A agenda regulatória da ANPD: o que foi feito e o que esperar de 2022-2023

Em 14 de agosto de 2018, era publicada a Lei Geral de Proteção de Dados (LGPD). Desde o início, um ponto ficou claro para os legisladores e para a sociedade: a matéria ainda precisaria passar por um longo período de maturação.

Isso porque, apesar de toda a atenção que tem atraído, o tema da proteção de dados é muito diverso e várias novas frentes se abrem a todo o tempo. É o caso, por exemplo, da inteligência artificial. Reconhecendo esta realidade, o próprio texto da lei institui aberturas orgânicas para regulamentação desses novos tópicos o que, todavia, acaba protelando a incorporação da maioria dos novos conceitos pelas empresas e, também, atrasa a própria fiscalização do cumprimento da norma pelas autoridades em geral.

A criação da Autoridade Nacional de Proteção de Dados (ANPD) deu largada ao preenchimento destas lacunas. Nesse contexto, destaca-se a edição da Portaria nº 11, em janeiro de 2021, que previa os temas prioritários para regulamentação no biênio 2021-2022.

Faltando pouco mais de quatro meses para o término de 2022, a Nota Técnica nº 31/2022/CGN/ANPD já submeteu à consulta pública 10 novas matérias para serem abordadas na próxima agenda regulatória. Por isso, oportuno que se faça um apanhado do que já foi feito, do que ainda não foi entregue e do que está no radar regulatório a partir de 2023.

Dentre as regras já editadas pela ANPD e, considerando o relatório semestral de acompanhamento publicado pela Autoridade em julho deste ano, duas normativas chamaram a atenção.

A primeira delas foi o regulamento do processo de fiscalização e do processo administrativo sancionador, editado em 28 de outubro de 2021; e a segunda foi a regulamentação da aplicação da LGPD aos agentes de tratamento de pequeno porte, publicada em 27 de janeiro de 2022.

Incidentes e sanções: foco na segurança jurídica e na cooperação

Há mais de um ano, a ANPD já pode aplicar sanções. Apesar de ter sido editado um regulamento indicando o processo a ser seguido, ainda é preciso estruturar três pontos importantes: prazo e forma da comunicação de incidentes; as formas de cálculo do valor-base da multa; e os termos de compromisso com agentes de tratamento.

1. Comunicação de incidentes

A comunicação de incidentes era um ponto da LGPD cuja regulamentação estava prevista para o biênio 2021-2022. Em março de 2021, foi encerrado o envio de subsídios e a etapa atual envolve a realização de uma consulta interna à autarquia para estruturação da proposta de normativa.

Enquanto isso, a ANPD divulgou um formulário de comunicação que pode ser usado como referência para os agentes de tratamento. É urgente, no entanto, que pontos como prazo da comunicação e outros requisitos essenciais sejam delineados pela autarquia para garantir maior segurança jurídica.

2. Parâmetros para o cálculo da multa

Já sobre a questão do cálculo do valor-base da multa, o diretor-presidente da autarquia, Waldemar Gonçalves Ortunho, afirmou, em entrevista ao portal Poder 360, que essa definição é aguardada ainda para o mês de agosto deste ano, quando deve ser submetida à consulta pública. A expectativa é de que, em outubro, já se tenha esse alinhamento.

Neste momento, é importante relembrar que pontos como a boa-fé do infrator, a sua cooperação, a estruturação de mecanismos e procedimentos internos para minimizar danos, a adoção de boas práticas de governança, além da pronta implementação de medidas corretivas, são fatores que constam do artigo 52, §1º da LGPD e, portanto, devem ter de grande relevância para a consequente dosimetria da multa.

3. Termo de compromisso com agentes de tratamento

Ainda na linha da colaboração, outro elemento essencial que se antevê no futuro regulatório da LGPD é a estruturação da possibilidade de celebrar compromissos com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa. Conforme sinalizado na Nota Técnica nº 31/2022/CGN/ANPD, essa questão está elencada como um dos pontos de interesse para a agenda regulatória de 2023-2024 e seria de grande valia para o contexto de proteção de dados e formação de boas práticas.

A construção do direito à proteção de dados é uma curva de aprendizado. Valorizar a perspectiva colaborativa só corrobora o fato de que a sociedade, os agentes privados e o poder público estão percorrendo este caminho juntos.

Empresas de pequeno porte recebem tratamento diferenciado

A Resolução CD/ANPD nº 02/22, aprovada em 27 de janeiro de 2022, diferenciou o regime jurídico aplicável a esses sujeitos, quais seja, microempresas, empresas de pequeno porte, startups, fazendo modulações para torná-lo mais simples e, portanto, proporcional ao impacto das atividades destes agentes econômicos.

Sob uma perspectiva futura, esta flexibilização promove evidências de um importante direcionamento anunciado pela LGPD, e agora concretizado pela ANPD: o cuidado de reconhecer as particularidades de contexto e da forma de atuação no mercado de cada entidade.

Não é por outro motivo que a Autoridade já indicou, por meio da Nota Técnica nº 31/2022/CGN/ANPD, que dará continuidade ao estudo de temas que são afeitos a estas realidades específicas, como é o caso do tratamento de dados pessoais por organizações religiosas. Submeteu também à consulta pública a possibilidade de editar regulamentações específicas para instituições de saúde e educação. Agentes destes setores devem ficar atentos e aproveitar ativamente as oportunidades de contribuir para este debate.

Nessa mesma linha, é marcante a deferência da LGPD à construção de boas práticas, o que também já está elencado como possível tema para o biênio 2023-2024. Estes parâmetros autorregulatórios são importantes na medida em que são sensíveis à realidade de seus respectivos setores, estruturados a partir dos desafios enfrentados concretamente pelos agentes econômicos e à luz das expectativas da sociedade.

O que ainda falta: relatórios de impacto, transferência internacional de dados e outros

Considerando a agenda regulatória de 2021-2022, ainda não foram finalizados tópicos relevantes, como a regulamentação dos relatórios de impacto à proteção de dados pessoais e a transferência internacional de dados. Outro ponto tangencial à LGPD, que tem sido debatido no legislativo, é o do tratamento automatizado de dados por inteligências artificiais.

1. Relatórios de impacto

A regulamentação sobre os relatórios de impacto à proteção de dados pessoais é bastante esperada, na medida em que a definição da matriz de classificação de riscos corresponde à definição dos processos de alto risco e que merecem, portanto, maior cuidado pelos agentes de tratamento.

Debates sobre essa temática foram conduzidos em junho de 2021 e, desde então, a ANPD está apreciando as considerações recolhidas a nível interno. Não há expectativa de uma definição do tema até o final de 2022, e certamente a matéria será reiterada na agenda regulatória de 2023-2024.

2. Transferência internacional de dados

O tema “transferência internacional de dados” será objeto de contínua atenção pela ANPD. Isso porque a autarquia tem o objetivo de se tornar referência internacional para proteção de dados e não tem poupado esforços para estruturar cooperações com outras autoridades estrangeiras.

Este também era um tema inicialmente previsto para o biênio 2021-2022, e cuja manutenção na agenda já foi anunciado na Nota Técnica nº 31/2022/CGN/ANPD.

3. Inteligência Artificial

Tramita junto ao Senado uma consulta pública para oferecer insumos para eventual marco regulatório sobre o tema da inteligência artificial. A questão é polêmica, mas pode impactar o cumprimento da LGPD em diversos pontos, como no caso do tratamento de dados por agentes de inteligência artificial.

Considerando que já existem debates sobre esse recorte no cenário legislativo brasileiro, seria de grande proveito se a ANPD viesse para somar forças, evitando a edição de normas contraditórias ou obsoletas e inserindo-se no debate já capitaneado pelo Legislativo.

Embora a proteção de dados ainda não seja um tema tão incorporado à nossa sociedade, é impossível se furtar ao seu cumprimento na medida em que o resto do mundo evidencia sua relevância e os novos negócios passam a inserir o valor da privacidade desde sua concepção. Já era esperada certa morosidade da ANPD quanto à regulamentação e fiscalização, sobretudo em um cenário de pandemia em que prioridades se inverteram. Contudo, a partir de outubro, quando certamente já teremos parâmetros para dosimetria de multas, o órgão vai deixar este perfil educativo e pedagógico para assumir uma atuação mais impositiva de modo a assegurar que o princípio maior da LGPD seja atingido, qual seja, a privacidade dos dados pessoais.