ANPD terá de ensinar o mercado

[:br]

A Medida Provisória (MP) nº 869/2018 modificou a Lei nº 13.709/18 – Lei Geral de Proteção de Dados Pessoais -, criando a Autoridade Nacional de Proteção de Dados (ANPD). Diferentemente da maior parte das agências reguladoras brasileiras, não se trata de uma autarquia. Optou-se, ao contrário, por integrá-la à pessoa jurídica da União, precisamente à Presidência da República.

Contudo, não é a qualificação jurídica dessa nova autoridade que chama, por ora, a nossa atenção, mas sim a sua função. O que deve fazer a ANPD em seus primeiros anos? Em nosso modesto entendimento, principalmente uma coisa: ensinar. E ensinar muito, a partir do zero. As empresas e o setor público sempre trataram os dados pessoais com extrema negligência, e subitamente devem seguir regras extremamente estritas sobre os mesmos, que passaram a ser tutelados pelo Direito.

Em algumas organizações, os dados pessoais são utilizados sobretudo pelos setores de marketing e comercial (mailing list, telemarketing e ações publicitárias diversas). Contudo, as informações sobre os clientes e prospectos são uma amostra – às vezes ínfima – da quantidade de dados pessoais tratados pelas mesmas.

Os encarregados pelo tratamento dos dados devem saber claramente o que pensa e espera a autoridade de regulação

As informações sobre os empregados (nome, endereço, férias, salário, licenças médicas e assim por diante) são frequentemente geridas de forma quase artesanal pelo RH. Empresas terceirizadas (de TI, contabilidade, cobrança e marketing, por exemplo) têm acesso livre aos dados pessoais armazenados sem quaisquer cuidados ou medidas físicas ou contratuais que assegurem a sua integridade.

No setor público, a situação é ainda mais complexa. Infelizmente a maior parte dos entes públicos brasileiros caracteriza-se pela penúria e despreparo do pessoal responsável pelos dados pessoais que tratam.

Em meio a esse deserto, o desafio inicial da ANPD consiste em conscientizar as pessoas sobre o correto tratamento a ser dispensado aos dados pessoais, traçando nitidamente a linha de conduta que espera dos controladores e operadores. Os encarregados pelo tratamento dos dados devem saber claramente o que pensa e espera a autoridade de regulação.

A ANDP deve tirar lições do que ocorre na Europa. Naquele continente, as primeiras leis sobre o tema datam dos anos 1970. A primeira Diretiva Europeia sobre proteção dos dados pessoais data de 1995, substituída em 2016 pelo Regulamento Geral de Proteção de Dados Pessoais (GDPR) – que teve dois anos de vacatio legis antes da sua entrada em vigor em maio de 2018.

Em 23 de novembro de 2018, a Autoridade Francesa de Proteção de Dados Pessoais (CNIL) publicou um relatório constatando que, após seis meses da entrada em vigor do GDPR, as empresas ainda não conseguiram se apropriar totalmente do citado dispositivo legal. Segundo publicação recente da Comissão Europeia, as maiores causas de reclamação registradas desde a entrada em vigor do GDPR são telemarketing, e-mails e vigilância por vídeo (CCTV).

O paralelo com a realidade brasileira é inevitável. Se naquele continente, que dispõe de uma cultura de proteção de dados pessoais e de leis específicas sobre o tema há mais de 20 anos, a aplicação do GDPR está ainda em plena evolução, o que devemos esperar no Brasil, cuja primeira lei sobre a proteção dos dados pessoais só entra em vigor em agosto de 2020?

Os desafios da ANDP são enormes! Ela deve ser o principal motor da conscientização em matéria de proteção de dados pessoais do país. Ela deve publicar um programa indicando declaradamente os seus eixos de ação, seguido de relatórios anuais sobre os progressos e dificuldades encontradas.

A autoridade deve publicar muito! São inúmeros os temas que necessitam de regulamentação – propaganda por e-mail, definições de perfis, uso de cookies, vigilância por vídeo, biometria nas empresas, estocagem na nuvem, regras para subcontratação, uso de dados sensíveis… Enfim, uma infinidade de temas que necessitam de parâmetros claros no que diz respeito à proteção de dados pessoais.

O regulador deve também envolver-se com a maior frequência possível com as empresas e o setor público para mitigar a imensa assimetria de informações inicial. Ele deve descobrir e ouvir as questões, dúvidas e necessidades dos atores locais, conhecer de perto as suas dificuldades.

Embora a ANPD disponha de poder sancionador, ela deve utilizá-lo com extrema parcimônia, aumentando gradualmente os valores das penalidades aplicadas segundo o grau de maturação do tema no país. Maturação essa que a própria ANDP será um dos principais atores do seu atingimento.

É pela difusão do conhecimento que a Autoridade Nacional de Proteção de Dados Pessoais brasileira atingirá os seus objetivos e garantirá o seu sucesso.

Fernando Santiago é sócio cofundador do Chenut Oliveira Santiago Advogados e exerce suas atividades no Brasil e na Europa representando empresas em assuntos relacionados à proteção de dados pessoais

https://www.valor.com.br/legislacao/6180895/anpd-tera-de-ensinar-o-mercado

[:]