Você certamente já escutou a frase "dados pessoais são o novo petróleo", falada e repetida em todos os fóruns e discussões. Pois bem, sendo os dados o novo petróleo, não é exagero dizer que o setor de telecomunicações constitui uma gigantesca plataforma. Uma engrenagem complexa de extração e equipada para o refinamento e utilização dos terabytes de informações nela trafegados. Controlando, de certa forma, o fluxo de dados, o setor tem acesso às informações mais diversas de indivíduos e empresas, e delas pode vir a extrair riquezas inimagináveis. Informação é poder.
Uma vez que o setor de telecomunicações está ubiquamente na sociedade e conectado ao gerenciamento, monitoramento e gestão de dados, o tema vem sendo discutido em escala global há alguns anos.
O Parlamento Europeu, por meio do Regulamento (UE) 2016/679 – a GDPR, trouxe importantes garantias aos titulares de dados e simplificou o ambiente regulatório antes parcamente regido pela Diretiva Europeia de Proteção de Dados de 1995. A GDPR corporificou as expectativas da Comissão Europeia de estabelecer e garantir a segurança do chamado na circulação de pessoas, serviços e capital no ambiente cibernético, visando resguardar os dados pessoais de cidadãos europeus.
Não obstante a evidente inspiração trazida pela GDPR para a elaboração da LGPD, a ANPD se depara hoje com as mesmas difíceis questões europeias na busca pela salvaguarda dos dados. O desafio inclui lidar com a agilidade das novas tecnologias e a liquidez das fronteiras em um mundo globalizado e conectado, graças – bem sabemos – ao desenvolvimento e aperfeiçoamento dos serviços de telecomunicações. Seguindo esta linha, a discussão sobre a natureza jurídica da ANPD poderia render bons frutos.
Sabemos que a Autoridade Nacional de Proteção de Dados (ANPD) iniciou suas atividades em 2020, após a aprovação e implementação da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD). Conforme indicado pelo artigo 55-A da LGPD, mais especificamente em seu parágrafo primeiro, a natureza jurídica do órgão é transitória, e não deve ser excluída a possibilidade de que se transforme em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada diretamente à Presidência da República. O prazo para tal transformação é de até dois anos após a entrada em vigor da estrutura regimental da ANPD, ou seja, 2022.
Em junho de 2021, estudos para viabilizar o projeto de transformação foram enviados para o Ministério da Economia. Trata-se de um processo longo, que deverá proceder ainda à aprovação pelo Congresso Nacional, mas que, se bem sucedido, traria mudanças significativas à atuação da ANPD, que pode vir a ser Agência Nacional de Proteção de Dados. Das mais importantes consequências à alteração da natureza jurídica da autoridade, podemos citar a autonomia técnica e orçamentária inerente às autarquias especiais, como, por exemplo, a Agência Nacional de Telecomunicações – Anatel e o Banco Central.
Diretrizes
Lembremos nesse sentido que a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) traçou diretrizes sobre a Privacidade, representando um consenso internacional sobre a orientação geral a respeito da coleta e do gerenciamento da informação pessoal. Em seu Relatório "O Caminho da Era Digital no Brasil", que trata da transformação digital no país, a proteção de dados ganhou destaque. O relatório afirma que a autoridade deve agir com total independência, reforça a relevância da confiabilidade para a transformação digital, estabelece a atuação do SEBRAE junto a pequenas empresas e assinala ainda que, enquanto a GDPR inclui seis bases legais para o processamento de dados pessoais, o artigo 7º da LGPD brasileira lista dez. Sem dúvida, consiste em um desafio equilibrar a proteção de dados e a inovação na economia digital.
Vivemos hoje imersos em cookies, videoconferências, redes sociais, aplicativos de compras e trocas de mensagens. O lema contemporâneo de que "quem não é visto não é lembrado" deixa implícita uma contrapartida enfática: quando somos vistos, ou seja, quando entregamos nossos dados pessoais, somos não apenas lembrados, mas armazenados, enriquecidos, compartilhados. E ao setor de telecomunicações é legada a árdua tarefa de otimizar as conexões e as facilidades sem se descuidar dos cuidados com os titulares de dados. Não podemos deixar a plataforma de petróleo arder em chamas.
A interconexão dá também o tom ao cuidado. Clama pelo diálogo entre os agentes de tratamento e a Autoridade Nacional. O tom responsivo da autoridade foi inclusive exprimido pela consulta pública sobre o regulamento de fiscalização, ocorrida em junho de 2021, bem como pela busca e composição do quadro de servidores com experiência em fiscalização regulatória responsiva. Recentemente, foram implementadas ainda as reuniões técnicas sobre relatório de impacto à proteção dos dados pessoais, com a possibilidade de participação social e especializada, já anunciadas como uma primeira iniciativa que será praticada pela ANPD, inclusive com a realização de audiências públicas.
Além das iniciativas da ANPD, diversos setores, governamentais e privados, escritórios de advocacia e consultorias especializadas têm se preparado para atender à nova onda de demandas sobre o tema. Órgãos públicos têm implementado e nomeado os responsáveis por dados pessoais, denominados Encarregados de Proteção de Dados (Data Protection Officer), ou simplesmente DPOs, que possuem a função de implementar em órgãos e empresas o que é necessário para o cumprimento e observância da lei.
As prestadoras de serviços de telecomunicações em geral já se movimentaram para as implementações necessárias, por meio das mais diversas estratégias. Em alguns casos, foram criados departamentos específicos e dedicados à proteção de dados pessoais; em outros, houve a contratação de pessoas físicas ou jurídicas para exercer o cargo de DPO, além da contratação de consultorias para auxiliar na adequação das operações.
Judicialização
A preocupação com as garantias de conformidade se justifica. Desde o início da vigência da LGPD, já foram emitidas cerca de seiscentas sentenças judiciais dentro da temática de dados pessoais, abarcando inclusive temas ainda incipientes aos agentes do mercado brasileiro, como a coleta de consentimento e a responsabilização por incidentes de dados. A expectativa é de que a ANPD se insira mais nestas discussões a partir de agosto de 2021, quando da entrada em vigor dos artigos da LGPD referentes ao sancionamento.
Por hora, a autoridade se ocupa com uma agenda regulatória aprovada no Dia da Proteção de Dados, 28 de janeiro, extremamente bem pensada e com o elenco de dez temas com classificação de prioridades. A agenda se inicia pelo Regimento Interno, já publicado em 9 de março, seguido pelo Planejamento Estratégico, publicado em 1º de fevereiro. Outros pontos a serem endereçados são o tratamento de dados pessoais de pequenas e médias empresas, incluindo startups; os direitos de titulares de dados pessoais; um normativo para aplicação de sanções; a comunicação em caso de incidentes; diretrizes sobre o relatório de impacto de dados pessoais; estabelecimento de normas complementares sobre o encarregado de dados; transferência internacional de dados; e, por último, previsões sobre as hipóteses legais de tratamento de dados, na forma de um manual de boas práticas. O prazo para desenvolvimento e conclusão dos temas é 2022.
Já o Planejamento Estratégico a ser implementado até 2023 pela ANPD prevê a Missão (zelar pela proteção dos dados pessoais), Visão (tornar-se referência nacional e internacional) e Valores (Ética, Transparência, Integridade, Imparcialidade, Eficácia, e Responsabilidade) da autoridade. Planejamento que possui a função de indicar quais serão os rumos adotados pela ANPD.
A autoridade elaborou ainda o Guia Orientativo para definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, trazendo os esclarecimentos necessários para a atuação dos agentes de tratamento (controlador, operador e encarregado), explicando quem pode exercer as funções concernentes à proteção de dados pessoais junto às empresas e órgãos governamentais. O guia traz exemplos, legislações e aplicações concretas para facilitar a implementação dos dispositivos legais ainda pouco conhecidos no país. Por fim, mais recentemente, a ANPD publicou a Portaria nº 15/2021, que institui seu Comitê de Governança, responsável por definir estratégias institucionais e diretrizes estratégicas transversais relativas a governança pública, gestão de riscos, transparência e integridade na ANPD; planejamento, mecanismos de controle interno e eficiência na gestão administrativa. Com o estabelecimento do comitê, a eficiência administrativa da autoridade será aprimorada.
Então, o que o setor de telecomunicações tem a ver com dados pessoais? Absolutamente tudo. O setor de telecomunicações é transversal e imprescindível para o funcionamento da sociedade moderna. Cabe a nós lubrificarmos as engrenagens nas quais os dados pessoais deslizam a cada segundo. Cabe a nós apertarmos os parafusos e vedarmos nossos meios aos ataques e ilicitudes. Cabe a nós, enfim, a heroica tarefa de realizar o tratamento de dados pessoais à altura de seu valor e importância atuais dentro de um dos setores mais dinâmicos e disruptivos.
*-Sobre as autoras: Amanda Balbão é advogada em temas regulatórios e data privacy. Regina Nascimento é advogada especialista em regulação do setor de telecomunicações do Oliveira Ramos Advogados Associados. Atuou na Telebras, Telemar, Orion Consultores Associados e Anatel. As opiniões expressas nesse artigo não necessariamente refletem o ponto de vista de Teletime.
