Status report do processo de regulamentação da LGPD

Adriana de Moraes Cansian – CEO Resh Cyber Defense
Caio de Moraes Cintra – Equipe de Compliance Resh

Embora a Lei 13.709/2018 – Lei Geral de Proteção de Dados – tenha entrado em vigor em 18 de setembro de 2020, diversos dos dispositivos da legislação carecem de regulamentação por parte do órgão regulador, que no caso brasileiro, é a ANPD – Autoridade Nacional de Proteção de Dados.

A regulamentação é um instituto extremamente importante para as legislações aplicáveis ao contexto tecnológico em razão de que essas leis, em regra, são principiológicas, ou seja, apresentam princípios e fundamentos que norteiam a atividade, mas não procedimentalizam, não indicam detalhes de como o disposto deve ser atendido.

Em razão de a matéria de privacidade nunca ter sido protagonista de uma legislação específica no Brasil, há praticamente todo o mercado para ser regulado nas diferentes verticais e nas empresas de distintos portes.

Do ponto de vista prático, nossa autoridade lançou neste ano uma agenda regulatória que pode ser acessada pelo link https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313 que estabelece os processos regulatórios no biênio 2021-2022.

Até o momento tivemos duas tomadas de subsídios sendo a primeira sobre a regulamentação diferenciada para microempresas e empresas de pequeno porte e incidentes de segurança e, embora a ANPD tenha participado de diversos eventos cujo principal tema seja a regulamentação da privacidade no cenário brasileiro, nenhum ponto específico da regulamentação foi apresentado.

Este cenário sob todos os aspectos é extremamente danoso ao setor produtivo, sobretudo porque paralelamente à lentidão do processo de regulamentação está se aproximando a data a partir da qual poderão ser aplicadas multas em casos de não conformidade com a LGPD, prevista para 01 de agosto de 2021.

Além disso, todas as empresas que têm envidado esforços para entrar em conformidade com a Lei 13.709/2018 têm inúmeras perguntas sobre quais serão os parâmetros a partir dos quais os programas de governança de dados serão avaliados.

Nesse sentido, decisões regulatórias que são fundamentais para o planejamento e aplicação dos referidos programas restam profundamente prejudicadas. Como exemplo, podemos citar a indefinição sobre a conduta a ser adotada pelas empresas em relação aos bancos de dados constituídos antes da entrada em vigor da LGPD. É previsto expressamente pela lei, nos termos do artigo 63, que a Autoridade Nacional de Proteção de Dados (ANPD) estabelecerá normativas relacionadas à base legada, como são popularmente conhecidos tais bancos. No entanto, até o presente momento, e a pouco tempo do início da possibilidade de aplicação das penalidades, nada foi deliberado acerca deste tema.

As metodologias hoje aplicadas para a construção desses programas foram pautadas nas experiências da União Europeia e nas boas práticas, especialmente da Segurança da Informação, mas sem nenhum parâmetro estabelecido pela autoridade brasileira o que traz para as empresas uma enorme insegurança jurídica.

A partir dessas dificuldades, tanto o setor produtivo, como a comunidade acadêmica tem trabalhado numa agenda propositiva para compor esforços junto à autoridade brasileira na aceleração do processo de regulamentação, com base na autorregulação regulada (Enforced Self-Regulation) por meio da qual as entidades poderão contribuir apresentando seus frameworks de governança em proteção de dados para o órgão regulador avaliar e validar, se for esse o entendimento.

O consenso hoje no Brasil, é de que o caminho da autoregulação regulada seja o mais viável e mais eficiente para a nossa realidade não apenas em função da velocidade do processo, mas também e, principalmente, pela contribuição de diversos especialistas cujas visões práticas e teóricas podem em muito contribuir para a construção de uma regulamentação que atenda ao nível de maturidade sobre a matéria no mercado.

Ademais, a aplicação da autoregulação regulada permitirá que aspectos práticos sobre assuntos tangentes à Lei Geral de Proteção de Dados sejam levados em conta no momento da propositura das soluções reguladoras, vez que a participação diária nas rotinas profissionais e acadêmicas proporcionam visão mais ampla e efetiva acerca das reais necessidades e prioridades do setor.

De toda forma, é preciso que a ANPD corra contra o tempo para regulamentar a maioria dos temas possíveis, a começar pelos de maior relevância, que se relacionem diretamente com condutas passíveis de autuação, sob pena de um “esvaziamento” da aplicação da Lei Geral de Proteção de Dados em razão da ausência de regulamentação.