: ANPD, Cade (Conselho Administrativo de Defesa Econômica), Senacon (Secretaria Nacional do Consumidor) e o Ministério Público Federal (MPF). Fizemos uma primeira conclusão, que foi na área de transparência e, a partir daí, cada órgão seguiu o seu caminho. Hoje, a ANPD continua discutindo com a Meta e com o WhatsApp a parte de compartilhamento. A parte de transparência resolvemos com uma solução bem adequada. Até mesmo a plataforma mundial do Facebook teve alteração para atender alguns quesitos que a ANPD solicitou.

Haverá novidades nessa cooperação multilateral, mas em nível internacional?

Estamos tratando de outra entrega que pretendemos fazer, ainda no primeiro semestre, sobre a transferência internacional de dados. Se você tem uma empresa que é exportadora de dados para uma outra empresa de um determinado país, a ANPD tem braço só para atuar com a empresa nacional e montamos esses acordos de transferência internacional. Temos a autoridade do outro país e, por meio dela, poderemos atuar. São acordos tratados entre países ou entre país e bloco. O Brasil tenta fazer isso, por exemplo, com Bloco Europeu como um todo ou apenas com um determinado país. Essas tratativas estão sendo feitas e acreditamos que neste primeiro semestre já tenhamos algumas novidades.

Há um debate global sobre como moderar o uso de Inteligência Artificial. O Senado debate o PL 21/2020, que cria o marco regulatório da IA. Como a ANPD participa da discussão?

A inteligência artificial é algo bastante conectado a proteção de dados, ela envolve dados pessoais. Temos de ver se isso [IA] não está infringindo de alguma forma a Lei Geral. Temos investido na capacitação de pessoas da ANPD, participando de ações como essa que existe no Senado Federal. Nós temos uma diretora dentro da comissão [do Senado] tratando o assunto. É uma ferramenta não muito recente, mas hoje está mais presente. Ações automatizadas usando inteligência artificial estão mais atuantes e mais preocupantes, porque você pode ter ação muito boa ou muito ruim. Temos de atuar para garantir a parte boa para o nosso consumidor.

Há algum ponto da regulação da IA defendido pela ANPD?

A inteligência artificial é algo que não merece ser travado, pois pode inibir alguma coisa em termos de inovação. Procuramos trazer bastante essa discussão para não haver distorções, com perfis usando inteligência artificial. Isso é o principal para fazer [a regulação] de uma forma bem responsável.

A LGPD precisa melhorar?

Acho a LGPD uma lei viva. A cada momento, surgem novos modelos de negócios, novas tecnologias, que te obrigam a fazer um redirecionamento, alguma alteração. A Lei Geral não é uma ação da ANPD, é do Congresso. Mas toda vez que tivermos um projeto de lei, de alguma forma conectado à Lei Geral, eu acho que temos que debater.

Passamos a atuar com o relator vendo exatamente o que está sendo proposto e trocamos ideias, respeitamos sempre a posição do relator e, uma vez alterada a lei, cumpra-se. Não tem forma diferente nem queremos ser diferentes. Mas é sempre buscando o melhor para o titular de dados. Isso é uma obrigação de atuação para autoridade.

A Inteligência Financeira é um canal jornalístico e este conteúdo não deve ser interpretado como uma recomendação de compra ou venda de investimentos. Antes de investir, verifique seu perfil de investidor, seus objetivos e mantenha-se sempre bem informado.


VER MAIS NOTÍCIAS