Por Rafhael Camargo
O ano ainda não terminou, mas já podemos fazer um balanço das principais publicações da Autoridade Nacional de Proteção de Dados (ANPD) em 2023, uma vez que, no meu último artigo do ano pretendo pinçar alguns pontos importantes para 2024.
Até o dia 21 de novembro, foram mais de 20 publicações do órgão regulador, entre notas técnicas, consultas públicas, relatórios, portarias, resoluções e, claro, as tão esperadas sanções.
O objetivo aqui não é fazer uma análise criteriosa de todas essas publicações, mas ressaltar, na minha visão, alguns temas que realmente fazem a diferença na nossa vida diária, como advogados gestores, encarregados de dados e profissionais que atuam na área.
O documento mais esperado do ano, já que era necessário para a aplicação das sanções, foi o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que trouxe as regras de fiscalização aos agentes de tratamento, além da dosimetria das sanções administrativas, garantindo (ou visando garantir) maior transparência e justiça nos julgamentos dos inúmeros processos em curso na ANPD.
Outro documento relevante foi o primeiro Enunciado da ANPD, sobre o tratamento de dados de crianças e adolescentes. O “enunciado” nada mais é do que uma interpretação da Lei Geral de Proteção de Dados para ajudar-nos, meros mortais, a atuar de forma mais segura, já que o legislador ao incorporar diretamente dispositivos da legislação europeia não pensou em todas as possibilidades e problemas por aqui.
Este enunciado é tão importante que gostaria, eu mesmo, copiá-lo na íntegra:
“O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.”
Embora o artigo 14 tenha gerado alguma confusão, a ANPD esclareceu que, quando se trata de crianças e adolescentes, é possível usar qualquer base legal, desde que respeite o melhor interesse deles.
Embora isso pareça simples, na prática, a implementação pode ser desafiadora, exigindo a avaliação do legítimo interesse, equilíbrio entre direitos, deveres, expectativas, realização de testes e documentação adequada. Portanto, embora a LGPD transmita uma sensação de simplicidade, reconhecemos que a realidade pode ser mais complexa.
No tocante ao uso de dados de crianças e adolescentes, também teve notoriedade a Nota Técnica enviada à empresa responsável pelo TikTok, na qual a Autoridade sugeriu uma revisão da política de privacidade e dos métodos de verificação da rede social no que diz respeito ao uso por crianças e adolescentes.
Em uma das raras oportunidades que a Autoridade já se manifestou sobre redes sociais, o documento orienta o TikTok a evitar o cadastro de pessoas com menos de 13 anos, esclarecer as diferenças no tratamento dos dados pessoais de adultos e de crianças e adolescentes, e garantir que indivíduos com menos de 18 anos contenham a representação ou assistência de um responsável ao ingressarem na rede social.
Tratando-se do relatório em relatório de impacto, ainda que não haja a regulamentação sobre o tema, previsto para a agenda 2023/2024, a ANPD publicou “perguntas e respostas” em sua página para ajudar-nos a decidir quando e como devemos elaborar tal documento, uma ótima forma de atuarmos sempre em consonância com o órgão que irá julgar nossas empresas e clientes.
Outro documento importante e que evidenciou a falta de conformidade das maiores redes farmacêuticas do país foi a nota técnica de número 4, cuja análise eu aprofundei bastante neste artigo. É impressionante como as redes que mais tratam dados pessoais dos consumidores ainda não conseguiram estar minimamente em conformidade. Dá-lhes Brasil!
A Autoridade também fez seu próprio Aviso de Privacidade, dando uma diretriz esclarecedora para as organizações que estão sendo fiscalizadas criarem o delas.
No entanto, cabe o comentário crítico: o texto original é longo e difícil de entender para as pessoas a quem se destina. Isso pode dificultar que as pessoas entendam o que está sendo dito e tornar as coisas menos transparentes. Uma versão mais simples, fácil de entender, poderia resolver esse problema.
Tivemos ainda as multas aplicadas, desde pecuniárias às advertências, e não preciso me alongar nessas decisões tão divulgadas pelo país afora e comentada por diversos profissionais. Controvérsias à parte, vamos focar no que importa e o que pudemos aprender com ANPD: fazer o básico bem-feito, estar disponível aos pedidos de esclarecimentos do órgão, evidenciar as medidas tomadas, nomear um encarregado de dados, treinar os colaboradores e divulgar ao público externo o que deve ser divulgado.
É público que a ANPD está cada vez mais buscando se destacar como uma figura central e protagonista na regulamentação da Inteligência Artificial (IA), apresentando-se como um órgão capaz de adotar uma abordagem abrangente nesse contexto.
No entanto, a discussão sobre a expansão de suas responsabilidades está diretamente vinculada ao fortalecimento institucional da ANPD, que necessita de garantias de independência técnica, autonomia administrativa e decisória, semelhantes às agências reguladoras, conforme estabelecido na legislação correspondente.
Nessa perspectiva, a proposta apresentada pela ANPD, por meio de nota técnica, contempla a criação de um Fórum de Órgãos Reguladores Setoriais. Esse fórum teria como propósito fomentar a colaboração entre a ANPD, atuando como órgão central, e outros órgãos setoriais na regulação da IA. A justificativa para essa contribuição da Autoridade reside na necessidade de alinhar a futura legislação do Marco Legal da IA com os princípios e diretrizes já estabelecidos pela LGPD.
Por fim, mas não menos importante, uma das normas mais aguardadas foi publicada para consulta pública, que é o Regulamento sobre o Encarregado. Mais um documento simples e objetivo que visa regular a conduta dos encarregados, sejam eles empregados, servidores ou pessoa jurídica (DPO as a service), principalmente dispondo sobre conflito de interesse e o escopo de atuação do encarregado.
Muita gente reclamou que a ANPD aumentou o escopo da LGPD, mas ouso discordar, uma vez que a própria lei, em seus artigos 41, §3º e 50, exigem das empresas uma Governança em Proteção de Dados, papel que o DPO deve exercer de forma autônoma e independente.
Eram essas as minhas observações sobre as principais publicações da ANPD em 2023; e nós, advogados gestores, devemos estar atentos, pois é o nosso norte para ajudar as empresas a estarem em conformidade.
No próximo artigo, pretendo discorrer um pouco sobre o que esperar da ANPD em 2024 e os principais desafios do encarregado de dados.