Aprovada em 2018, a Lei Geral de Proteção de Dados (LGPD) foi tema de encontro promovido pela Amcham nesse mês de dezembro. A diretora da Autoridade Nacional de Proteção de Dados (ANPD), Miriam Wimmer, fez um balanço dos cinco anos da aprovação da legislação brasileira e abordou a agenda regulatória para 2024.
Segundo ela, o foco inicial foi a promoção da cultura de proteção de dados para capacitar a população a compreender seus direitos. Nesse período, buscou-se estabelecer acordos de cooperação técnica com a Secretaria Nacional do Consumidor (Senacon), Conselho Administrativo de Defesa Econômica (Cade) e organismos internacionais para ter um ambiente coeso. “Regulamentar o que fosse necessário para viabilizar que os agentes de tratamento pudessem cumprir com a LGPD, com base nessa ideia de promoção de melhores práticas e de responsabilidade do setor privado e público”, explica a diretora.
Miriam ressaltou a importância dessa opção da ANPD por uma abordagem responsiva para incentivar o bom comportamento. “A ideia era partir de uma visão mais estratégica da fiscalização. Primeiro o monitoramento, e depois diferentes medidas de atuação regulatória para promover a conformidade, expedindo orientações com prazo para corrigir. Somente ao final desses processos, partir para a etapa de sanções administrativas”, lembrou.
Agora, a ANPD ingressa numa nova fase em que a base fundamental dos regulamentos já está estabelecida. “É possível fazer uso do pacote completo da LGPD, inclusive com aplicação de multas e determinação de suspensões de práticas de tratamento de dados que sejam irregulares”, acrescentou.
Boas práticas
O encontro na Amcham também contou com a participação de executivas do setor privado. A Data Protection Officer (DPO) da Prudential do Brasil, Sabrina Calixto, destacou o processo para obtenção do certificado ISO 27701, que especifica quais são os requisitos e fornece diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de Gestão de Privacidade da Informação (SGPI).
“Em 2021, conseguimos o ISO de segurança da informação buscando as melhores práticas de governança e amadurecimento no tema. No final de 2022, iniciamos uma jornada para alcançar essa certificação em gestão de privacidade que durou dez meses, que contou um assessment, uma auditoria interna e duas auditorias externas”, disse ela.
“Um grande diferencial foi ter a alta liderança apoiando o projeto como prioridade estratégica. Foi essencial para o sucesso, porque trabalhamos com 14 áreas diferentes dentro da companhia, envolvendo mais de 70 pessoas”, explicou a encarregada dos dados da Prudential. “Obter a certificação traz vantagens como a transparência em seus processos, a cultura de melhoria contínua, além de gerar credibilidade com clientes, colaboradores, franqueados e parceiros de negócios.”
O Mercado Livre elegeu o padrão da LGPD brasileira para nortear a atuação na área de proteção e privacidade de dados. “Embora fosse a legislação mais jovem, a gente entendeu que seria um padrão mais rígido, considerando os nossos vizinhos Uruguai e Argentina”, afirmou a DPO Brasil do Mercado Livre, Samantha Oliveira.
Samantha disse, ainda, que o Mercado Livre foi a primeira empresa da América Latina a publicar o relatório de transparência relacionado aos direitos ARCO: Acesso, Retificação, Cancelamento e Oposição. “Estamos na sexta edição. Foram mais de um milhão de pedidos atendidos em toda a América Latina.”
O Brasil responde por 507 mil desses pedidos de direitos de titulares. “Embora sejamos um país jovem na área de privacidade, a gente continua na liderança e tem um número bastante significativo. O Brasil sempre esteve nessa dianteira nos outros relatórios”, destacou a encarregada dos dados do Mercado Livre.
Com relação ao tempo para o atendimento dos direitos dos titulares, a executiva salientou que existe um desafio interno para atender as demandas num prazo menor do que os 15 dias previstos em lei. “Atualmente, 82% dos pedidos dentro da nossa plataforma são atendidos num curto período, praticamente de forma automática pelo titular”, garantiu.
Agenda regulatória
A diretora da ANPD também abordou a agenda regulatória, elaborada para um período de dois anos. “A primeira agenda teve dez itens, e vários foram transportados para a segunda porque foram iniciados, mas não foram concluídos. É o caso das transferências internacionais, os direitos do titular, relatório de impacto, o papel do encarregado”, informou.
Para o próximo biênio, Miriam disse que serão tratados assuntos como inteligência artificial, a questão do compartilhamento de dados no poder público e uso de dados biométricos, como o reconhecimento facial, por exemplo. “Muitos temas já estavam no campo de estudos ou eram demandas que a sociedade nos trouxe. São temas que a gente começa a enfrentar e que devem ser transportados para a próxima agenda regulatória, caso não sejam concluídos nesse período.”
Alguns temas estão em fase final, mas não existe uma meta de regulamentos aprovados. “Esse ano, a gente fez consulta pública sobre transferência internacional, sobre a norma do encarregado. Agora a questão do incidente de segurança. São temas que estão mais maduros e tendem a gerar um regulamento aprovado num prazo mais curto”, explicou.