A Lei nº 14.010/2020 determinou que os arts. 52, 53 e 54 da LGPD, que versam sobre as sanções administrativas passíveis de serem aplicadas pela ANPD entrarão em vigor no dia 1º de agosto de 2021.
Ou seja, dentro de pouco mais de 30 (trinta) dias a ANPD está autorizada a aplicar todas as sanções previstas nos referidos artigos em razão das infrações cometidas às normas previstas na LGPD, levando em consideração os critérios de dosimetria.
Mas na prática, o que isso significa? Será que é preciso entrar em desespero? Será que a ANPD já possui uma lista negra com todas as empresas que ainda não estruturaram seus programas de privacidade de acordo com o que exige a lei? Essas são perguntas importantes e que podem gerar boas discussões a respeito do tema. Mas para que se possa ter uma ideia melhor do que esperar a partir do dia 1º de agosto de 2021, alguns pontos devem ser levados em consideração.
A Agenda Regulatória para o biênio 2021-2022 e o Planejamento Estratégico 2021-2023 da ANPD
No dia 28 de janeiro de 2021 a ANPD publicou a sua Agenda Regulatória para o biênio 2021-2022 e o segundo item da sua agenda foi a “publicação do Planejamento Estratégico de 2021-2023, contendo os objetivos a serem alcançados pela ANPD e os seus respectivos prazos e as ações estratégicas vinculadas”. Esse planejamento foi publicado pouco tempo depois, no dia 01 de fevereiro de 2021 e está disponível no endereço: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/planejamento-estrategico/planejamento-estrategico-2021-2023.pdf.
O Planejamento Estratégico engloba, basicamente, 3 (três) macro objetivos estratégicos na seguinte ordem:
1) Promover o fortalecimento da cultura de proteção de dados pessoais;
2) Estabelecer ambiente normativo eficaz para a proteção de dados pessoais;
3) Aprimorar as condições para o cumprimento das competências legais.
A necessidade de promover e fortalecer a cultura da proteção de dados pessoais
De acordo com a própria ANPD, o primeiro objetivo “reúne ações estratégicas voltadas à prevenção e à detecção de infrações à LGPD, assim como ações dirigidas à capacitação e à orientação dos agentes de tratamento e da sociedade quanto às normas de Proteção de Dados Pessoais. As ações estratégicas preventivas incluem a promoção de eventos de capacitação e oficinas voltadas ao tema de proteção de dados, e a elaboração de guias e recomendações sobre proteção de dados. A ação de detecção de infrações à LGPD envolve ações de verificação de infrações e seu tratamento adequado pela ANPD, e é executada pela Coordenação-Geral de Fiscalização.”
Logo, percebe-se que a ANPD pretende sim fiscalizar o cumprimento e detectar infrações à LGPD, mas concomitantemente a essa fiscalização, também serão realizados eventos de capacitação e oficinas sobre o tema, elaborados guias e recomendações de proteção de dados (como o guia orientativo sobre as figuras do operador, controlador e encarregado já publicado) e firmados acordos de cooperação técnica nacionais e internacionais
Em outras palavras, a ANPD irá, concomitantemente, fiscalizar o cumprimento da LGPD e promover a capacitação sobre o tema para direcionar titulares e agentes de tratamento sobre as melhores práticas da área.
Algo a ser levado em consideração também são os horizontes temporais indicados pela ANPD para execução dessas tarefas. As atividades de conscientização estão previstas para serem realizadas em curto prazo (até 12 meses), enquanto que a detecção de infrações está prevista para ser executada em médio prazo (até 2 anos), o que leva a crer que em um primeiro momento a ANPD priorizará as atividades preventivas sobre as corretivas
A falta de um fluxo para o Sistema de Incidentes e Reclamações
O Objetivo Estratégico 2 da Agenda Regulatória da ANPD, cujas atividades se iniciarão somente após o andamento das outras previstas no Objetivo Estratégico 1 mencionado acima, diz respeito ao estabelecimento de um ambiente normativo eficaz para a proteção de dados pessoais.
Para se alcançar esse objetivo, uma das ações “é a implementação de um fluxo para o sistema de tratamento de incidentes e reclamações recebidos na ANPD, e objetiva fixar requisitos, prazos, critérios e procedimentos relativos à comunicação de incidentes de segurança e ao recebimento de reclamações de titulares”.
Isso demonstra que a ANPD ainda não possui um fluxo definitivo para o sistema de incidentes e reclamações, de modo que o estabelecido atualmente ainda é apenas provisório e passará por modificações e ajustes. O prazo indicado para concluir essa atividade é de até 6 meses após a entrada da ANPD na fase 2 dos Objetivos Estratégicos e ainda levará algum tempo para estar em pleno funcionamento.
A necessidade de aprimorar as condições para o cumprimento das competências legais
Já o Objetivo Estratégico 3 da Agenda Regulatória da ANPD possui o intuito de concretizar a ANPD como uma instituição sólida e viabilizar a execução de todas as suas atividades, principalmente os demais objetivos mencionados acima, mediante “a garantia de condições físicas, orçamentárias e de recursos humanos adequadas e suficientes para garantir o bom funcionamento da ANPD”.
Dentre as ações estratégicas desse Objetivo estão “o estabelecimento da estrutura definitiva da ANPD, com uma sede física com recursos logísticos e de TI adequados para as atividades da Autoridade”, “a obtenção de orçamento para autoridade e, em sequência, execução de seu orçamento anual, contribuindo para o atingimento do objetivo estratégico e ações correlatas” e “a ampliação do corpo de servidores da ANPD, com vistas à formação de corpo técnico suficiente e capacitado para o novo órgão”.
A previsão para a implementação dessas ações estratégicas está englobada em um horizonte temporal que acontecerá dentro de 12 meses a 5 anos. Isso significa que, mesmo com a LGPD em vigor, as sanções administrativas podendo ser aplicadas e um plano estratégico com marcos temporais e responsáveis técnicos por cada ação definida, muitas questões, inclusive estruturais ainda estão pendentes de criação e ajustes pela ANPD.
Conclusão
A LGPD já está em vigor, as sanções administrativas poderão ser aplicadas dentro de pouquíssimo tempo e a ANPD está se estruturando a cada dia que passa. Obviamente que, a partir do dia 01 de agosto de 2021, penalidades serão aplicadas em empresas que violarem a legislação, como bem determina a própria LGPD.
No entanto, muito provavelmente o ritmo de autuação da ANPD será bem mais lento nesse primeiro momento pelos motivos aqui expostos, relembrando:
- A ANPD sabe que o tema ainda é bastante recente em nosso país e já demonstrou que tem o objetivo de criar uma cultura de privacidade e proteção de dados no Brasil, de modo que muito provavelmente várias das sanções aplicadas devem ficar somente no campo da advertência, com indicação de prazo para adoção de medidas corretivas (art. 52, I da LGPD);
- O Sistema de Incidentes e Reclamações da ANPD ainda precisa ser aprimorado. Apesar de já existir a indicação no site da ANPD de como relatar um incidente de segurança envolvendo dados pessoais, ainda é necessário fixar requisitos, prazos, critérios e procedimentos relativos à comunicação de incidentes de segurança e ao recebimento de reclamações de titulares;
- A própria ANPD reconhece que precisa aprimorar as suas condições para poder exercer as suas competências legais, mediante o estabelecimento de sua estrutura definitiva, a obtenção de um orçamento para atingir os objetivos estratégicos e ampliar o seu corpo de servidores.
Sendo assim, é muito importante que todas as empresas dediquem tempo, esforço e recursos em seus programas de privacidade, pois a LGPD já é uma realidade em nosso país e sanções administrativas passarão a ser aplicadas a partir do dia 01 de agosto de 2021. Contudo, não esperamos, em um primeiro momento, uma “caça às bruxas” por parte da ANPD, seja por falta de gente e de capacidade financeira da Agência para poder promover essa fiscalização com maior precisão e agilidade, seja pelo fato de que há um reconhecimento de que o tema ainda precisa ser difundido e a cultura da privacidade precisa ser aprimorada no Brasil.