Para diretor-presidente da ANPD, maioria entendeu ‘recados dados pela LGPD’

Mas há empresas que precisam de sanções, diz Waldemar Ortunho Júnior. Norma a ser publicado em fevereiro deve finalmente regrar aplicações de multas

Author Photo
8:15 am - 27 de janeiro de 2023
Waldemar Ortunho Júnior, diretor-presidente da ANPD. Foto: Wilson Dias, Agência Brasil

A Autoridade Nacional de Proteção de Dados, ou simplesmente ANPD, recebeu durante 2022 pouco mais de 1,1 mil denúncias e 703 petições de pessoas físicas, além de 287 comunicados de incidentes de segurança envolvendo dados. Isso gerou 40 processos de fiscalização, com 16 concluídos e outros 16 em curso.

Como a autarquia adota os princípios da regulação responsiva – ou seja, prefere orientar e prevenir incidentes do que sancionar e multar –, apenas oito desses processos devem resultar em penalidades de fato. O problema é que esses oito ainda aguardam uma “norma de dosimetria” para que as sanções possam ser de fato aplicadas, incluindo eventuais multas em dinheiro – que podem chegar ao valor máximo de R$ 50 milhões, conforme previsão da Lei Geral de Proteção de Dados, a LGPD.

“Uma multa muito leve a empresa prefere pagar e não cumprir [a LGPD], e o contrário também é valido. Algo impossível de ser pago não vai surtir efeito”, explica ao IT Forum o diretor-presidente da ANPD, Waldemar Ortunho Júnior, em entrevista exclusiva dois dias antes do Dia Internacional da Proteção de Dados. Segundo ele, a dosimetria deve ser publicada em fevereiro próximo.

LEIA NOSSO ESPECIAL: Dia Internacional da Proteção de Dados

Para o diretor, a maioria das empresas do setor está consciente da importância de se adequar à LGPD – muito embora diversos estudos de mercado indiquem que a adequação ainda é lenta ou insuficiente. O executivo inclusive reconhece que “infelizmente tem que ter uma dose [de remédio, se referindo às sanções] para quem não entendeu o recado”.

Confira abaixo trechos da entrevista.

 

IT Forum: Sábado é lembrado o Dia Internacional da Proteção de Dados. Qual a função da data e como a ANPD a aproveita em iniciativas locais?

Waldermar Ortunho Júnior: A data é mundialmente conhecida em função da “Convenção 108” [assinada em 1981 no Conselho da Europa para a Proteção das Pessoas Singulares]. No Brasil está no Congresso um projeto (PL 2076/22) para termos um Dia Nacional da Proteção de Dados [previsto para ocorrer em 17 de julho]. Aproveitamos [essas datas] para fazer campanhas de divulgação do conceito.

A gente sempre busca uma mudança de cultura em proteção de dados. Então qualquer evento em que possamos trazer à tona a lembrança e a discussão de assuntos relativos, nós aproveitamos.

A ANPD, além de participar de diversos eventos, também faz sua comemoração. Vamos ter um seminário [transmitido ao vivo pelo YouTube na sexta, 27, às 10h]. Eu, diretores da ANPD e do CERT.br [Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil] vamos discutir alguns temas que consideramos relevantes e atuais para proteção de dados no País.

 

IT Forum: A ANPD foi criada em agosto de 2020, e a LGPD promulgada em 2018. Que balanço o senhor faz do ambiente de proteção de dados no Brasil desde então?

Ortunho Júnior: A autoridade de proteção de dados brasileira é a caçula das autoridades do mundo. Completamos dois anos em novembro [de 2022]. Quem chega por último aproveita os bons exemplos, e esse foi nosso segredo: não repetir coisas que não tiveram sucesso em outros países. Aproveitamos também a experiência das agências reguladoras, inclusive com uma regulação responsiva.

Adotamos medidas como utilizar o próprio setor para regular empresas afiliadas usando a LGPD. Com isso conseguimos, mesmo com estrutura pequena, alcançar diversas conquistas e fazer entregas para a sociedade. Nossa agenda de 2021 e 2022 foi 100% cumprida.

Além disso lançamos guias orientativos. Uma norma a gente sabe que precisa ser bem-feita, há vários tramites a serem cumpridos. Demora de seis meses a um ano para ser aprovada. Muitos temas não estavam na nossa agenda regulatória, e não haveria tempo. A solução foi publicar guias. Deixamos claro que esses guias são uma primeira versão de uma norma, o que foi bem aceito pela sociedade e diversos setores.

Esse ano lançamos a agenda regulatória de 2023 e 2024 com um diferencial: temos quase dois anos de estrada, então pudemos consultar os setores e pegar sugestões. Já tínhamos o Conselho Nacional de Proteção de Dados (CNPD), órgão consultivo que também apresentou soluções. É um guia com mais unanimidade, mais opiniões e visão de outros atores.

 

IT Forum: No que consiste a nova agenda e que pontos são mais importantes?

Ortunho Júnior: Essa agenda regulatória tem 20 pontos em três fases. A primeira fase são as diversas ações em que já estávamos trabalhando há mais de ano. Deve ter entrega rápida. As demais fases são importantes, mas requerem mais tempo.

A grande novidade em termos de guia, a norma mais esperada e que mexe com todas as empresas, que é a nossa dosimetria. É o último passo para começar a parte de sancionamentos.

Isso não quer dizer que a fiscalização não estava trabalhando. O sancionamento teve uma carência até 1º de agosto de 2021, e a partir dessa data temos diversos processos estudados e conversados com as empresas. Oito processos aguardam publicação da dosimetria para serem concluídos.

Essa semana tivemos um diretor encarregado de ser o relator da dosimetria. Em fevereiro deve ser apresentado e publicado.

 

IT Forum: Da última vez em que conversamos o senhor comentou que a dosimetria estava em discursão. Com a publicação em fevereiro as multas previstas pela LGPD começam mesmo em 2023?

Ortunho Júnior: Sim. Mas sancionamento não é só multa. Dosimetria é aquela dose, como se fosse um medicamento. A dosimetria busca ser mais justa e eficaz no trato.

Uma multa muito leve a empresa prefere pagar e não cumprir [a LGPD], e o contrário também é valido. Algo impossível de ser pago não vai surtir efeito.

Ela [a dosimetria] tem considerações em que vamos avaliar o dano que aquele vazamento e incidente de dados causou para a sociedade e o titular de dados. Vamos visualizar se existe reincidência, se existiu preocupação em diversas formas por parte da empresa.

É uma forma de ser mais justo em relação ao trato com qualquer incidente de dados.

 

IT Forum: As multas fariam mais empresas se adequarem à LGPD? Diversos estudos de mercado apontam que a adequação por parte das empresas ainda é insuficiente ou lenta.

Ortunho Júnior: A gente buscou sempre orientar e mostrar que é um diferencial ter responsabilidade sobre um dado de titular que a empresa coletou e é controladora. Eu acho que isso foi aceito por grande parte das empresas, mas infelizmente tem que ter uma dose [de remédio, se referindo às sanções] para quem não entendeu o recado.

A dosimetria e o processo de sancionamento vêm para corrigir quem não assimilou a mensagem. Nós vemos que as grandes empresas estão bem adiantadas em seus processos de adequação. O governo também. Já as pequenas empresas têm mais dificuldade de investimento. Essas estão se adequando e acredito que o sancionamento vai chamar atenção maior e deverá ocorrer.

A adequação já começou, temos essa clara percepção e temos efetuado várias ações educativas. E a tendência é que essas sanções se multipliquem para atingir a todas. Não só empresas, mas também o titular, que não sabe quais são seus direitos.

 

IT Forum: Aproveitando esse gancho, a conscientização da proteção entre pessoas físicas também é um desafio. Como melhorar isso?

Ortunho Júnior: Nós temos feito acordos de cooperação que produzem uma série de vantagens, uma delas são cartilhas, filmetes, publicações visando o titular em uma linguagem que ele entenda. Com a Senacom [Secretaria Nacional do Consumidor] fizemos uma cartilha, com o CERT.br também fizemos cartilha tratando de vazamento de dados.

É uma forma de chegar na sociedade. Incentivamos o lançamento de revistas em quadrinhos pela Maurício de Souza Produções [da Turma da Mônica, lançado em parceria com o Google] para o público infantil e adolescente. Nós da ANPD estamos buscando ações especiais de comunicação mostrando a importância que os dados tem.

Temos diversas big empresas que usam dados sem custos. E o investimento que [as pessoas fazem] é exatamente disponibilizar seus dados pessoais. Essa preocupação temos e vamos levar cada vez mais à nossa sociedade. Mas leva tempo, é uma mudança de cultura.

 

IT Forum: A ANPD atua como autarquia desde o fim do ano passado. Como o processo tem evoluído?

Ortunho Júnior: Na criação [da Autoridade] nós tínhamos autonomia técnica e decisória. Com a elevação à autarquia nós ganhamos uma independência orçamentária e funcional. Hoje podemos traçar objetivos de forma independente. Deixamos de ser um órgão de governo para ser um órgão de Estado.

Em 2022 também veio a Emenda Constitucional 115 [que tornou a proteção de dados um direito fundamental]. O assunto proteção de dados passa a ser da esfera federal, sem interferência de estados ou municípios. A interpretação fica com a ANPD.

E a autarquia, independente, também traz mais agilidade.

 

IT Forum: A ANPD tem um concurso público em análise pelo governo. Qual a razão da ampliação e quais as expectativas? Quantos funcionários devem ser contratados?

Ortunho Júnior: Temos dois anos e não tivemos concurso público. Todo nosso quadro foi conseguido por requisição de pessoas de outros órgãos. Hoje temos 81 funcionários que vieram de outros órgãos. O Reino Unido, que tem uma população bem inferior ao Brasil, tem agências com 900 pessoas. Somos pequenos para o tamanho do desafio.

Estamos mostrando a necessidade de concursos públicos. Já vínhamos trabalhando com a possibilidade [de selecionar] 215 pessoas. com o novo governo estamos retomando esse tema. Acredito que é uma pauta positiva. Acredito que é um assunto unânime, defendido por todos.

Será um concurso para quadro temporário, quatro anos mais um. Com isso teremos tempo não só de estabelecer o tamanho ideal da Autoridade, mas também assimilar essas pessoas. Como a estrutura é pequena não adianta querer um concurso imenso. O país não comporta um salto tão grande.

Nossa estrutura carece de diversas posições. Exemplo disso uma auditoria, que outras autarquias têm, nós não. O TCU em visita recente entendeu nossa situação, o tamanho do desafio, e recomendou à Casa Civil e à [extinta pasta da] Economia que o pleito deveria ser atendido.

 

IT Forum: Que outras posições são importantes?

Ortunho Júnior: Precisamos de pessoas [atuando] no Congresso em prol do tema. É importante que participemos dessas discussões. Exemplo típico é [o debate sobre] a inteligência artificial. Estamos atentos a isso, mas são ações que precisamos acompanhar melhor.

A ação de comunicação também é importante para a Autoridade. Tenho que ter não só a assessoria de imprensa, mas um departamento de comunicações que divulgue e acelere a transformação da cultura do País, com linguagem apropriada para os setores.

 

IT Forum: Tivemos uma mudança recente de governo. Proteção de Dados é um assunto que sofrerá mudanças de direcionamento durante a presidência de Lula?

Ortunho Júnior: Nossa missão é bem clara e evidente na LGPD. A LGPD é uma lei viva. A cada modelo de negócio e novidade tecnológica há necessidade de se pensar em alguma mudança em termos de lei. Mas essa missão é do Congresso Nacional e temos que dar suporte de conhecimento quando se tratar do tema. E depois de inserido na Lei é algo a se cumprir.

 

IT Forum: Existe uma pressão por um mundo cada vez mais ‘open’. Isso se traduz pelo Open Banking, ou Finance, Open Healthcare etc. Como conciliar a preocupação com privacidade com a sanha das empresas e organizações por dados?

Ortunho Júnior: A cada modelo de negócios diferente que surge, nós procuramos entidades envolvidas e mostramos claramente que dados pessoais tem responsáveis. As empresas serão responsáveis por qualquer prejuízo causado ao titular de dados.

Com essa proximidade das entidades, a preocupação da ANPD é que a solução esteja alinhada com a Lei Geral de Proteção de Dados. Temos conversas com o Banco Central e diversas empresas envolvidas [no Open Finance]. Para adequar a melhor solução atendendo sempre o que é exigido pela LGPD.

Aquela ideia principal: a ANPD não veio travar o uso de dados, isso não se volta mais atrás. Mas esse uso tem que ser responsável com relação ao titular.

Author Photo
Marcelo Gimenes Vieira

Editor do IT Forum. Jornalista com 12 anos de experiência nos setores de TI, telecomunicações e saúde, sempre com um viés de negócios e inovação.

Author Photo

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.