Multas para vazamentos de dados pessoais em limbo fiscalizatório
A penalidade equivalente a R$ 1,4 bilhão imposta à Meta (Facebook) pela Autoridade de Proteção de Dados da Irlanda (DPC, sigla em inglês) com base no GDPR, que é o Regulamento Geral de Proteção de dados da União Europeia, ainda é impraticável no Brasil. Essa realidade acontece mesmo com a Lei Geral de Proteção de Dados (LGPD) em vigor desde setembro de 2020, e com a Autoridade Nacional de Proteção de Dados (ANPD) criada em meados de 2019, e recentemente em outubro de 2022 tornada uma autarquia de regime especial, com autonomia não apenas decisória, mas também financeira.
A quantidade escandalosa e acelerada de falhas nos cuidados com os dados pessoais dos cidadãos ranqueia o Brasil entre alguns dos países com estruturas mais comprometidas em termos de segurança digital somadas as instituições públicas e privadas, apuraram pesquisas de empresas dedicadas ao tema. O incentivo para apontar esse tipo de problema ainda é escasso. A quantidade de incidentes reportados no canal de denúncias da ANPD é ínfima, na casa de 23 em média por mês em 2022. Portanto, ela recepciona os problemas, averigua, fiscaliza, recomenda procedimentos corretivos, mas ainda não tem sancionado empresas infratoras.
A ANPD indica que a solução para o limbo começará a partir das regras para a norma de dosimetria de sanções por violações a dados pessoais de cidadãos brasileiros. Se tudo correr como se planeja, isso acontecerá no final de fevereiro de 2023, quando deverá ser aprovada a norma. Mas, definir dosimetria significa somente quantificar penas conforme o perfil dos perpetradores. Aplicar é outra coisa. Para adicionar mais um elemento a esse contexto, a ANPD quer definir mais e melhor o regulamento de comunicação de incidentes. Isto é, a maneira como as empresas devem informar a autoridade e cidadãos sobre eventuais violações de seus dados pessoais. Para se ter uma ideia do quanto o tema é sensível, as multas previstas na LGPD podem chegar a 2% do faturamento da empresa ou até R$ 50 milhões por infração.
É importante que a ANPD tenha uma postura mais dura em relação aos processos administrativos e fiscalizatórios. Em várias declarações que foram dadas por membros da ANPD nos últimos dois anos, foi reiteradamente repetido que se iria concentrar esforços para conscientizar as organizações sobre a importância delas estarem em conformidade com a lei, seguindo a lógica da regulação responsiva. No entanto, várias notas técnicas produzidas pela autoridade provenientes de processos fiscalizatórios foram superficiais e não detalhadas ou completas. Por essa razão tem sido cobrado, especialmente por parte da sociedade civil, uma atuação mais dura da Autoridade, bem como uma maior transparência nos processos fiscalizatórios. Ou seja, que seja dada abertura aos documentos dos processos que envolvem grandes casos no Brasil, como foi o caso do WhatsApp por exemplo.
Parece haver dificuldades da ANPD em avançar com a norma de dosimetria por exemplo. E isso pode ser devido ao fato de que nos últimos dois anos de existência da ANPD, houve todo um processo de constituição da Autoridade, realocação de servidores de outros órgãos para trabalhar na ANPD, organização interna das coordenações etc. Assim como, houve um esforço concentrado e articulado para tornar a ANPD uma autarquia autônoma, o que só veio acontecer em outubro de 2022. Portanto, é uma Autoridade jovem que ainda está se constituindo e com a árdua missão de regulamentar um volume de temas enormes existentes na LGPD e que se aplicam a todos os setores da sociedade.
Agora que ela conquistou a sua autonomia, passando a ser uma autarquia de regime especial, ela terá mais condições de atuar em suas competências, que são supervisão, fiscalização e orientação. Assim como recentemente foi dada uma declaração de que a ANPD abrirá vagas para concursos a partir de 2024, o que dará a ela mais força de trabalho, com o aumento de servidores, para conseguir atender um país tão grande quanto o Brasil. Para se ter uma ideia, o Reino Unido que tem por volta de ¼ da população do Brasil tem na sua Autoridade de Proteção de Dados (ICO, sigla em inglês) um contingente de mil funcionários. Enquanto a ANPD possui por volta de 100 pessoas trabalhando na Autoridade em um país de 214 milhões de pessoas.
As preocupações para 2023 incluem ainda a proposta de agenda regulatória proposta 2023/2024, com 20 temas. Dentre eles, destaque-se o relatório de impacto de proteção de dados, que já estava na agenda 2021/2022 e que não teve seu processo de regulamentação finalizado, bem como também constam temas como Inteligência Artificial. Portanto, mesmo a ANPD aumentando seu corpo técnico ainda haverá imensa dificuldade de se conseguir cumprir com agenda tão extensa e com temas complexos como essa proposta pela Autoridade. E aí pode acontecer o que aconteceu neste ano, vários temas da agenda 2021/2022 foram para a agenda 2023/2024, e se não cumprirem com esta última, haverá um efeito dominó, o que não for cumprido nos próximos dois anos, pode entrar na agenda 2025/2026.