Doutor em Direito Administrativo e presidente da Comissão Especial de Proteção de Dados da OAB-Federal, Flávio Henrique Unes Pereira foi um dos palestrantes do Fórum de Debates CNT “LGPD no Setor de Transporte – Novas Rotinas para Adequação à Lei”, realizado esta semana. Nesta entrevista, o especialista ressalta o papel da Autoridade Nacional de Proteção de Dados em estabelecer critérios e mediar conflitos. Ele fala também sobre a possibilidade de cada setor da economia homologar seus programas de compliance e, assim, se precaver de eventuais questionamentos. Confira:
O primeiro aspecto a ser ressaltado é a importância das nomeações. Sem elas, não se inicia a organização desse tão importante órgão regulador. E a importância da ANPD decorre mesmo de suas atribuições legais, que são muitas e estão elencadas no art. 55-J, da LGPD (Lei Geral de Proteção de Dados Pessoais). A regulamentação da LGPD, por exemplo, caberá a essa Autoridade, bem como a fiscalização do cumprimento da lei e a imposição de sanções administrativas. Isto é, a efetividade da norma dependerá das atividades da ANPD. Para além disso, caberá a ela receber as petições dos titulares de dados, os quais poderão reclamar o cumprimento das obrigações legais.
De fato, essa é uma preocupação plausível. O ideal, tal como previsto inicialmente no projeto de lei, seria que a ANPD fosse constituída como uma agência reguladora, ou seja, como uma autarquia especial. Quando se cria uma autarquia especial, garante-se maior autonomia administrativa e, especialmente, técnica na execução das competências legais. O Executivo, por meio da Administração Direta, não tem, nesse cenário, os mesmos poderes ou prerrogativas que existem quando se trata de um órgão dentro do Executivo. A LGPD, contudo, no art. 55-A, criou a ANPD como órgão dentro da estrutura da Presidência da República, dispondo, no parágrafo primeiro, que a natureza jurídica será transitória, podendo, dentro de determinado prazo, ser transformada em entidade da Administração Pública Indireta. Assim, é possível que essa questão volte a debate visando garantir maior autonomia técnica por parte da ANPD.
De fato, as sanções são pesadas, podendo chegar a R$ 50.000.000,00 por infração. Daí a importância de a ANPD regulamentar o tema para estabelecer critérios mais detalhados, tendo em mira a proporcionalidade na aplicação de sanções, porquanto se trata de princípio de estatura constitucional.
O art. 50 da LGPD não previu apenas a autorregulação, porquanto dispôs, também, no seu parágrafo terceiro, que os regulamentos poderão ser reconhecidos pela ANPD. Isto é, haveria uma verdadeira co-regulação ou autorregulação regulada, na medida em que caberá ao órgão regulador validar a disciplina elaborada pelas empresas ou associações. Esse aspecto é de suma importância, pois conferirá segurança jurídica aos procedimentos criados pelas empresas e associações, uma vez que a regulamentação seria validada pelo órgão regulador, a afastar questionamentos posteriores quanto às regras que devem incidir sobre determinado setor. Essa autorregulação regulada poderá ser um farol para centenas de empresas de um mesmo segmento, de modo a dar maior eficiência na implementação de programas de compliance por parte de cada empresa, especialmente se o processo for liderado por associações de classe.
É preciso que as empresas tenham consciência dessa nova cultura acerca do tratamento de dados pessoais. De imediato, é preciso fazer um mapeamento do fluxo dos dados que são tratados. É preciso saber quais são esses dados, para que servem, qual a necessidade e a finalidade na colheita e no tratamento desses dados. A partir daí, será possível avaliar os riscos que tal fluxo de dados acarreta para a empresa, ao mesmo tempo que deverá ser elaborado um plano de conformidade. Feito isso, cabe revisão dos contratos, seja com fornecedores, seja com os próprios empregados ou parceiros da empresa. Neste momento, é hora de colher consentimento expresso do titular de dados para o tratamento de dados, bem como verificar quais seriam as obrigações de cada um nessa cadeia de suprimentos. O treinamento e o monitoramento do fluxo de dados são atividades constantes, especialmente porque a ANPD poderá requisitar relatório de impacto na proteção de dados. Essas são as ações básicas que devem ser adotadas pelas empresas neste primeiro momento.
>> Leia também:
Fórum de Debates CNT traz visões sobre a Lei Geral de Proteção de Dados Pessoais
Empresas devem mapear fluxo de dados para se adequar à LGPD