O que foi feito nos últimos anos e o que esperar dos próximos – LGPD
Quando publicada em 2018, já sabíamos que precisaríamos passar por um grande período de adaptação para nos adequarmos à LGPD. A proteção de dados tem um campo bem amplo e novos assuntos que o afetam surgem a todo momento. O texto da lei reconhece o surgimento desses novos assuntos e institui algumas aberturas para a regulamentação desses assuntos, porém acaba atrasando a adequação das empresas e as fiscalizações do cumprimento da norma.
A criação da ANPD veio para fechar essas aberturas, como por exemplo, na edição da Portaria nº 11 em janeiro de 2021, que previa os temas prioritários para a regulamentação no biênio 2021-2022.
Com o ano de 2022 chegando ao fim, a Nota Técnica nº 31/2022/CGN/ANPD submeteu 10 novas matérias que devem ser abordadas na próxima agenda regulatória. Com isso, o ideal seria entender o que já foi feito, o que ainda precisa ser feito e o que está na agenda regulatória de 2023.
Das regras editadas pela ANPD e considerando o relatório semestral de acompanhamento publicado pela mesma, duas normativas se destacam: (1) o regulamento do processo de fiscalização e do processo administrativo sancionador e (2) a regulamentação da aplicação da LGPD aos agentes de tratamento de pequeno porte.
O Regulamento do processo de fiscalização e do processo administrativo sancionador
A ANPD pode aplicar sanções há pouco mais de um ano e apesar de o processo a ser seguido estar indicado em um regulamento indicado, três pontos precisam ser melhorados: prazo e forma da comunicação de incidentes, as formas de cálculo do valor-base da multa e os termos de compromisso com agentes de tratamento.
- Comunicação de incidentes
A comunicação de incidentes era um ponto da LGPD cuja regulamentação estava prevista para o biênio 2021-2022. Os agentes de tratamento podem utilizar um formulário divulgado pela a ANPD para comunicar os incidentes, porém é essencial que um prazo para que seja feita essa comunicação seja determinado para garantir maior segurança jurídica.
- Parâmetros para o cálculo de multa
Há uma expectativa de que em outubro haja um alinhamento sobre a questão do cálculo da multa. Importante relembrar que existem alguns fatores que constam no artigo 52, §1º da LGPD que tem influência no valor da multa, como por exemplo, adoção de boas práticas de governança, estruturação de mecanismos e procedimentos internos para minimizar danos, boa-fé do infrator, pronta implementação de medidas corretivas etc.
- Termo de compromisso com agentes de tratamento
A estruturação dos compromissos com agentes de tratamento visando eliminar irregularidades ou incertezas jurídicas é essencial. Na Nota Técnica nº 31/2022/CGN/ANPD isso está descrito como um ponto de interesse para a agenda regulatória de 2023-2024 e também seria bastante importante para o contexto de proteção de dados e formação de boas práticas.
A regulamentação da aplicação da LGPD aos agentes de tratamento de pequeno porte
No início deste ano, foi aprovada uma resolução na qual estes agentes de tratamento de pequeno porte como, microempresas, empresas de pequeno porte, startups, tenham um regime jurídico aplicável diferenciado para que seja mais simples, sendo proporcional aos impactos das atividades destes agentes econômicos. Essa flexibilização é importante pois reconhece de certa forma as particularidades de contexto e da forma de atuação no mercado de cada entidade.
Na Nota Técnica nº 31/2022/CGN/ANPD, ficou indicado que temas de realidades mais específicas continuarão sendo estudados, como por exemplo, o tratamento de dados pessoais por organizações religiosas. E também foi submetido à consulta pública a possibilidade de editar regulamentações específicas para instituições de saúde e educação.
O que ainda falta
Ainda não foram finalizados alguns tópicos importantes da agenda regulatória de 2021-2022 como (1) relatórios de impacto à proteção de dados pessoais e (2) transferência internacional de dados. Um ponto também que vem sendo bastante debatido é sobre o tratamento automatizado de dados por inteligências artificiais.
- Relatórios de impacto à proteção de dados pessoais
A regulamentação dos relatórios de impacto é bastante esperada, visto que a matriz de classificação de riscos irá auxiliar os agentes de tratamento nas definições de processos de alto risco.
- Transferência internacional de dados
Com o objetivo de se tornar referência internacional em proteção de dados pessoais, este será um tema bem relevante para a ANPD, que não tem poupado esforços para estruturar cooperações com outras autoridades estrangeiras.
- Tratamento automatizado de dados por inteligências artificiais
Tramita junto ao Senado uma consulta pública para oferecer insumos para eventual marco regulatório sobre o tema da inteligência artificial, o que pode impactar no cumprimento da LGPD como no tratamento de dados pessoais por agentes de inteligência artificial.
Camila Brandão – Consultora da Segurança da Informação da Solarplex