Nova agenda da ANPD: o que esperar da proteção de dados pessoais em 2024?

A ANPD recentemente atualizou sua agenda regulatória para os anos de 2023-2024. Confira aqui o que podemos esperar da proteção de dados pessoais neste ano.

A Autoridade Nacional de Proteção de Dados (ANPD) atualizou, em 27 de dezembro de 2023, a sua Agenda Regulatória para o Biênio 2023-2024, que havia inicialmente sido publicada em novembro de 2022. O documento incluiu alterações pontuais no anexo de temas que serão debatidos nas atividades regulatórias da Autoridade, e nos permite identificar as prioridades definidas pelo órgão e inferir como potenciais regulações podem afetar o ambiente de proteção de dados pessoais no Brasil. Vamos conferir o que mudou no planejamento e o que esperar da atuação da ANPD em 2024?

Primeiramente: uma breve recuperação histórica

A proteção de dados pessoais e a regulação dessa matéria no Brasil nos últimos anos têm sido, em muitos sentidos, uma sucessão de incertezas. A Lei Geral de Proteção de Dados Pessoais (LGPD) foi aprovada em agosto de 2018, após anos de pressão popular por parte de setores como a sociedade civil e a comunidade técnico-científica. No primeiro semestre de 2018, contudo, essa pressão foi somada a uma série de demandas internacionais por parte de blocos geopoliticamente poderosos como os Estados Unidos e a União Europeia, formando o que Danilo Doneda descreveu como uma “conjunção astral” propícia para que uma lei de proteção de dados fosse, enfim, promulgada em terras brasileiras.

A aprovação de uma lei geral de proteção de dados pessoais, contudo, representou apenas o primeiro obstáculo naquilo que pareceu se tornar um verdadeiro evento de atletismo no cenário político-regulatório brasileiro. Após a promulgação da lei, ainda teríamos que esperar mais de 2 anos para que seus enunciados (ou, ao menos, parte deles) entrassem em vigor propriamente. Tratou-se de um novo obstáculo nessa corrida, com inúmeras tentativas de prorrogação da LGPD – algumas bem-sucedidas – e, novamente, muita pressão social para que, enfim, a lei passasse a vigorar.

Este, contudo, ainda não foi o fim da história. Mesmo com a LGPD em vigor, houve uma série de enunciados previstos na lei – especificamente os relacionados às sanções administrativas aplicáveis pela ANPD – que tiveram sua vigência postergada uma última vez, conforme descrevi em maiores detalhes em um blog post que escrevi à época.

Ainda, uma vez que sanados todos os obstáculos regulatórios que se interpuseram até a vigência total da nossa lei geral de proteção de dados, outros desafios se sucederam: e um destes disse respeito à própria Autoridade Nacional de Proteção de Dados (ANPD). Não obstante um atraso para a formação da estrutura administrativa da entidade – que se estendeu até agosto de 2020 –, a Autoridade foi inicialmente criada sob a forma de órgão vinculado à Presidência da República e, portanto, prejudicado em termos de sua independência operacional. Apenas em 2022, após (ainda mais) pressões populares, a agência foi convertida em uma autarquia de natureza especial vinculada ao Ministério da Justiça, o que possibilitou uma maior independência para a entidade.

Percebe-se, portanto, que o avanço da regulação sobre proteção de dados no Brasil ocorreu de forma conturbada e regada de incertezas. Diversas dessas dificuldades pelas quais passamos ao longo de todo esse período, em verdade, trazem repercussões até os dias atuais – e em alguma medida justificam as dúvidas e a descrença que algumas pessoas manifestam sobre essa temática e os instrumentos normativos que lhe dizem respeito.

A proteção de dados pessoais no Brasil hoje

Os principais desafios que hoje se observa no Brasil com relação à proteção de dados pessoais dizem respeito, em sua maioria, à efetivação do arcabouço normativo já vigente e ao aprofundamento desse leque regulatório para elucidar pontos controversos da LGPD e contemplar aspectos mais específicos da proteção de dados pessoais no Brasil – posto que o que temos em vigor hoje no país se trata de uma lei geral de proteção de dados, ou seja, uma legislação de caráter abrangente e que precisa ser complementada mediante regulações adicionais.

O atraso na formação da estrutura administrativa da ANPD, juntamente com uma indisponibilidade de recursos públicos suficientes para que a autarquia desempenhasse a totalidade de suas atribuições legais, resultaram em uma situação em que diversos pontos controversos da LGPD ainda carecem de elucidação através de enunciados emitidos pela Autoridade. A necessidade desses aportes, ainda, repercutiu em uma aplicação “tímida” de sanções administrativas pela própria ANPD – que nos últimos anos tem priorizado atuar de forma a conscientizar pessoas e organizações sobre boas práticas de proteção de dados ao invés de diretamente punir inconformidades legais.

Essa junção de fatores levou a um cenário de relativo esfriamento da pauta de proteção de dados pessoais no Brasil para uma parcela da população que não está cotidianamente em contato com estudos dessa área temática, e repercutiu em comentários no sentido de que a proteção de dados no Brasil “não vingou”.

Contudo, importa ressaltar que a proteção de dados no Brasil, apesar dos avanços significativos que presenciamos nos últimos anos, representa uma garantia legal relativamente incipiente – positivada mediante muita luta por parte da sociedade brasileira para sanar um atraso regulatório de décadas que testemunhamos em nosso país. 

O que mudou na nova revisão da agenda regulatória?

Entrando no tópico central deste artigo: de forma resumida, a nova revisão da agenda regulatória para o biênio 2023-2024 da ANPD alterou pontualmente o anexo de temas prioritários para regulação por parte da Autoridade.

Em mais detalhes, foi feita a reavaliação da prioridade de dois temas que anteriormente eram classificados pelos números 15 e 16 na agenda regulatória da Autoridade (respectivamente, relativos à elaboração de diretrizes para uma Política Nacional de Proteção de Dados e à regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança em proteção de dados). Esses tópicos – agora respectivamente enumerados como os itens 19 e 20 da agenda regulatória (de um total de 20 itens) – eram tratados como “Fase 2” na primeira versão da agenda regulatória da ANPD, e passaram a ser rotulados como “Fase 4”.

A rotulação de tópicos em “fases” representa uma maneira para a Autoridade indicar o nível e prioridade que será dado para cada matéria a ser regulada dentro do espaço de tempo contemplado pela agenda regulatória. Há 4 categorias de priorização, conforme exposto abaixo:

Prioridade temática na agenda regulatória da ANPD:

• • Fase 1, itens cujo processo regulatório foi iniciado durante a vigência da agenda regulatória anterior, relativa ao biênio 2021-2022;
  • Fase 2, itens cujo processo regulatório acontecerá em até 1 ano;
  • Fase 3, itens cujo processo regulatório acontecerá em até 1 ano e 6 meses;
  • Fase 4, itens cujo processo regulatório acontecerá em até 2 anos.

Pode-se perceber, portanto, que a regulação sobre temas relacionados à Política Nacional de Proteção de Dados e às questões relativas a regras de boas práticas e de governança perderam prioridade nesta atualização da agenda regulatória. A alteração, segundo a própria ANPD, se deu a fim de garantir a participação de futuros membros do Conselho Nacional de Proteção de Dados (CNPD – órgão consultivo da ANPD) nesses processos decisórios, bem como para atender à necessidade de conclusão de outros projetos (incluindo a regulação de diversos temas atualmente classificados como “Fase 1” e que ainda não foram objeto de pronunciamentos por parte da Autoridade).

Quanto aos temas que foram remanejados da Fase 2 para a Fase 4, cabe uma breve elucidação. A Política Nacional de Proteção de Dados representa uma iniciativa do Poder Público para unificar e intercompatibilizar os esforços administrativos e regulatórios de todos os atores envolvidos no ecossistema de proteção de dados. Isso inclui, por exemplo, harmonizar a estratégia nacional de proteção de dados pessoais com programas já existentes, como a Estratégia Digital, o Plano Nacional de Internet das Coisas, entre outras iniciativas.

Já as questões relativas a regras de boas práticas e de governança dizem respeito à elaboração de parâmetros para guiar e auferir a adequação das práticas de proteção de dados adotadas por agentes sujeitos aos enunciados da LGPD. Nesse sentido, trata-se de um documento que apresentará maiores detalhes sobre como pessoas e organizações devem interpretar os comandos da lei e adaptar suas práticas para atuar em conformidade com essas obrigações legais.

O que esperar com essas mudanças?

Além dos pontos já levantados como justificativas pela ANPD, a “despriorização” dos temas supracitados também tem como consequência direta uma certa reiteração da prioridade regulatória assegurada aos temas que ainda estão classificados na agenda como “Fase 2” – especificamente, relativos ao compartilhamento de dados pelo Poder Público e ao tratamento de dados pessoais de crianças e adolescentes.

Isso, por sua vez, ilustra uma preocupação da Autoridade com pautas regulatórias que têm causado enorme repercussão nos últimos anos. O compartilhamento de dados pelo Poder Público, por exemplo, tem gerado grandes discussões quanto aos limites para a atuação de entidades da Segurança Pública e à tendência de aumento de práticas vigilantistas pelo Estado, por exemplo. Por sua vez, métodos para controlar e regular o tratamento de dados de crianças e adolescentes têm sido uma pauta emergencial desde o início dos debates sobre privacidade e proteção de dados no Brasil – em especial em um contexto plenamente digitalizado em que esses indivíduos são crescentemente submetidos a rotinas de coleta massiva, indiscriminada e opaca de dados.

Por outro lado, esse maior enfoque que pode ser observado na regulação de temas que estão ligados à proteção de dados nas condutas realizadas pelo Poder Público pode indicar que a fiscalização de entidades privadas seguirá sendo postergada até o próximo biênio. Nesse sentido, é possível que a ANPD mantenha sua atual postura voltada para a conscientização desses agentes particulares – sem que sejam, por exemplo, expedidas sanções administrativas severas como multas e afins em larga escala (por enquanto, ao menos).

Essa abordagem mais amena da Autoridade, contudo, não significa que a proteção de dados é um “território sem lei” no Brasil. É importante lembrar, nesse sentido, que a vigência da LGPD não apenas sujeita as pessoas e organizações às quais a lei é oponível a possíveis sanções administrativas da ANPD, mas também permite que seus comandos legais sejam exigidos perante o Poder Judiciário – que também tem competência para atribuir penas e indenizações por abusos derivados do descumprimento da LGPD. Ainda, vale ressaltar que, embora a ANPD tenda a manter por mais algum tempo uma postura amena e conciliadora, abusos severos dos enunciados da LGPD já têm sido objeto de sanções administrativas de forma relativamente esparsa – o que indica que não há garantia de segurança para pessoas e organizações que atuarem em desconformidade com a lei.

“A LGPD vai pegar?”

Desde que comecei a pesquisar e atuar na área de proteção de dados pessoais, pouco tempo antes de a LGPD ter sido promulgada, em 2018, ouço essa pergunta com uma frequência considerável – e ela parece reaparecer em “ondas”, ao passo em que as discussões críticas sobre proteção de dados e a regulação dessa matéria no Brasil ganham ou perdem protagonismo no debate público nacional. É fato que, desde antes da vigência da nossa lei geral de proteção de dados, a percepção pública sobre a efetividade ou não desses enunciados legais tem flutuado muito – de certa forma, justificadamente, posto que passamos pelos já acima mencionados diversos obstáculos para chegar até onde estamos hoje.

Nesse sentido, importa ressaltar, mais uma vez, que a regulação da proteção de dados pessoais no Brasil é um avanço recente – e que ainda carece de uma série de avanços e de um amadurecimento tanto da cultura da privacidade a nível nacional quanto das instituições que zelam por essa cultura.

A proteção de dados pessoais originalmente caiu no diálogo cotidiano da população brasileira como uma bomba prestes a explodir – o que, em um primeiro momento, passou a impressão de que toda a estrutura normativa e fiscalizatória necessária estaria completa e operante em um piscar de olhos. A realidade, contudo, é que o avanço da matéria no Brasil deve ser conduzido de maneira cautelosa, de forma a possibilitar que a regulação do tema seja construída de forma coesa e democrática.

Nesse sentido, pode-se dizer que a LGPD vai, sim, “pegar”. Não será na base do susto, nem sem o devido amadurecimento das leis e instituições que zelam pela matéria no país – e é provável que isso seja para o melhor. Esse amadurecimento, contudo, não vai – nem deve – ocorrer às pressas: contanto que os avanços nesse sentido sigam ocorrendo de forma consistente.

Tem interesse em temas relacionados a privacidade e proteção de dados pessoais? Confira esse texto do IRIS a respeito da atual discussão judicial sobre a compatibilidade entre os direitos à proteção de dados pessoais e ao acesso à informação através deste link!

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.