Fórum LGPD | Manifesto do Setor Empresarial | Sanções e Fiscalização (29.07.21)
MANIFESTO DO SETOR EMPRESARIAL PELA SEGURANÇA JURÍDICA
E REGULAÇÃO RESPONSIVA DA LGPD
No momento em que as sanções da LGPD estão próximas de entrar em vigor, o setor empresarial reforça que ainda há muito por fazer rumo à efetiva segurança jurídica e defende a regulação responsiva
A Frente Empresarial em Defesa da LGPD e da Segurança Jurídica foi criada no dia 5 de agosto de 2020. Congrega em torno de 80 entidades empresariais, representando mais de 14 setores da economia brasileira e totalizando quase 80% do PIB nacional, que se reúnem para a defesa da LGPD, a promoção da cultura da privacidade e da proteção de dados pessoais no país e para a necessária segurança jurídica num tema que afeta a todos os brasileiros e organizações.
Autonomia e Fortalecimento da ANPD
Entre os principais itens que reuniram o setor produtivo na Frente Empresarial da LGPD, figuraram a criação da ANPD e a prerrogativa da União para normatizar o tema da privacidade e da proteção de dados no Brasil. Se, por um lado, fomos bem sucedidos na célere criação da ANPD ainda no final de 2020, por outro, ainda é necessário que se discuta a sua efetiva independência. Como é sabido, por limitações da legislação e regulamentos que versam sobre a gestão orçamentária, a ANPD nasceu como parte da Administração Direta.
Vinculada diretamente à Presidência da República, a ANPD goza hoje de autonomia técnica e decisória, mas ainda não possui autonomia orçamentária e funcional. A completa independência das Autoridades de Proteção de Dados figura nas melhores práticas internacionais, como as preconizadas pela OCDE, assim como é um critério relevante para facilitar o fluxo transfronteiriço de dados pessoais com outros países e indispensável para uma potencial Decisão de Adequação da Comissão Europeia, o que tornaria livre o fluxo de dados pessoais com os Estados-Membros de lá. Conclamamos que o Poder Executivo promova, ainda em 2021, um amplo debate acerca da completa autonomia da ANPD com vistas à necessária inclusão de dotação orçamentária para sua autonomia administrativa e funcional no Projeto de Lei Orçamentária Anual e sua subsequente aprovação pelo Congresso Nacional.Ademais, dada a grande relevância da ANPD e da segurança jurídica em uma sociedade cada vez mais impulsionada por dados, é imprescindível que o orçamento tenha como meta permitir, além da criação, o fortalecimento e a ampliação do quadro de funcionários da ANPD, que hoje funciona com pouco mais de 30 funcionários, número que está bem aquém dos observados nas Autoridades de Proteção de Dados nos outros países.
A proteção de dados pessoais deve ser competência privativa da União
Outro pilar fundamental para a concretização do arcabouço normativo da proteção de dados pessoais e para a segurança jurídica é fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais, conforme Proposta de Emenda Constitucional n. 17 de 2019, a qual também visa incluir a proteção de dados pessoais entre os direitos e garantias fundamentais da Constituição Federal.
A PEC 17/2019 teve origem no Senado Federal, já foi analisada por Comissão Especial na Câmara dos Deputados e aguarda sua votação no Plenário da Câmara. Além de diversas ações promovidas por membros do Ministério Público Estadual e Órgãos de Defesa do Consumidor, já há mais de uma dúzia de projetos legislativos municipais ou estaduais para a criação de Autoridades específicas de proteção de dados em Estados e Municípios para regular e aplicar sanções sobre a coleta e o tratamento de dados pessoais e, em alguns casos, estabelecendo bases legais e balizadores distintos da lei federal.
Ademais, apesar de o Supremo Tribunal Federal já ter reconhecido a existência de um direito fundamental de proteção de dados pessoais no Brasil, nos autos da ADPF que declarou a inconstitucionalidade da MP 954/2020, é relevante que o tema seja definitivamente positivado em nossa Carta Magna.
Sem a PEC 17/2019, pode reinar no Brasil total insegurança jurídica sobre o tema, tornando os titulares vulneráveis e reféns de um sistema frágil, afugentando investidores, aumentando ainda mais os custos de se fazer negócio no país e sobretudo dificultando o acesso por
governos, empresas e cidadãos a tecnologias e investimentos tão necessários para a retomada do crescimento econômico do país. Para o avanço da segurança jurídica no tratamento de dados pessoais no Brasil, é indispensável que a Presidência da Câmara dos Deputados paute a PEC 17/2019 para que seja votada no plenário da casa.
Harmonização do ambiente regulatório, aprimoramento da governança estrutural e coordenação entre as autoridades regulatórias
O setor privado tem acompanhado com grande atenção as ações proativas adotadas pela ANPD para a busca de uma harmonização do ambiente normativo em torno da proteção da privacidade e dos dados pessoais no país. Nesse sentido são dignos de aplausos os acordos
de cooperação técnica que a ANPD promoveu junto à Senacon e ao CADE e os esforços junto ao MPF e ao GSI para tal finalidade, como já publicamente anunciados pelo conselho diretor da ANPD. Encorajamos a ANPD a seguir nesses esforços incluindo também agências e organizações reguladoras setoriais, como a Anatel, o BACEN, o CFM, o MEC, a SUSEP entre outras.
Um dos maiores desafios enfrentados pelas agências reguladoras no Brasil é o de se articularem com outros órgãos reguladores que atuam de forma complementar. Embora a LGPD disponha que as competências da ANPD prevalecerão sobre as competências correlatas de outras entidades ou órgãos da administração pública, no que se refere à proteção de dados pessoais, a aplicação dessa disposição, na prática, será um desafio. Nesse cenário, a criação do fórum permanente de comunicação previsto no §4º do artigo 55-J da LGPD é medida prioritária para viabilizar a articulação da ANPD e demais órgãos reguladores, por meio de um processo participativo, com a definição de diretrizes que permita o pleno exercício de cada respectiva competência.
Aplicação da LGPD para as pequenas, médias empresas e startups
Apoiamos a iniciativa da ANPD de inclusão da regulação da LGPD para PMEs e Startups na sua Agenda Regulatória para o biênio 2021-2022 e pela subsequente tomada de subsídios sobre o tema. A proteção dos dados pessoais, como garantia do direito fundamental à privacidade, deve ser exercida considerando o respeito à condição especial das pequenas e médias organizações, de acordo com o seu porte, a sua natureza e o volume de dados tratados.
O debate em torno da fixação de regras mais simples e de um período de transição para que as PMEs e startups se adequem às normas da LGPD, é de suma importância para a sobrevivência e a mantença das suas atividades e para o desenvolvimento econômico das mesmas.
O estabelecimento de regras específicas sobre a obrigatoriedade ou não de encarregado de dados, de relatórios de incidentes, de registro de atividades, da coleta de consentimento assim como de elementos balizadores que tragam segurança jurídica às PMEs face a possíveis exigências draconianas por clientes à título de aplicação da LGPD são fundamentais para a regulação deste segmento empresarial e vitais para sua sobrevivência. Neste sentido, também entendemos que seja pertinente que a ANPD estabeleça um cronograma de conformidade factível para a implantação da LGPD pelas PME’s e startups.
Por fim, se faz necessário definir as melhores formas de regulação responsiva a serem adotadas pelas PMEs e startups para preservar e proteger a privacidade dos cidadãos e, ao mesmo tempo, desonerar a atividade empreendedora, garantindo segurança jurídica aos
negócios, tão necessária para o desenvolvimento econômico do país e a geração de empregos.
Segurança jurídica para as transferências internacionais de dados
Com o avanço da adoção por cidadãos e organizações das tecnologias da informação e das comunicações intensificou-se o fluxo internacional de dados. Comunicações, aplicações, dispositivos conectados, serviços os mais variados do comércio ao setor financeiro dependem cada vez mais desse tipo de compartilhamento transfronteiriço de dados.
A LGPD já prevê as hipóteses taxativas nas quais a transferência internacional de dados pessoais é permitida. Entre elas figuram a autorização prévia pela ANPD para transferências a países ou organismos internacionais que proporcionem grau de proteção de dados
pessoais adequado ao previsto na LGPD. Nesse rol de bases legais para a transferência internacional também existem as Normas Corporativas Globais para transferências entre empresas do mesmo grupo econômico, Cláusulas-Padrão Contratuais definidas a priori pela ANPD, selos e certificações internacionais, entre outros mecanismos que ainda precisam de regulamentação.
No momento em que as sanções administrativas estão para entrar em vigor, ressaltamos a urgência da ANPD providenciar um caminho para que as organizações no país possam continuar a operar e a ter acesso a serviços e tecnologias globais com segurança jurídica.
Em paralelo, encorajamos a ANPD a avançar na sua Agenda Regulatória e a regulamentar todas as possibilidades de bases legais para a transferência internacional previstas na ANPD.
Segurança jurídica em relação às bases legadas
O art. 63 da LGPD determina que a ANPD estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data da entrada em vigor da lei, consideradas a complexidade das operações de tratamento e a natureza dos dados. Com a aproximação da entrada em vigor das sanções administrativas, é de grande relevância que se normatize as bases legadas para que organizações de todos os portes no país possam trabalhar em seus programas de conformidade.
Destarte, a demora na regulação quanto à adequação da base legada (i.e. seja pela variedade de natureza de dados, tamanhos de empresas e segmentos) gera impacto direto no prazo para a integral conformidade das empresas, acarretando insegurança jurídica e maior vulnerabilidade dos titulares de dados.
A atuação educativa da ANPD e o Poder Judiciário
Temos acompanhado com atenção e saudamos os esforços do Conselho Diretor da ANPD em torno do caráter orientativo e educativo das ações da ANPD. Nesse âmbito, é digno de aplausos o amplo engajamento da ANPD em atividades de diálogo com a sociedade e de orientação para as organizações que tratam dados, a exemplo da publicação do Guia Orientativo sobre os Agentes de Tratamento e Encarregados e das inúmeras participações do Conselho Diretor em eventos com a sociedade.
Com a proximidade da entrada em vigor das sanções administrativas, reforçamos a importância de amplas campanhas educativas junto à população brasileira e ao Poder Judiciário em torno dos mais variados temas da LGPD, como direitos dos titulares e seus limites. É inegável o papel de liderança conferido à ANPD para uma efetiva segurança jurídica em torno da homogeneização dos entendimentos sobre a necessária proteção dos dados pessoais e da privacidade e dos limites dos direitos dos titulares de dados.
Do lado do setor empresarial, reforçamos a necessidade e a nossa disposição em promover o debate e o compartilhamento de conhecimento e melhores práticas de mercado junto ao Poder Judiciário. Pilar fundamental para a plena efetividade da LGPD, o Poder Judiciário possui a função de garantir os direitos subjetivos ao tempo em que também exerce vigilância contínua quanto à sua aplicabilidade. Uma efetiva segurança jurídica no Brasil nos temas de privacidade e proteção de dados pessoais dependerá diretamente de que o Poder Judiciário promova, em suas atividades jurisdicionais, a pacificação social tendo como foco as regulamentações oriundas da ANPD bem como as melhores práticas de mercado.
Regulamentação dos Direitos dos Titulares
A normatização e a disciplina das formas de exercício dos direitos dos titulares possuem amplo impacto sobre estes e, também, sobre as empresas e setor público de uma forma geral. Embora a LGPD defina expressamente alguns dos direitos dos titulares de dados, ainda existem muitos pontos de indeterminação (e.g. nos art 9º, 18, 20 e 23 da lei). Reforçamos à ANPD a urgência da regulamentação e de orientações em torno das formas de exercício dos direitos dos titulares.
A título exemplificativo, citamos a complexidade da criação de mecanismos de identificação e autenticação do requisitante para mitigar o risco de fraudes, assim como a forma mais adequada para dar efetividade ao direito a informações “disponibilizadas de forma clara, adequada e ostensiva” sobre o tratamento de seus dados, fornecimento de relatório simples e detalhado, revisão de decisões automatizadas, entre outros. Com a regulamentação prevista, é de se esperar que as empresas possam contar com protocolos objetivos para a divulgação de informações, o que poderá reduzir em muito os custos relacionados à implementação e promover clareza e transparência às informações. Além disso, o artigo 18, que trata dos direitos de requisição do titular em relação ao controlador, previsivelmente terá diretrizes mais claras sobre procedimentos como anonimização, bloqueio ou eliminação de dados desnecessários, entre outras situações.
Fortalecimento da regulação responsiva e as atividades de fiscalização pela ANPD
Há um amplo consenso entre as entidades empresariais em torno da necessidade de o Brasil avançar nas melhores práticas regulatórias internacionais, em especial na regulação responsiva. Louvamos a manifesta tendência da ANPD e do seu Conselho Diretor em pautar sua atuação orientada pelos princípios da regulação responsiva, notadamente amparada no amplo diálogo e colaboração com as organizações representativas dos setores regulados, tomadas públicas de subsídios, amplas consultas públicas e audiências públicas. Todavia, recebemos com preocupação parte da proposta de atuação pela ANPD na proposta de norma para fiscalização aplicação das sanções que veio a Consulta Pública. Se por um lado a proposta traz medidas avançadas de regulação responsiva, como o estímulo à conciliação direta entre as partes e a abordagens orientativas, por outro propôs mecanismo de monitoramento dos agentes econômicos e a classificação e adoção de medidas dos agentes de tratamento anteriores ao contraditório e ampla defesa, sem critérios claros e estabelecidos, fragilizando a segurança jurídica fundamental ao tema. Ademais, incentivamos a ANPD a buscar clareza no texto definitivo com relação a dinâmica de interação e coordenação entre a Autoridade e demais entidades com competência legal sobre temas correlatos, assim como aquelas setoriais.
No que tange à regulação responsiva, reforçamos a importância de que a ANPD avance no reconhecimento de selos e certificações privadas, como forma de promover a difusão da cultura da privacidade e da proteção de dados pessoais, para auxiliar nos processos de adequação das organizações e até como mecanismo adicional para demonstração de conformidade. Externamos a nossa disposição em trabalhar para a criação e difusão de mais modelos e premissas de certificações e selos voluntários pelo setor privado.
Também encorajamos a ANPD a avançar na implementação do art. 50, caput, da LGPD no que tange ao reconhecimento e divulgação de regras de boas práticas e de governança por organizações ou por entidades associativas. Face aos desafios das complexidades advindas das novas aplicações tecnológicas, a LGPD traz, de forma moderna, seguindo as melhores práticas regulatórias, a possibilidade de realização desses códigos de conduta pelo setor privado, permitindo a materialização do conceito de “autorregulação regulada”. Ressaltamos o nosso comprometimento com o estímulo e a promoção desse debate entre os diferentes setores que compõem a Frente Empresarial da LGPD.
A Criação do Fórum Empresarial da LGPD
No ano de 2021, a Frente tem trabalhado para sua conversão no Fórum Empresarial da LGPD no intuito de ser um fórum permanente de interlocução e articulação de ações republicanas do setor privado na defesa da LGPD e da segurança jurídica ligado aos temas de privacidade e proteção de dados pessoais no Brasil. O Fórum LGPD será uma coalizão multissetorial, apartidária, sem personalidade jurídica própria, de entidades, associações e confederações representativas do setor empresarial cuja missão institucional consistirá em trabalhar para garantir a segurança jurídica decorrente da implementação do direito à privacidade e proteção de dados pessoais no Brasil, assim como promover a cultura da proteção de dados no país.
Signatários:
Associação Brasileira da Indústria de Higiene Pessoal Perfumaria e Cosméticos – ABIHPEC Associação Brasileira das Empresas de Infraestrutura de Hospedagem na Internet – AbraHosting Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação – BRASSCOM
Associação Brasileira das Empresas Desenvolvedoras de Sistemas de Informação Laboratorial – LIS BRASIL Associação Brasileira das Empresas Software – ABES
Associação Brasileira das Entidades Fechadas de Previdência Complementar – ABRAPP Associação Brasileira das Instituições Educacionais Evangélicas- ABIEE
Associação Brasileira das Universidades Comunitárias- ABRUC Associação Brasileira de Planos de Saúde – ABRAMGE Associação Catarinense das Fundações Educacionais- ACAFE
Associação dos Profissionais e Empresas de Tecnologia da Informação – APETI Associação Nacional das Universidades Particulares – ANUP
Associação Nacional de Educação Católica- ANEC Associação Nacional de Hospitais Privados – ANAHP Associação Nacional dos Bureaus de Crédito – ANBC
Confederação Nacional de Dirigentes Lojistas – CNDL Conselho de Reitores das Universidades Brasileiras – CRUB
Consorcio das Universidades Comunitarias Gauchas – COMUNG
Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo – FECOMERCIO SP Forum das Faculdades Comunitárias – FORCOM
Sindicato Nacional das Empresas de Odontologia de Grupo – Sinog
Sindicato Nacional das Entidades Fechadas de Previdência Complementar – SINDAPP