Desde a sanção da Lei Geral de Proteção de Dados, o tema “privacidade” fez parte de conversas, reuniões e demandas jurídicas voltadas à adequação das novas exigências legais. Em paralelo a esse movimento, a Autoridade Nacional de Proteção de Dados (ANPD) iniciou a atuação regulamentando alguns pontos relevantes – como a comunicação de incidentes – e investindo na conscientização sobre alguns temas mais sensíveis – o uso adequado dos cookies, por exemplo.
Passados esses primeiros anos, agora, é preciso pensar o que esse tema reserva para 2023. A ANPD, na agenda regulatória 2023-2024, deixou explícito que continuará o trabalho de regulamentação de temas extremamente relevantes, com destaque para:
- Direitos dos titulares de dados pessoais: a Autoridade deve orientar os agentes de tratamento sobre a regulamentação de temas relevantes como, por exemplo, a forma de confirmação da identidade do titular que solicitou o exercício de determinado direito perante a organização. Isso já foi feito por autoridades de proteção de dados na União Europeia – a autoridade inglesa (ICO) orienta as organizações sobre como lidar com as verificações de identidade dos titulares requerentes e as situações em que a organização pode, por exemplo, relativizar a confirmação da identidade de determinado titular;
- Transferência internacional de dados pessoais: a Autoridade deve regulamentar os art. 33, 34 e 35 da LGPD e avaliar o nível de proteção de dados do país ou organismo internacional para regular as hipóteses em que serão permitidas as transferências internacionais de dados pessoais;
- Encarregado pelo tratamento de dados pessoais: a ANPD deve estabelecer regramentos complementares sobre a função do encarregado listando, inclusive, hipóteses sobre a dispensa da necessidade de indicação, o que pode ser extremamente relevante para empresas cuja atividade não envolve, substancialmente, o tratamento de dados de pessoas físicas;
- Relatório de impacto e definição de “alto risco” e “larga escala”: a ANPD sinalizou que deve regulamentar a elaboração de relatórios de impacto por parte dos controladores para os casos em que o tratamento representa alto risco. Provavelmente caminhará em paralelo à definição do que é tratamento de “alto risco” ao titular de dados e “larga escala” – conceitos trazidos pela LGPD, mas cuja ausência de definição causa dúvidas aos agentes de tratamento e consultorias.
Além disso, a Autoridade deverá iniciar a aplicação das sanções administrativas previstas na lei, o que deve chamar a atenção do mercado. Isso sem esquecer da forte atuação do Poder Judiciário sobre o tema nos últimos anos, o que tende a continuar agora em 2023. Exemplo disso são as inúmeras decisões proferidas pelo Judiciário, especialmente no âmbito trabalhista, baseando os entendimentos em diversos dispositivos da LGPD.
Parte das organizações já investiu em projetos de adequação e devem lidar com a questão da aplicação prática dos controles e avaliações de privacidade diariamente. É importante lembrar que a LGPD exige a demonstração da adoção de medidas eficazes e capazes de comprovar a adequação à LGPD. Ou seja, é necessário prestar contas acerca do que foi feito e por qual motivo.
Para essa comprovação é fundamental haver acompanhamento e mensuração do programa de governança em privacidade criado, além de conscientização e engajamento interno quanto ao tema.