Para diretor-presidente da ANPD, maioria entendeu ‘recados dados pela LGPD’
Mas há empresas que precisam de sanções, diz Waldemar Ortunho Júnior. Norma a ser publicado em fevereiro deve finalmente regrar aplicações de multas
A Autoridade Nacional de Proteção de Dados, ou simplesmente ANPD, recebeu durante 2022 pouco mais de 1,1 mil denúncias e 703 petições de pessoas físicas, além de 287 comunicados de incidentes de segurança envolvendo dados. Isso gerou 40 processos de fiscalização, com 16 concluídos e outros 16 em curso.
Como a autarquia adota os princípios da regulação responsiva – ou seja, prefere orientar e prevenir incidentes do que sancionar e multar –, apenas oito desses processos devem resultar em penalidades de fato. O problema é que esses oito ainda aguardam uma “norma de dosimetria” para que as sanções possam ser de fato aplicadas, incluindo eventuais multas em dinheiro – que podem chegar ao valor máximo de R$ 50 milhões, conforme previsão da Lei Geral de Proteção de Dados, a LGPD.
“Uma multa muito leve a empresa prefere pagar e não cumprir [a LGPD], e o contrário também é valido. Algo impossível de ser pago não vai surtir efeito”, explica ao IT Forum o diretor-presidente da ANPD, Waldemar Ortunho Júnior, em entrevista exclusiva dois dias antes do Dia Internacional da Proteção de Dados. Segundo ele, a dosimetria deve ser publicada em fevereiro próximo.
LEIA NOSSO ESPECIAL: Dia Internacional da Proteção de Dados
Para o diretor, a maioria das empresas do setor está consciente da importância de se adequar à LGPD – muito embora diversos estudos de mercado indiquem que a adequação ainda é lenta ou insuficiente. O executivo inclusive reconhece que “infelizmente tem que ter uma dose [de remédio, se referindo às sanções] para quem não entendeu o recado”.
Confira abaixo trechos da entrevista.
IT Forum: Sábado é lembrado o Dia Internacional da Proteção de Dados. Qual a função da data e como a ANPD a aproveita em iniciativas locais?
Waldermar Ortunho Júnior: A data é mundialmente conhecida em função da “Convenção 108” [assinada em 1981 no Conselho da Europa para a Proteção das Pessoas Singulares]. No Brasil está no Congresso um projeto (PL 2076/22) para termos um Dia Nacional da Proteção de Dados [previsto para ocorrer em 17 de julho]. Aproveitamos [essas datas] para fazer campanhas de divulgação do conceito.
A gente sempre busca uma mudança de cultura em proteção de dados. Então qualquer evento em que possamos trazer à tona a lembrança e a discussão de assuntos relativos, nós aproveitamos.
A ANPD, além de participar de diversos eventos, também faz sua comemoração. Vamos ter um seminário [transmitido ao vivo pelo YouTube na sexta, 27, às 10h]. Eu, diretores da ANPD e do CERT.br [Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil] vamos discutir alguns temas que consideramos relevantes e atuais para proteção de dados no País.
IT Forum: A ANPD foi criada em agosto de 2020, e a LGPD promulgada em 2018. Que balanço o senhor faz do ambiente de proteção de dados no Brasil desde então?
Ortunho Júnior: A autoridade de proteção de dados brasileira é a caçula das autoridades do mundo. Completamos dois anos em novembro [de 2022]. Quem chega por último aproveita os bons exemplos, e esse foi nosso segredo: não repetir coisas que não tiveram sucesso em outros países. Aproveitamos também a experiência das agências reguladoras, inclusive com uma regulação responsiva.
Adotamos medidas como utilizar o próprio setor para regular empresas afiliadas usando a LGPD. Com isso conseguimos, mesmo com estrutura pequena, alcançar diversas conquistas e fazer entregas para a sociedade. Nossa agenda de 2021 e 2022 foi 100% cumprida.
Além disso lançamos guias orientativos. Uma norma a gente sabe que precisa ser bem-feita, há vários tramites a serem cumpridos. Demora de seis meses a um ano para ser aprovada. Muitos temas não estavam na nossa agenda regulatória, e não haveria tempo. A solução foi publicar guias. Deixamos claro que esses guias são uma primeira versão de uma norma, o que foi bem aceito pela sociedade e diversos setores.
Esse ano lançamos a agenda regulatória de 2023 e 2024 com um diferencial: temos quase dois anos de estrada, então pudemos consultar os setores e pegar sugestões. Já tínhamos o Conselho Nacional de Proteção de Dados (CNPD), órgão consultivo que também apresentou soluções. É um guia com mais unanimidade, mais opiniões e visão de outros atores.
IT Forum: No que consiste a nova agenda e que pontos são mais importantes?
Ortunho Júnior: Essa agenda regulatória tem 20 pontos em três fases. A primeira fase são as diversas ações em que já estávamos trabalhando há mais de ano. Deve ter entrega rápida. As demais fases são importantes, mas requerem mais tempo.
A grande novidade em termos de guia, a norma mais esperada e que mexe com todas as empresas, que é a nossa dosimetria. É o último passo para começar a parte de sancionamentos.
Isso não quer dizer que a fiscalização não estava trabalhando. O sancionamento teve uma carência até 1º de agosto de 2021, e a partir dessa data temos diversos processos estudados e conversados com as empresas. Oito processos aguardam publicação da dosimetria para serem concluídos.
Essa semana tivemos um diretor encarregado de ser o relator da dosimetria. Em fevereiro deve ser apresentado e publicado.
IT Forum: Da última vez em que conversamos o senhor comentou que a dosimetria estava em discursão. Com a publicação em fevereiro as multas previstas pela LGPD começam mesmo em 2023?
Ortunho Júnior: Sim. Mas sancionamento não é só multa. Dosimetria é aquela dose, como se fosse um medicamento. A dosimetria busca ser mais justa e eficaz no trato.
Uma multa muito leve a empresa prefere pagar e não cumprir [a LGPD], e o contrário também é valido. Algo impossível de ser pago não vai surtir efeito.
Ela [a dosimetria] tem considerações em que vamos avaliar o dano que aquele vazamento e incidente de dados causou para a sociedade e o titular de dados. Vamos visualizar se existe reincidência, se existiu preocupação em diversas formas por parte da empresa.
É uma forma de ser mais justo em relação ao trato com qualquer incidente de dados.
IT Forum: As multas fariam mais empresas se adequarem à LGPD? Diversos estudos de mercado apontam que a adequação por parte das empresas ainda é insuficiente ou lenta.
Ortunho Júnior: A gente buscou sempre orientar e mostrar que é um diferencial ter responsabilidade sobre um dado de titular que a empresa coletou e é controladora. Eu acho que isso foi aceito por grande parte das empresas, mas infelizmente tem que ter uma dose [de remédio, se referindo às sanções] para quem não entendeu o recado.
A dosimetria e o processo de sancionamento vêm para corrigir quem não assimilou a mensagem. Nós vemos que as grandes empresas estão bem adiantadas em seus processos de adequação. O governo também. Já as pequenas empresas têm mais dificuldade de investimento. Essas estão se adequando e acredito que o sancionamento vai chamar atenção maior e deverá ocorrer.
A adequação já começou, temos essa clara percepção e temos efetuado várias ações educativas. E a tendência é que essas sanções se multipliquem para atingir a todas. Não só empresas, mas também o titular, que não sabe quais são seus direitos.
IT Forum: Aproveitando esse gancho, a conscientização da proteção entre pessoas físicas também é um desafio. Como melhorar isso?
Ortunho Júnior: Nós temos feito acordos de cooperação que produzem uma série de vantagens, uma delas são cartilhas, filmetes, publicações visando o titular em uma linguagem que ele entenda. Com a Senacom [Secretaria Nacional do Consumidor] fizemos uma cartilha, com o CERT.br também fizemos cartilha tratando de vazamento de dados.
É uma forma de chegar na sociedade. Incentivamos o lançamento de revistas em quadrinhos pela Maurício de Souza Produções [da Turma da Mônica, lançado em parceria com o Google] para o público infantil e adolescente. Nós da ANPD estamos buscando ações especiais de comunicação mostrando a importância que os dados tem.
Temos diversas big empresas que usam dados sem custos. E o investimento que [as pessoas fazem] é exatamente disponibilizar seus dados pessoais. Essa preocupação temos e vamos levar cada vez mais à nossa sociedade. Mas leva tempo, é uma mudança de cultura.
IT Forum: A ANPD atua como autarquia desde o fim do ano passado. Como o processo tem evoluído?
Ortunho Júnior: Na criação [da Autoridade] nós tínhamos autonomia técnica e decisória. Com a elevação à autarquia nós ganhamos uma independência orçamentária e funcional. Hoje podemos traçar objetivos de forma independente. Deixamos de ser um órgão de governo para ser um órgão de Estado.
Em 2022 também veio a Emenda Constitucional 115 [que tornou a proteção de dados um direito fundamental]. O assunto proteção de dados passa a ser da esfera federal, sem interferência de estados ou municípios. A interpretação fica com a ANPD.
E a autarquia, independente, também traz mais agilidade.
IT Forum: A ANPD tem um concurso público em análise pelo governo. Qual a razão da ampliação e quais as expectativas? Quantos funcionários devem ser contratados?
Ortunho Júnior: Temos dois anos e não tivemos concurso público. Todo nosso quadro foi conseguido por requisição de pessoas de outros órgãos. Hoje temos 81 funcionários que vieram de outros órgãos. O Reino Unido, que tem uma população bem inferior ao Brasil, tem agências com 900 pessoas. Somos pequenos para o tamanho do desafio.
Estamos mostrando a necessidade de concursos públicos. Já vínhamos trabalhando com a possibilidade [de selecionar] 215 pessoas. com o novo governo estamos retomando esse tema. Acredito que é uma pauta positiva. Acredito que é um assunto unânime, defendido por todos.
Será um concurso para quadro temporário, quatro anos mais um. Com isso teremos tempo não só de estabelecer o tamanho ideal da Autoridade, mas também assimilar essas pessoas. Como a estrutura é pequena não adianta querer um concurso imenso. O país não comporta um salto tão grande.
Nossa estrutura carece de diversas posições. Exemplo disso uma auditoria, que outras autarquias têm, nós não. O TCU em visita recente entendeu nossa situação, o tamanho do desafio, e recomendou à Casa Civil e à [extinta pasta da] Economia que o pleito deveria ser atendido.
IT Forum: Que outras posições são importantes?
Ortunho Júnior: Precisamos de pessoas [atuando] no Congresso em prol do tema. É importante que participemos dessas discussões. Exemplo típico é [o debate sobre] a inteligência artificial. Estamos atentos a isso, mas são ações que precisamos acompanhar melhor.
A ação de comunicação também é importante para a Autoridade. Tenho que ter não só a assessoria de imprensa, mas um departamento de comunicações que divulgue e acelere a transformação da cultura do País, com linguagem apropriada para os setores.
IT Forum: Tivemos uma mudança recente de governo. Proteção de Dados é um assunto que sofrerá mudanças de direcionamento durante a presidência de Lula?
Ortunho Júnior: Nossa missão é bem clara e evidente na LGPD. A LGPD é uma lei viva. A cada modelo de negócio e novidade tecnológica há necessidade de se pensar em alguma mudança em termos de lei. Mas essa missão é do Congresso Nacional e temos que dar suporte de conhecimento quando se tratar do tema. E depois de inserido na Lei é algo a se cumprir.
IT Forum: Existe uma pressão por um mundo cada vez mais ‘open’. Isso se traduz pelo Open Banking, ou Finance, Open Healthcare etc. Como conciliar a preocupação com privacidade com a sanha das empresas e organizações por dados?
Ortunho Júnior: A cada modelo de negócios diferente que surge, nós procuramos entidades envolvidas e mostramos claramente que dados pessoais tem responsáveis. As empresas serão responsáveis por qualquer prejuízo causado ao titular de dados.
Com essa proximidade das entidades, a preocupação da ANPD é que a solução esteja alinhada com a Lei Geral de Proteção de Dados. Temos conversas com o Banco Central e diversas empresas envolvidas [no Open Finance]. Para adequar a melhor solução atendendo sempre o que é exigido pela LGPD.
Aquela ideia principal: a ANPD não veio travar o uso de dados, isso não se volta mais atrás. Mas esse uso tem que ser responsável com relação ao titular.