Na esteira do principal caso de vazamento de dados do Brasil, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar a aplicação da Lei Geral de Proteção de Dados (LGPD), tornou públicos os primeiros passos de seu funcionamento - a agência teve os diretores nomeados em outubro de 2020. Apesar de as publicações darem sinais positivos de que os motores do novo órgão estão aquecendo, especialistas ouvidos pelo Estadão demonstram preocupações com o projeto.
Foram duas publicações feitas nas últimas semanas: a agenda regulatória para 2021 e 2022 e o planejamento estratégico mirando os próximos três anos. O principal ponto de preocupação em relação à agenda é o fato de ela não ter sido construída em conjunto com o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD). A entidade multissetorial, com integrantes da sociedade civil, tem como papel definir diretrizes para a atuação da agência.
“O artigo 58 da LGPD diz que compete ao CNPD propor diretrizes para a atuação da ANPD”, afirma Flavia Lefevre, advogada do coletivo Intervozes. “Certamente a definição da agenda deveria ter passado antes pelo Conselho”. A entidade, porém, ainda está em processo de formação - o edital de convocação foi publicado pela ANPD apenas na última quinta-feira, 4.
Sobre a agenda, a ANPD disse, em nota ao Estadão, que trata-se de “uma medida adotada voluntariamente com o objetivo de organizar e priorizar as atividades, assim como de dar transparência e previsibilidade à sociedade quanto aos temas que serão endereçados nos próximos dois anos”. A agência afirmou também que “a portaria que aprova a Agenda Regulatória da ANPD explicitamente estabelece que as metas nela previstas poderão ser alteradas por deliberação do CNPD. Assim, após a constituição e funcionamento do conselho, este poderá, naturalmente, opinar quanto a eventuais ajustes à Agenda Regulatória”.
Há também considerações sobre a hierarquização de prioridades da agenda. Na visão de Danilo Doneda, professor do Instituto Brasiliense de Direito Público, o calendário deixou para mais tarde questões que são urgentes, como a transferência internacional de dados pessoais. Segundo a ANPD, essa discussão está prevista para o primeiro semestre de 2022. Esse, porém, é um assunto que aparece em pautas discutidas atualmente - entre elas estão as novas regras de privacidade do WhatsApp e o repasse de informações do app para o Facebook.
“A transferência internacional de dados tem sido discutida no mundo todo e depende da ANPD para começar. Uma empresa que faz comércio internacional precisa de segurança para isso”, diz Doneda. “Além disso, os prazos colocados no documento são para o início dos trabalhos sobre os temas e não para a entrega de resultados".
Dentro das prioridades, também salta aos olhos de especialistas o prazo para o início do processo regulatório de direitos dos titulares de dados pessoais - apesar de a LGPD estabelecer esses direitos, diversos pontos ainda precisam de regulamentação. Na agenda, essa discussão ficou para o segundo semestre de 2022. “Uma definição mais objetiva dos direitos dos titulares deveria ser feita já nesse primeiro ano”, destaca Diogo Moyses coordenador do programa de Telecomunicações e Direitos Digitais do Idec.
Para Doneda, o atraso nesses temas está em conflito com outros que aparecem com mais urgência na agenda. Entre eles está o debate sobre regulamentação diferenciada para microempresas e empresas de pequeno porte. “A regulamentação começou não pelo direito do cidadão, mas pelas exceções em relação às empresas. Isso pode sinalizar que, talvez, haja muitas empresas pressionando a ANPD e poucos cidadãos fazendo o mesmo. Se a agenda regulatória considerar só a questão de demanda, ela corre o risco de ser sequestrada por empresas”, afirma.
Sobre as priorizações, a ANPD disse em comunicado enviado ao Estadão que “a Agenda Regulatória consiste no estabelecimento de um cronograma de trabalho e não na priorização de temas em razão de sua importância.”
A respeito dos direitos dos titulares de dados pessoais, a agência afirmou que a LGPD já traz clareza quanto aos direitos dos titulares, situação que, segundo ela, “não se verifica quanto a outros itens incluídos na agenda regulatória”. Sobre a transferência internacional de dados, disse: “Embora não estejam previstas ações de regulamentação no ano de 2021 quanto ao tema da transferência internacional de dados, o assunto já se encontra em fase de estudos e a ANPD já está em contato com autoridades de outros países com vistas a explorar as possibilidades de cooperação com relação à facilitação dos fluxos transnacionais de dados pessoais”.
Por outro lado, há também quem aponte que a agenda é "realista" - ou seja, ela estaria de acordo com as limitações estruturais do órgão. “A ANPD é vinculada à Presidência da República - há uma limitação e o órgão ainda está sendo constituído. Acredito que os atrasos não sejam falta de interesse, mas sim devido à própria máquina pública e pela demora para instalação para um órgão”, diz Bruna Martins do Santos, da associação Data Privacy Brasil.
Estruturação lenta na crise
O tempo, porém, joga contra a ANPD. A estruturação lenta acontece em meio a uma crise grave: o megavazamento de dados que expôs 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos. Antes disso, outro caso já demandava atenção do órgão: uma falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde deixou expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros, como mostrou o Estadão.
Sobre o caso do vazamento, a ANPD se pronunciou sobre o assunto só oito dias depois da divulgação do caso e, pelo menos, 16 dias após o início da comercialização dos dados.
Em nota ao Estadão em janeiro, a ANPD disse que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes e oficiará para apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação”. O órgão afirmou ainda que “sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados, para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”.
Segundo a TV Globo, a ANPD teria também acionado a Polícia Federal em relação ao caso. O Estadão, porém, apurou que antes da nota de 27 de janeiro a agência não tinha nem ramais telefônicos internos. Uma outra pessoa com proximidade à nova agência afirmou na época que a estruturação caminhava a “passos de tartaruga”.
Segundo especialistas, o megavazamento será uma prova de fogo para a agência. Em janeiro, Bruno Bioni, fundador e professor do Data Privacy Brasil, disse ao Estadão que, apesar de ainda não poder aplicar sanções, a Autoridade pode atuar de maneira cooperativa com outros órgãos reguladores e também entidades de proteção e de defesa do consumidor: “A ANPD pode atuar tecnicamente, verificando quais os melhores caminhos para formatar o plano de contingência. Em um segundo momento, pode desdobrar para punições e sanções. Ela não vai poder se valer da LGPD, mas ela pode atuar de maneira cooperativa com a Senacon, que pode utilizar o Código de Defesa do Consumidor para aplicar multas e sanções”, afirmou.
Até o momento da publicação desta reportagem, as medidas mais duras tomadas por órgãos federais em relação ao vazamento foram a abertura de um inquérito pela Polícia Federal para investigar o caso e a inclusão do megavazamento ao inquérito das fake news, conforme decretado na último quarta-feira, 3, pelo ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes - esta última medida foi tomada após uma investigação do Estadão apontar que as informações de autoridades do poder público estavam expostas. Ainda não se sabe, porém, a origem do vazamento.
Diante da gravidade do cenário, os órgãos federais têm sido cobrados por mais atuação. Na semana passada, o Instituto de Defesa do Consumidor (Idec) revelou com exclusividade ao Estadão que encaminhou uma representação a diferentes autoridades federais cobrando “providências firmes e imediatas” em relação ao megavazamento - cobranças foram direcionadas à Autoridade Nacional de Proteção de Dados (ANPD), ao Banco Central, à Secretaria Nacional do Consumidor (Senacon), ao Ministério Público Federal, à Polícia Federal (PF) e ao Congresso Nacional.
Para a ANPD, especificamente, o Idec pediu uma ampla divulgação do caso em meios de comunicação, a adoção de medidas para reverter ou mitigar os efeitos do incidente e também a coordenação da cooperação entre as autoridades competentes para ações relacionadas ao vazamento.
Uma outra fonte ouvida pela reportagem afirma que a lentidão da ANPD pode abrir espaço para que outros órgãos tomem a frente de casos como o do megavazamento, o que poderia resultar em “perda de legitimidade” da nova agência.
Ao Estadão, a ANPD diz que “está atenta aos desdobramentos sobre o referido caso, e já solicitou apoio de órgãos de investigação. Em breve, intenciona emitir recomendações sobre como a sociedade poderá agir diante desse fato”.
Nascimento conturbado
A ANPD foi um tema de discussão durante toda a elaboração da Lei Geral de Proteção de Dados. Apesar de especialistas terem reforçado ao longo do processo a importância da agência ser independente, o órgão foi criado no ano passado vinculado diretamente à Presidência - especialistas apontam que é uma formatação inédita para agências do tipo no mundo, que normalmente são criadas como órgãos independentes. A estrutura da ANPD foi instituída a partir de um decreto publicado pelo presidente Jair Bolsonaro em agosto de 2020. A responsabilidade pela vinculação à presidência, porém, tem origem no governo Temer - foi o ex-presidente que vetou a autoridade como um órgão da administração indireta na sanção da LGPD, publicada em agosto de 2018.
Para os especialistas ouvidos pelo Estadão, o vínculo com a Presidência é um entrave para a atuação do órgão. “A ANPD ficar dentro da estrutura da Presidência é um conflito de interesses, já que a LGPD se aplica também ao setor público. Ou seja, há uma estrutura que está sujeita à ação regulatória”, afirma a advogada Flávia Lefevre.
Os problemas nesse tipo de configuração ficam claros em casos como o do Ministério da Saúde, no qual a ANPD deveria investigar um órgão público. A depender da origem, que ainda é desconhecida, o caso dos megavazamentos pode resultar em uma situação parecida.
É algo, porém, que pode mudar somente nos próximos anos. A LGPD prevê que, depois de dois anos de exercício da ANPD, haja uma revisão para desvincular o órgão da Presidência da República. A mudança é vista como essencial: “Até hoje, nunca foi um interesse sincero do Executivo ter a proteção de dados forte - era um custo que iria questionar várias políticas de proteção de dados. Apesar de ter sido elaborado o projeto de lei, nunca houve muita simpatia dentro do governo pela LGPD, o Congresso praticamente forçou a barra para a aprovação”, diz Doneda.