Home  >  Segurança

Como a ausência da ANPD cria entraves para empresas instituírem a LGPD

A constituição da Autoridade Nacional de Proteção de Dados é peça-chave para a regulação da lei e fiscalização das práticas

Por Lucas Paglia e Mateus C. Bacchini*

22/07/2020 às 14h30

Foto: Adobe Stock

A Lei Geral de Proteção de Dados (LGPD) só poderá começar a multar as empresas, por meio da Autoridade Nacional de Proteção de Dados (ANPD), a partir de agosto de 2021, conforme lei no. 14.010/2020 sancionada pelo Presidente da República. Prevista na Lei Geral de Proteção de Dados, a ANPD tem como função zelar, implementar e fiscalizar o cumprimento da lei em todo o país.  

Além disso, serve para regulamentar mais de 20 pontos da legislação e emitir diretrizes sobre o tratamento de dados pessoais. Por isso, é importante a criação da ANPD para regulação do tema.

Mais de um ano após a sanção presidencial de Michel Temer, a ANPD, até o presente momento, não saiu do papel e a sua ausência tem causado grandes desafios não apenas na adequação de empresas e órgãos públicos à LGPD, mas também no cenário adverso em que nos encontramos atualmente. 

A independência da ANPD em relação ao à Presidência da República é essencial para que o Brasil seja classificado pela Comissão Europeia com nível adequado de proteção de dados pessoais. A General Data Protection Regulation (GDPR), legislação da União Europeia sobre a proteção de dados pessoais, tem critérios que devem ser observados para que seja adotada uma decisão sobre a adequação de países em relação à GDPR. 

Exemplos de casos e aplicações 

Diversos países contam com autoridades regulamentadoras das atividades de tratamento de dados pessoais. O Reino Unido, por exemplo, possui a Information Comissioner’s Office (ICO) e a França possui a Commission Nationale de l'Informatique et des Libertés (CNIL). Tais órgãos são independentes dos órgãos governamentais e já estão em pleno funcionamento, inclusive já aplicaram multas milionárias.  

Em julho de 2019, a ICO multou a British Airways em US$ 230 milhões, o que representa 1,5% do faturamento que a empresa teve em 2017, por conta de um vazamento de dados pessoais. Por sua vez, a CNIL multou o Google em € 50 milhões, por não informar claramente a seus usuários sobre a política de uso de dados pessoais. 

Dentre as questões debatidas e em que as diretrizes da ANPD seriam muito úteis atualmente está o compartilhamento de dados pessoais para analisar o nível de isolamento social em diversas cidades do Brasil.  

O governo de São Paulo criou o Sistema de Monitoramento Inteligente (SIMI-SP), que a partir de parcerias firmadas com as operadoras de telefonia celular Vivo, Claro, Oi e TIM usa dados para medir o distanciamento social e envia alertas a áreas com mais casos de contágio. Porém, tal sistema utiliza dados georreferenciais dos usuários de telefonia celular para mensurar a quantidade de pessoas em um mesmo local. 

Todavia, as informações sobre o tratamento de dados pessoais não foram informadas de maneiras claras aos usuários, nem mesmo foi informado quando tal tratamento será finalizado e o que ocorrerá com os dados pessoais após o fim do período de isolamento.  

Assim, já foi proposta uma Ação Popular (1019132-66.2020.8.26.0053) e um Habeas Corpus Coletivo (HC 572996) exigindo que o governo de São Paulo se exima de utilizar o referido sistema, uma vez que pode haver clara ofensa ao direito à privacidade dos cidadãos.   

Outra questão recente envolvendo o tratamento de dados pessoais foi a Medida Provisória 954/2020, que liberava o compartilhamento de dados pessoais por empresas de telefonia com o Instituto Brasileiro de Geografia e Estatística (IBGE), com a finalidade de elaborar estatísticas oficiais durante a atual pandemia.  

Dentre as informações que deveriam ser compartilhadas estão os nomes, números de telefone e endereços dos consumidores. O Supremo Tribunal Federal suspendeu a Medida Provisória por considerá-la inconstitucional. 

Como a ausência impacta a aplicação da lei  

Há ainda outras questões relacionadas à pandemia da Covid-19 que temos vivido que Autoridades de Proteção de Dados Pessoais de outros países já regulamentaram e que seria essencial que a nossa ANPD tratasse, como a possibilidade de medir a temperatura de funcionários e visitantes de empresas, a verificação de saúde de colaboradores, a comunicação sobre empregados infectados e como divulgar tais informações a outros empregados. 

A ausência da ANPD pode gerar danos à proteção de dados pessoais dos cidadãos brasileiros e muitos direitos conquistados na LGPD poderão ser infringidos, como o de ser informado sobre a existência do tratamento de dados pessoais, o acesso aos dados pessoais e o direito à anonimização, bloqueio ou eliminação de dados pessoais desnecessários ou excessivos, entre outros. É essencial que a ANPD venha à luz de vez e esclareça como os dados pessoais poderão ser tratados. 

E mais: como as empresas devem se adequar à legislação, tornando o Brasil como um país com regulação própria e trazendo uma nova perspectiva de pertencimento ao cenário de proteção de dados pessoais, o que será benéfico tanto para as empresas que se sentirão mais protegidas por saberem exatamente qual é a regra do jogo quanto para o titular de dados pessoais que terá a certeza de que seus direitos são protegidos por diretrizes objetivas e claras. 

*Lucas Paglia, sócio da P&B Compliance

*Mateus C. Bacchini é advogado e especializado em Proteção de Dados Pessoais e Privacidade

Tags