DEFINIÇÃO DO ÓRGÃO REGULADOR GERA IMPASSE MAS ALTERA POUCO A AGENDA PARA LGPD

Após o veto ao projeto aprovado no Congresso para a Lei Geral de Proteção de Dados, o Executivo reeditou o texto e prorrogou a data de vigência, inicialmente prevista para fevereiro de 2020 e agora estendida a agosto. A alteração mais polêmica, contudo, está na definição da natureza jurídica e da composição da Autoridade Nacional de Proteção de Dados (ANPD), uma discussão que deve se intensificar até a votação da proposta do Executivo, que deve ocorrer até abril no Congresso. Apesar das questões pendentes, os conceitos, as estratégias, a agenda de implementação, as regras de compliance e os aspectos relacionados ao negócio trazidos pelas regulações de proteção de dados pessoais, na prática, são pouco afetados pelo embate político em torno da LGPD.

Além da garantia do direito individual à privacidade, a LGPD vem com o objetivo de criar um ambiente mais propício aos negócios, com uma legislação equiparável à de países e blocos que já estabeleceram suas leis de proteção de dados, como a GDPR, da União Europeia. À medida que as organizações civis, que tiveram forte influência no debate até então, tendem a ser distanciadas pelos atuais governo e congresso, o papel do setor privado se acentua, no sentido de direcionar os legisladores à regulação que resulte na inserção do Brasil na economia digital global, cujos centros já operam com fortes exigências de governança e segurança de dados.

O que mudou na LGPD e as atuais pendências

Após mais de seis anos de discussão, desde o primeiro projeto de lei em 2012, o texto aprovado pelo Senado em 2018 foi vetado pelo presidente Temer, por entender que a criação de autarquias, como seria o caso da ANPD, é atribuição exclusiva do Executivo.

Entre as últimas medidas do governo anterior e as primeiras do recém-empossado, a Medida Provisória 870/2019, de 1º de janeiro, ratifica a MP 869/2018, publicada em 28 de dezembro, que modifica a Lei 13.709.

A supressão de apenas uma palavra na definição do regulador – que passou de “órgão de administração pública indireta” a “órgão de administração pública” – traz o impasse. Um mês antes da publicação da MP 869/2018, treze entidades do Sistema Brasileiro de Defesa do Consumidor enviaram uma carta ao presidente Temer para enfatizar o pleito de “criação de uma Autoridade de Proteção de Dados Pessoais com autonomia administrativa, financeira e política, participação social e transparência”. Além das questões relacionadas a direitos dos cidadãos, a apreensão é que um regulador subordinado à Presidência da República, sem independência e orçamento próprio, mitigue um dos principais objetivos de Lei, de dar ao Brasil uma legislação “equiparável” às das economias centrais e assim tornar o país um porto seguro para serviços que envolvam dados pessoais.

Outra alteração feita pelo Executivo endereça um ponto de preocupação constatado nas discussões de semestre anterior, de que o papel do regulador fosse diluído por setores do judiciário e outros órgãos, como é o caso do Ministério Público do Distrito Federal, que instituiu sua Comissão de Proteção dos Dados Pessoais em abril do ano passado.

Um artigo introduzido na Lei pela Medida Provisória (Art. 55-K) diz que “a aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, cujas demais competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública”. Em seu parágrafo único, acrescenta que “a ANPD articulará sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afeitas ao tema de proteção de dados pessoais, e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação”.

Debate institucional não afeta políticas de segurança e o trabalho já feito

Evidentemente, a LGPD, a GDPR e outras exigências de compliance (como PCI, SOx etc.) são direcionadores mandatórios nas políticas de segurança de dados. Mas cumprir a Lei é apenas parte do motivo para fazer a coisa certa.

Muitas vezes, pior do que as sanções do regulador é o dano à continuidade de negócios e à reputação causados por incidentes de vazamentos de dados. Nesse contexto, a prorrogação do prazo legal para a vigência de regras mais rígidas não implica afrouxar os projetos relacionados ao controle de dados pessoais e sensíveis.

Em vários casos, a simples constatação de riscos que não foram contingenciados a tempo resultou em fechamento de unidades de negócios ou cancelamento de contratos com terceiros (fornecedores e prestadores de serviços).

A parte técnica da jornada à governança de dados pessoais e sensíveis conta hoje com soluções eficazes e simplificadas, que já são aplicadas dentro das políticas gerais de segurança da informação. O lado jurídico pode parecer mais complicado, mas ainda não é o maior desafio. O trabalho mais pesado é conhecer os dados, os processos e as pessoas (quem, o quê e por que se acessa o dado) que possam gerar maior impacto. É a partir desse mapeamento que se definem os mecanismos de segurança, as ameaças a serem mitigadas e até mesmo o que deve ser simplesmente descartado, quanto o risco e o custo de contingenciamento são desproporcionais ao valor que o dado traz à organização. Sem isso, há a possibilidade de gastar no que não deve e economizar no que não pode.