Gabriel Schulman *
Após a tumultuada entrada em vigor da Lei Geral de Proteção de Dados (LGPD), há fortes expectativas das pessoas e das empresas acerca dos desdobramentos da proteção de dados no Brasil. Na Europa, a experiência com a proteção de dados está mais consolidada, o que faz com que seja comum a prática de consultar as estratégias e mesmo legislação europeia para saber como agir. No entanto, a realidade nacional é distinta, com uma cultura, demandas e mesmo legislação diferentes, o que exige que se comece, de fato, a desenvolver respostas brasileiras para o fundamental tema da proteção de dados pessoais.
Parte destas respostas estão nas mãos da ANPD, a chamada Autoridade Nacional de Proteção de Dados Pessoais, órgão criado com a LGPD, cuja competência, entre outras atividades, inclui a fiscalização e aplicação de sanções, criação de normas, e dispor sobre as formas de publicidade das operações de tratamento de dados pessoais.
No final de janeiro, foi editada portaria que divulga a agenda regulatória da ANPD, movimento que permite enxergar os novos percursos que a entidade tomará. Entre outras providências previstas estão a Definição de Regimento Interno da ANPD e Planejamento Estratégico, as quais sinalizam o momento ainda inicial em que está a Autoridade.
Além disso, está prevista a criação de um marco normativo para startups, pequenas e médias empresas, tendo em vista que a LGPD prevê uma regulamentação diferenciada. Esse ponto é de grande importância na medida em que, diferente da legislação europeia e mesmo da recente lei californiana (CCPA), a LGPD não faz distinções entre deveres das empresas. Em outras palavras, os deveres legais são em maior parte iguais independente do setor, tipo de atividade, ou porte. Um exemplo interessante é a figura do DPO (Data Protection Officer), ou encarregado de dados pessoais, a quem compete a interface com a própria ANPD e com os pedidos dos titulares de dados pessoais, ou seja, com as solicitações das pessoas sobre seus direitos. De acordo com a LGPD todas as empresas – e de maneira geral também a Administração Pública – precis am contar com um DPO. Será que essa obrigação será imposta de fato a todas as 20 milhões de empresas contabilizadas no Ministério da Economia?
Vale notar que a figura do DPO foi destacada como um ponto específico da agenda, afinal, a falta de clareza pode ensejar desafios muito grandes não apenas quanto à necessidade, mas quanto ao exercício da atividade e perfil para a função.
Além disso, a ANPD prevê em sua agenda regular o tema das sanções por descumprimentos de cuidados em matéria de dados pessoais, comunicação de incidentes e relatório de impacto. Embora não se possa decifrar se um papel educacional – e menos sancionatório – está nas entrelinhas, a indicação da preocupação com as situações concretas em que há incidentes com dados pessoais demonstra que o plano não é ficar apenas na teoria. É preciso respostas e procedimentos definidos para as situações que invariavelmente acontecerão.
A divulgação da agenda coincidiu com o Dia Internacional de Proteção de Dados Pessoais, mundialmente comemorado no dia 28 de janeiro. No Brasil, no entanto, parece não haver tantos motivos para celebrar, sobretudo diante da recente notícia do vazamento de uma base com dados da Serasa com 220 milhões de pessoas, entre os quais havia: nome, endereço, dados do imposto de renda, fotos, scores de crédito, gênero, data de nascimento, nome do pai e da mãe, estado civil, vínculos familiares, e-mail, telefone, classe social e título de eleitor – e oferecidos de graça em um fórum de internet.
Se confirmado, será o maior vazamento de dados da história do país, já que foram expostas mais pessoas do que a população viva no Brasil. Este caso, tanto pela quantidade dados, quanto por sua natureza, acende uma forte luz sobre as atividades das empresas e a capacidade de preservar a proteção dos dados que administra e comercializa – e, ainda, ocorre justamente no momento que os bancos brasileiros se preparam para o open banking. Esse episódio deve ser marcado na agenda da ANPD como um dia a ser lembrado. Ao tempo em que a Autoridade ainda inicia suas atividades, o cenário brasileiro demanda medidas efetivas e responsabilização de infratores. Enfim, para que realmente se possa festejar, a LGPD precisa ser uma agenda de todo Brasil.
*Gabriel Schulman é doutor em Direito pela UERJ, advogado em Trajano Neto e Paciornik e coordenador da Pós-Graduação em Direito e Tecnologia da Universidade Positivo.