loading...

ANPD e o desafio de regulamentar a LGPD

A Autoridade Nacional de Proteção de Dados (ANPD), cuja formação é recente, tem pela frente a hercúlea missão de normatizar ou regulamentar diversas situações que carecem de instruções mais detalhadas por parte da principal autoridade responsável por dados pessoais no Brasil.

A Lei Geral de Proteção de Dados (LGPD) carece de inúmeras regulamentações por parte da ANPD, que estão descritas abaixo:

Art. 10, § 3 – O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

O relatório de impacto é definido no artigo 5, sem qualquer esclarecimento adicional; também não estão claras as razões pelas quais a ANPD poderá solicitar relatório de impacto a uma empresa e não a outra. E, finalmente, os segredos comercial e industrial serão justificados pela simples afirmação da empresa?

Art. 11, § 3 – O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.

Até que ponto a ANPD irá vedar ou regulamentar o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica?

Art. 12, § 3 – Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

A ANDP poderá estabelecer regras mais específicas para caracterizar a anonimização.

Art. 13, § 3 – Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

§ 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.

Este dispositivo deixa clara a necessidade de que a ANPD, conjuntamente com as autoridades da área de saúde e sanitárias, regulamente o acesso aos dados decorrentes de estudos de saúde pública.

Art. 18, V – O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

A portabilidade dos dados é um dos direitos do titular dos dados pessoais que certamente carecem de regulamentação por parte da ANPD.

Art. 19, § 3 – A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

Mais uma necessidade de regulamentação por parte da ANPD, quanto à requisição do titular de uma cópia eletrônica integral de seus dados pessoais, devendo observar os segredos comercial e industrial.

Art. 23, § 1 – O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

§ 1º A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento.

A ANPD poderá regulamentar as formas de publicidade das operações de tratamento de dados pessoais pelas pessoas jurídicas de direito público.

Art. 27, par. único – A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto:

Parágrafo único. A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação.

A comunicação ou o uso compartilhado de dados pessoais entre pessoas jurídicas de direito público e privado deverá ser objeto de regulamentação da ANPD.

Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.

A ANPD terá que deliberar se criará normas complementares para as atividade de comunicação e de uso compartilhado de dados pessoais por pessoas jurídicas de direito público.

Art. 35, § 3 – A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.

§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.

§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.

Ainda não se sabe quais são os critérios que a ANPD utilizará para designar os organismos de certificação e como ficaria a responsabilidade civil do organismo de certificação perante a empresa, em caso de anulação por parte da ANPD.

Art. 40 – A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.

Esse dispositivo, sozinho, já carece de inúmeras regulamentações de suma importância que deverão ser elaboradas pela ANPD.

Art. 41, § 3 – O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

A LGPD traz uma relação muito resumida das atribuições destinadas ao Encarregado. Ainda é uma incógnita até que ponto tais atribuições serão estendidas.

Art. 46, § 1 – Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

A ANPD poderá estabelecer os padrões técnicos mínimos para caracterizar medidas de segurança, técnicas e administrativas.

Art. 48, § 1 – O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

A ANPD terá que esclarecer o que é prazo razoável.

Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.

A questão é como será feito esse estímulo por parte da ANPD.

Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

A regulamentação da aplicação de sanções é uma parte fundamental da LGPD para a ANPD, afinal, são as sanções que determinarão se ela será respeitada pelo mercado ou não.

Art. 62. A autoridade nacional e o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), no âmbito de suas competências, editarão regulamentos específicos para o acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional) , e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004 .

ANPD e INEP deverão regulamentar dados pessoais referentes à educação pelo poder público.

Art. 63. A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados.

Esse é outro aspecto de suma importância também para a ANPD, visto que os inúmeros bancos de dados constituídos até a LGPD necessitarão de regulamentação adicional, considerando a complexidade das operações envolvidas.

É bem verdade que, se a ANPD tivesse sido criada como agência especial – o que deveria ter sido o caso, considerando a natureza da sua existência e a necessidade de gerir regulação –, tais regulamentações privilegiariam supostamente o aspecto técnico, sem potencial excesso de interferência política por parte do poder público.

Resta-nos acompanhar como a ANPD irá transitar rumo a todas essas regulamentações, tão necessárias para garantir a aplicabilidade da LGPD.