31 jan Agenda da proteção de dados pessoais em 2023 e 2024
Agenda da proteção de dados pessoais em 2023 e 2024
A lei está em vigor desde 2020, mas são poucos os que conhecem os seus termos.
Em novembro de 2022, a Agência Nacional de Proteção de Dados Pessoais (ANPD) publicou sua Agenda Regulatória para o biênio 2023-2024, dividida em quatro fases, por ordem de prioridades.
Na fase 1, está a divulgação de documento público que oriente a população em geral sobre quais são as bases legais de aplicação da LGPD, o que se espera com ações educativas, dado que, mesmo a lei estando em vigor desde 2020, ainda há considerável desconhecimento dos seus termos.
Além dessas informações, a ANPD tem previsto para a fase 1 divulgar documentos que disseminem informações de adequação a LGPD por organizações religiosas (que, por sua característica, tratam de dado pessoal sensível, como o ligado a crença e religião) e por aqueles que se enquadram em agentes de tratamento de dados para fins acadêmicos, de estudos e pesquisas.
Com a vinculação da ANPD ao Ministério da Justiça, todas as práticas de proteção de dados serão fiscalizadas
Ainda na fase 1, está prevista também a divulgação pela ANPD do regulamento próprio sobre sanções administrativas a infrações às regras da LGPD, que indicará as metodologias do cálculo de valor para aplicação de sanções de multa, com os critérios das formas e dosimetrias, fundamentada e detalhada.
Em vigência desde 2020, e ainda dependendo dessa regulamentação, o aspecto da metodologia de aplicação de multas é um dos que mais gera insegurança aos controladores e operadores de dados pessoais, e, consequentemente, às empresas que lidam diariamente com dados pessoais, de seus colaboradores e de seus clientes.
Isso porque, dentre as sanções previstas na LGPD, está a aplicação de multa de até 2% do faturamento líquido da empresa, grupo ou conglomerado no Brasil, limitada a R$ 50 milhões por infração, considerando critérios como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, eventual reincidência, além da adoção de política de boas práticas e governança.
A fase 1 ainda prevê a regulamentação mais clara de prazos e formulários de encaminhamento de informações a ANPD quando da identificação incidentes. Essa regulamentação é esperada também porque o cumprimento desses prazos e a qualidade da informação prestada a agência serão considerados no momento da decisão pela pena aplicável.
Espera-se, ademais, na fase 1, a evolução da regulamentação da transferência internacional de dados pessoais, que somente é permitida pela LGPD para países ou organismos internacionais que proporcionem grau de proteção adequado ao que a lei brasileira exige. Essa é uma preocupação das empresas estrangeiras que atuam no Brasil (e até das nacionais) que hospedam e tratam em outros países os dados pessoais do que é executado no Brasil, o que, se identificado pela ANPD como de insuficiente segurança, pode afetar diretamente no Brasil a execução das atividades empresariais da empresa que realiza a transferência internacional de dados pessoais.
Já dentre a fase 2, de iniciativas que terão início de processo regulatório em até um ano, outro ponto importante será abordado, a regulamentação de critérios de regras de boas práticas e de governança, que, como dito, são consideradas para eventual aplicação de penalidade aos agentes de tratamento de dados, quando da identificação de uma infração a LGPD. Na prática, as regras de governança corporativa ligadas a LGPD são um dos principais meios de mitigação de riscos, pois proporcionam não apenas a criação de um regramento interno que faça cumprir a lei, mas educa e treina todos aqueles que, no dia a dia, atuam no tratamento de dados pessoais.
Espera-se, então, que a ANPD forneça critérios mais objetivos do que espera com relação a boas práticas, procedimentos de atendimento a direitos de titulares, normas técnicas de segurança, ações educativas e mecanismos internos pelos quais sejam mitigados os riscos de incidentes de dados, como um vazamento, acesso não autorizado ou até mesmo, uma situação acidental de perda de dados pessoais.
Na terceira fase, que traz itens cujo início do processo regulatório acontecerá em até um ano e meio, a ANPD prevê, dentre outros, regulamentar dois importantes – e muito sensíveis – temas afetos ao tratamento de dados em tecnologias mais avançadas: os dados biométricos e a inteligência artificial.
Com relação aos dados biométricos, que, pela LGPD, detêm maior nível de segurança, como dado pessoal sensível, a ANPD reconhece que, em que pese a biometria ser fundamental como ferramenta de segurança para evitar fraudes em dispositivos dos titulares de dados, a LGPD não supre a necessidade de disciplina do tema, e espera-se uma regulamentação mais clara sobre os contextos nos quais a coleta de biometria esteja amparada pela lei.
No caso da inteligência artificial, a agenda regulatória da ANPD está ligada ao direito que a LGPD dá ao titular de dados de solicitar a revisão de decisões que tenham sido tomadas unicamente com base em tratamento automatizado dos seus dados pessoais, especialmente aquelas que definem seu perfil ou aspectos de sua personalidade, prática essa muito comum no mercado varejista e na oferta de crédito em massa, e que pode gerar decisões negativas controversas, pelo que a ANPD pretende traçar diretrizes mais claras e firmes para que os agentes de tratamento possam fazem uso de tais ferramentas.
Já para a fase 4, a última da agenda, cujo início do processo regulatório será em até 2 anos, prevê-se um único tema: regulamentar as celebrações de TACs (Termo de Ajustamento de Conduta) que sejam necessários em processos administrativos para eliminar irregularidade ou incertezas envolvendo condutas fiscalizadas dos agentes de proteção de dados.
Muitos e de relevante importância são os trabalhos que a agenda regulatória da ANPD prevê, em temas que já se encontram muito atrasados em sua regulamentação, tendo o presidente da agência se manifestado pela intenção de destravar concurso para contratar mais de 200 funcionários em 2023, visando o avanço dos trabalhos.
A ANPD passou, ademais, a ser vinculada ao Ministério da Justiça, o que demonstra que todas as práticas de proteção de dados pessoais e a utilização de ferramentas tecnológicas e meios de comunicação serão fiscalizados, o que, unido aos temas da agenda, e a contratação de pessoal eminente, acelera a corrida contra o tempo das companhias que ainda não estejam adequadas a LGPD.
Sorry, the comment form is closed at this time.