Em entrevista exclusiva à Protiviti, Waldemar Gonçalves, Diretor-Presidente da ANPD, discute os principais tópicos relacionados à Privacidade no Brasil, como o papel do encarregado, anonimização, Inteligência Artificial e proteção de dados de crianças e adolescentes.
Assunto ainda relativamente recente no Brasil, a Privacidade de Dados é tópico de interesse para toda a sociedade. Nesse sentido, promover discussões e trocas de ideia entre o setor é indispensável para encontrar os melhores caminhos e práticas para garantir a proteção dos dados no Brasil. Para incentivar esse diálogo e trazer luz aos principais tópicos relacionados à privacidade de dados no Brasil, convidamos Waldemar Gonçalves, Diretor-Presidente da ANPD (Autoridade Nacional de Proteção de Dados) para uma entrevista exclusiva.
Nessa entrevista, abordamos tópicos que ainda geram dúvidas no mercado sobre o cumprimento das normas e o setor como um todo, além de buscar compreender os próximos passos da proteção e privacidade de dados no Brasil. Confira a seguir a íntegra.
[Protiviti] Em casos práticos, vemos profissionais dedicados à privacidade de dados no Brasil, à segurança da informação ou ao jurídico acumularem também a função de Encarregado. A ANPD entende que pode haver conflito de interesses a depender do cargo do Encarregado de Dados?
[ANPD – Waldemar Gonçalves] A ANPD ainda não estabeleceu normas complementares sobre as atribuições do encarregado, tema que será objeto de regulamentação, conforme previsto na Agenda Regulatória para o biênio 2023-2024.
Importante salientar que o agente de tratamento, ao indicar o encarregado, deve atentar para que este não esteja ocupando ou não passe a ocupar posição que acarrete conflito de interesses. Presume-se o conflito de interesses no acúmulo da função de encarregado com aquela em que haja responsabilidade pelas decisões referentes ao tratamento de dados pessoais.
O essencial é que o encarregado seja a pessoa responsável por ser o canal de comunicação entre a instituição/empresa na qual atua, os indivíduos e a Autoridade Nacional de Proteção de Dados. Além de ser responsável por conscientizar e orientar o controlador de dados pessoais e os funcionários sobre as boas práticas em proteção de dados pessoais.
O encarregado deve ser a figura que busca garantir uma comunicação adequada, para o atendimento aos direitos dos titulares, e que oriente sobre as práticas de governança de dados pessoais.
[Protiviti] Em paralelo com as regulamentações de privacidade de outros países, a Autoridade tem expectativas para uma atualização na LGPD incluindo a necessidade de o Controlador emitir declaração para comprovar que um direito requerido pelo titular foi atendido? Como, por exemplo, em casos de anonimização, bloqueio ou eliminação de dados?
[ANPD – Waldemar Gonçalves] A LGPD só pode ser modificada ou atualizada pelo legislador, cabendo à Autoridade Nacional de Proteção de Dados apenas a regulamentação dos ditames da lei. Nesse sentido, a ANPD acompanha a atividade parlamentar junto ao Congresso Nacional e procura apoiar decisões dentro dos limites da sua responsabilidade e competência.
A respeito da anonimização e pseudonimização, a Agenda Regulatória 2023-2024 prevê a elaboração de documento que visa orientar e esclarecer o uso dessas técnicas. Essa ação já foi iniciada e será concluída até 2024.
[Protiviti] A Coordenação-Geral de Fiscalização é responsável por analisar as petições dos titulares que possam conter denúncias de descumprimento da LGPD. Tendo em vista a possibilidade de receber diversas petições, a Coordenação prevê estabelecer critérios de priorização para iniciar uma investigação sobre um incidente envolvendo dados pessoais ou demais violações à lei?
[ANPD – Waldemar Gonçalves] Todo processo fiscalizatório realizado pela ANPD é precedido por um monitoramento preliminar. A partir das informações levantadas no monitoramento, a Autoridade decide se estabelece ou não um processo de fiscalização propriamente dito. Ou seja: a fiscalização acontece quando há subsídios para tal e a norma de fiscalização atualmente estabelece critérios de priorização para a avaliação do tratamento de dados pessoais pelos agentes de tratamento. Além disso, a Agenda Regulatória 2023-2024 também prevê a normatização de critérios para a comunicação de incidentes de segurança envolvendo dados pessoais e o processo de fiscalização desses incidentes.
Recentemente, a ANPD encerrou Consulta Pública sobre a proposta de Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais, que contou com 1.491 contribuições da sociedade.
Isso nos revela que os cidadãos estão preocupados com o tema e estão contribuindo com a ANPD para a elaboração de uma norma justa e democrática.
[Protiviti] No ano de 2021, a ANPD e a SENACON estabeleceram um Acordo de Cooperação Técnica com o objetivo de proteger os dados pessoais dos consumidores. Com base nisso, há planos para ampliar esses acordos de parceria, a fim de alcançar um entendimento padronizado sobre questões relacionadas à privacidade e proteção de dados pessoais em demais setores, como também evitar a duplicidade de esforços em termos de fiscalização?
[ANPD – Waldemar Gonçalves] Sim, queremos ampliar nossos acordos de cooperação. A Autoridade está em constante diálogo com outras instituições para aprimorar as suas próprias práticas e para melhor resguardar os direitos dos titulares de dados pessoais. Neste sentido, a ANPD possui sete Acordos de Cooperação Técnica e Convênios já estabelecidos e outros em fase de elaboração. A Autoridade se articula com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação, conforme previsto na LGPD.
[Protiviti] Segundo dados divulgados pelo Instituto Brasileiro de Geografia e Estatística (IBGE), mais de 15% da população brasileira não utilizou a internet em 2021, meio imprescindível para inclusão social e conscientização da população. Os principais motivos apontados foram de ordem técnica (não saber usar a internet) ou econômica (serviço de acesso ou equipamentos eletrônicos considerados caros). Considerando que as vulnerabilidades sociais se somam ou são potencializadas pelas vulnerabilidades digitais, como a ANPD tem enfrentado o desafio de disseminar ações educativas a grupos mais vulneráveis quanto a temas como proteção de dados pessoais?
[ANPD – Waldemar Gonçalves] Esse é um dos maiores desafios que temos, além de o tema “Proteção de Dados Pessoais e Privacidade” ser algo novo, também necessita de amadurecimento e fomento para a formação de uma cultura de proteção de dados pessoais em nosso País.
Por isso, a ANPD atua fortemente na produção de Guias Orientativos para elucidar sobre os diversos assuntos que permeiam a proteção de dados pessoais. E com isso, estamos dispostos a encarar esses desafios e criar meios de consolidar essa cultura de proteção de dados pessoais no Brasil.
[Protiviti] O uso de inteligência artificial cada vez mais disseminado entre crianças e adolescentes como, por exemplo, assistentes virtuais, tem se demonstrado um grande desafio frente a vulnerabilidade inerente a esse público. Há expectativa da ANPD de uma atuação preventiva para proteção de dados pessoais de crianças e adolescentes no uso desse tipo de tecnologia?
[ANPD – Waldemar Gonçalves] A ANPD atua de forma responsiva, que engloba a prevenção, o monitoramento, a orientação e a sanção por descumprimento da LGPD.
Para todos os casos atuamos desta forma e já estamos avançando mais na fiscalização desde que o Regulamento de Dosimetria e Sanções Administrativas foi publicado.
Estamos atuando de forma preventiva em diversas áreas que envolvem a proteção de dados pessoais, independente da tecnologia utilizada, incluindo a proteção de dados pessoais de crianças e adolescentes, cabendo destacar que a Agenda Regulatória da ANPD também prevê a regulamentação deste tema.
[Protiviti] Quais são as expectativas da ANPD quanto ao uso do legítimo interesse como base legal para o tratamento de dados pessoais de crianças e adolescentes, e como a Autoridade planeja equilibrar os interesses das organizações e os direitos de privacidade dos menores nesse contexto?
[ANPD – Waldemar Gonçalves] A ANPD publicou em maio deste ano, o primeiro Enunciado que trata sobre as hipóteses legais que autorizam o tratamento de dados de crianças e adolescentes.
Este Enunciado representa uma primeira iniciativa da ANPD relacionada à proteção de dados pessoais de crianças e de adolescentes e fixa entendimento da Autoridade acerca das possibilidades interpretativas do artigo 14 da LGPD.
De acordo com o Enunciado, o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas na LGPD, como nos casos de consentimento fornecido pelo titular, de cumprimento de obrigação legal, de proteção à vida ou de atendimento a interesse legítimo do controlador. Em qualquer situação, o melhor interesse da criança e do adolescente deve prevalecer, exigindo avaliação cautelosa por parte do controlador.
Também, com relação ao tema, estamos trabalhando na elaboração de um Guia Orientativo sobre Legítimo Interesse, documento que trará orientações específicas para o tratamento de dados pessoais de crianças e adolescentes com base nessa hipótese legal, em conformidade com o princípio do melhor interesse.
[Protiviti] Como a ANPD espera superar o desafio de regular a transferência internacional de dados segura, sem impactar o desenvolvimento econômico e a inserção de empresas brasileiras no mercado global?
[ANPD – Waldemar Gonçalves] A regulamentação da proteção de dados de uma maneira geral impacta positivamente na inserção das empresas brasileiras no cenário global, aumentando sua competitividade. O estabelecimento de regras claras para proteção de dados pessoais aumenta a segurança jurídica, que, por sua vez, é requisito para o crescimento econômico do País.
A regulamentação das transferências internacionais é apenas uma das muitas dimensões da regulamentação da proteção de dados. Nesse aspecto, a ANPD tem procurado delinear regras mais convergentes possíveis com o que é feito no cenário internacional, de forma a garantir que as regras brasileiras sejam interoperáveis com os diversos sistemas de proteção de dados no mundo.
Além disso, está aberta para contribuições da sociedade consulta pública, que tem o intuito de receber subsídios da sociedade que são essenciais para o aprimoramento do Regulamento, a partir de contribuições valiosas por parte de variados segmentos da sociedade.
[Protiviti] Há previsão para acordos de cooperação entre países, em caso de necessidade de troca de informações entre autoridades, em situações, por exemplo, de incidentes envolvendo dados pessoais?
[ANPD – Waldemar Gonçalves] Sim. A ANPD está trabalhando para estabelecer uma rede de cooperação que possa viabilizar o enforcement extraterritorial da LGPD. A troca de informações entre autoridades é peça essencial nesse esforço. A Autoridade vem atuando junto a autoridades de outros países para o estabelecimento de alianças e troca de informações a respeito das transferências internacionais de dados pessoais.
Atualmente, temos um memorando de entendimentos com a Agência Espanhola de Proteção de Dados (AEPD) com intuito de garantir a colaboração entre os países e uma cooperação conjunta em matéria de proteção de dados pessoais e fornecer um quadro para a troca de conhecimentos técnicos e melhores práticas, a fim de fortalecer as capacidades técnicas de ambas as partes relacionadas à aplicação da lei sobre a proteção de dados pessoais.
[Protiviti] Qual é a responsabilidade do Encarregado pelo Tratamento de Dados Pessoais em caso de violação de dados pessoais? Haverá algum tipo de direito de regresso contra o Encarregado, em caso de responsabilização do controlador ou do operador?
[ANPD – Waldemar Gonçalves] A Lei Geral de Proteção de Dados Pessoais trata exclusivamente sobre o papel do Encarregado e todas as suas atividades estão elencadas em seu art. 41. A Lei não prevê responsabilidade direta do encarregado. A responsabilidade, em regra, é dos agentes de tratamento, isto é, o controlador ou o operador, conforme o caso. O Encarregado poderá responder por atos ilícitos conforme as normas aplicáveis a funcionários de empresas, por exemplo.
Com relação ao direito de regresso, a LGPD também não estabelece regramento específico sobre eventual direito de regresso contra o Encarregado, nos casos de responsabilização do controlador ou operador. Assim, aplicam-se as normas usuais nestes casos, como as que regem as relações entre funcionários e empresas.
O tema está previsto para ser regulamentado na Agenda Regulatória 2023-2024. Após a publicação do regulamento será possível responder questões mais específicas sobre a atuação do encarregado de dados pessoais.
Saiba mais sobre a atuação da ANPD no site e conheça as iniciativas da Protiviti em Privacidade de Dados. Desde 2019, a área de Privacidade e Proteção de Dados da Protiviti atua em projetos de adequação à LGPD e GDPR, sendo reconhecida no ranking Leaders League como Excelente.