Autoridade Nacional de Proteção de Dados tem atuado de maneira bastante responsiva.
Por Luciano Benetti Timm e Matheus Noronha Sturari
O ano de 2022 terminou movimentado em proteção de dados, em especial, após a publicação, pela Autoridade Nacional de Proteção de Dados (ANPD), de orientações e formulário atualizado para comunicação de incidente de segurança envolvendo dados pessoais.
Além desse exemplo, foram várias as movimentações de instrução e conscientização da Autoridade ao longo de 2022 – e de 2021 também –, buscando fornecer orientações e diretrizes aos agentes de tratamento, bem como tratar de pontos carentes de regulamentação, como a dosimetria das sanções administrativas e próprio processo sancionador em geral.
Em que pese relevantes os guias e as consultas públicas envolvendo regulamentação por parte da ANPD, parece interessante também ter uma visão panorâmica de sua atuação investigativa, a qual ganhou corpo nos anos de 2021 e 2022.
São muito úteis as informações fornecidas pela ANPD em seus guias e diretrizes, bem como suas orientações gerais no site, no entanto, não foram todos que tiveram oportunidade de atuar diretamente em casos concretos perante a Autoridade, e parece que tal atuação, nesse início de atividade da Autoridade, é bastante relevante e pode gerar bons direcionamentos para fins preventivos e de gestão de programas de privacidade e proteção de dados pessoais.
Assim, por meio deste artigo, busca-se analisar os principais insights pragmáticos retirados da nossa atuação concreta perante a ANPD, bem como apresentar os principais objetos tratados perante a Autoridade e pontos relevantes sobre as tratativas de cada objeto.
De início, as primeiras impressões envolvendo casos na ANPD são de que a Autoridade tem atuado de maneira bastante responsiva, no sentido de que sua atuação está bastante vinculada ora a temas veiculados na mídia como de “megavazamentos”, ora a denúncias e requerimentos de titulares de dados; apesar disso, também há, sim, uma atuação de ofício da Autoridade em casos excepcionais.
Diante da atuação caracterizada como majoritariamente responsiva da ANPD, podemos destacar três principais objetos que integravam a maioria dos casos tratados perante a Autoridade: 1) direitos dos titulares; 2) incidente de segurança; e 3) compartilhamento de dados pessoais e gestão de terceiros.
Com relação a direitos dos titulares, parece óbvia sua incidência, até pela natureza dos direitos estabelecidos pela LGPD e pela forma como esses direitos podem ser exigidos pelos titulares. Acontece que, pelo que foi possível experienciar, nota-se uma diferença entre o que se existia de expectativa com relação à atuação da Autoridade e a realidade.
Quando se discutia como os direitos dos titulares poderiam se tornar alvo de uma investigação ou alguma espécie de procedimento na ANPD, muito se falava de casos em que reiteradas reclamações chegavam à Autoridade e, em determinado momento, isso se transformaria em alguma investigação por conta da recorrência. No entanto, não parece ter sido essa a forma de atuação da Autoridade, que, por vezes, acionou empresas em razão de reclamações específicas e individuais, não necessariamente tendo volume e recorrência de objeto como um parâmetro.
Tal constatação é interessante para quebrar uma falsa expectativa por parte dos agentes regulados, no sentido de que somente serão acionadas as organizações que possuem grande volume de reclamações ou grande volume de titulares de dados envolvidos em suas operações. A verdade é que não parece ter sido esse um critério determinante em vários dos casos tratados pela Autoridade.
O segundo objeto das demandas, por óbvio, refere-se aos casos de incidentes de segurança envolvendo dados pessoais – especialmente aqueles de grande repercussão midiática.
Talvez a forma mais conhecida de “problema” envolvendo proteção de dados pessoais, o incidente de segurança é, sem dúvidas, uma das situações que mais chama atenção da ANPD.
Seja para casos gigantescos, seja para casos menores e quase “irrelevantes”, a Autoridade parece ter se preocupado sempre em investigar dois principais aspectos: o que a organização, de fato, fez diante do ocorrido; e, ainda, o que a organização fazia para evitar o ocorrido?
Para essas duas perguntas, uma série de respostas devem ser apresentadas e somente com um procedimento robusto implementando tais respostas podem ser satisfatoriamente entregues. A bem da verdade, a impressão inicial que fica é aquela que todos repetiam (ao menos os engajados com a área): a ocorrência de um incidente de segurança é praticamente certa para todas as organizações, o grande ponto será como essa organização se prepara para lidar com esse fatídico evento e, mais, o quão preparada a organização está para apresentar evidências de como lidou e lida com eventos dessa natureza em geral.
Nos últimos dois anos de atuação da ANPD, quanto a casos de incidentes de segurança envolvendo dados pessoais, a principal impressão foi a de uma Autoridade técnica, madura e mais preocupada com a solução e mitigação do incidente do que com o “apontar de dedos”. Por óbvio, para os anos vindouros, a expectativa é de que as organizações estejam cada vez mais maduras e a régua regulatória suba em paralelo, maior rigor com procedimentos preventivos é bastante esperado.
Referente ao terceiro objeto de demandas na ANPD, em que pese este objeto possa ser encontrado “dentro” de ambos os outros dois acima, parece importante destacá-lo, pois a gestão de terceiros e do compartilhamento de dados pessoais foi objeto reiterado em demandas na Autoridade.
Difícil é demonstrar, na prática, maturidade quanto ao tema de vendor privacy assessment, mais ainda sobre vendor privacy management, mas é exatamente isso que pareceu buscar a Autoridade em seus questionamentos para casos em que havia o compartilhamento de dados pessoais com terceiros. Meramente apresentar uma cláusula contratual, em que pese importante, não parece ser suficiente.
A impressão é de que será muito positivo, sob ponto de vista de maturidade em proteção de dados, caso necessário, apresentar à Autoridade medidas mais procedimentais envolvendo a gestão de compartilhamento de dados pessoais, como um processo de contratação de fornecedor que envolve uma due diligence de proteção de dados, ou mesmo um mero checklist, mas que gere algum resultado prático, e não só mais uma documentação armazenada.
A efetiva tomada de decisão baseada em algum desses mecanismos de gestão parece ser cada vez mais um elemento relevante para a prestação de contas perante a ANPD e até mesmo parceiros de negócio e investidores.
Por fim, por óbvio, é importante destacar que a apresentação dos três objetos aqui e de aspectos a eles relacionados é resumida, variadas foram as tratativas ao longo dos dois últimos anos e a exposição completa de fatores aos temas relacionados seria demasiada longa para a proposta deste artigo. Além disso, as impressões aqui trazidas são fundadas exclusivamente na experiência prática dos autores, o que, por óbvio, gera um viés amostral e limita a análise à realidade enfrentada pelos autores.
Assim, em conclusão a este pequeno relato, a impressão geral que resta dos casos tratados pelos autores na ANPD é a de que as organizações que possuem implementado um programa de privacidade efetivo possuem muito mais facilidade em apresentar evidências para fins de prestação de contas à Autoridade.
Parece óbvia essa conclusão, no entanto, é importante destacá-la, pois muitos se esqueceram do fato de que um efetivo programa de privacidade deve ser capaz de produzir, quando necessário, evidências do cumprimento da legislação, e somente essa estrutura implementada é capaz de tal produção. Sem isso, o que resta é reunir algum elemento aqui e outro ali e tentar montar algo a ser apresentado para a Autoridade, no entanto, não parece ser uma decisão muito sensata.
Ainda, fica a expectativa para 2023, no sentido de que é esperado um aumento da atuação da ANPD, cada vez mais estruturada e preparada para tratar do tema. De tudo o que pudemos perceber, se for possível resumir em uma única impressão, seria a de que é só o começo.
Publicado em Jota. Info