UMA PEDRA NO CAMINHO DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
A Autoridade Nacional de Proteção de Dados vem se mantendo em silêncio diante de uma série de incidentes preocupantes relacionados a dados pessoais nos últimos meses. Pinçando alguns poucos exemplos, tivemos três vazamentos de chaves do Pix, que ficam sob guarda do Banco Central, e um outro com informações de vacinados, saídos das bases do Conecte SUS, do Ministério da Saúde. Silêncio. O chamado "vazamento do fim do mundo", que teria exposto os dados 240 milhões de perfis armazenados em bases públicas e privadas, continua um mistério. É como se algo assim fosse corriqueiro, banal, inconsequente... E o que dizer da polêmica proposta do governo de compartilhar dados pessoais dos brasileiros com os bancos? Mais silêncio. Um levantamento recente mostrou que a Autoridade tratou de quase 180 procedimentos sobre incidentes de segurança em 2021, mas nenhuma sanção foi aplicada. Silêncio.
A LGPD (Lei Geral de Proteção de Dados Pessoais — 13.708/2018) também tem seus negacionistas. Mas vejamos. A máquina de proteção de dados no Brasil parece estar funcionando bem, considerando seus limites — pouco tempo desde a aprovação, falta de cultura de proteção de dados etc. etc. O Ministério Público já vinha aplicando multas consideráveis embasadas em dispositivos legais anteriores à legislação de proteção de dados. Os Procons e a Senacon estão se movimentando. A Justiça já proferiu quase um milhar de sentenças de alguma forma relacionadas a questionamentos sobre dados pessoais. Empresas, pelo menos as grandes, também já entraram no clima. Note: antes de um alerta de cookies pipocar nas telas de um usuário, há muitas mudanças e adequações que são feitas antes. E a ANPD?
Pode-se argumentar que a agenda da ANPD esteja apertada pela alta carga de trabalho regulatório necessário para dar forma e efetividade às obrigações e penalidades impostas pela LGPD. Por exemplo, a edição das regras mais flexíveis de adequação para agentes de tratamento de dados pessoais de pequeno porte, que foram editadas recentemente. Argumenta-se também que nossa Autoridade começou a operar do zero, há muito pouco tempo e sem estrutura. São fatos. Só recentemente fizeram uma chamada pública para alugar uma sede. Também não seria justo ignorar que seu presidente, Waldemar Gonçalves Júnior, vem mantendo um discurso coerente: primeiro educar, depois multar. Faz sentido. Em outros países, privacidade é um assunto em discussão há mais de 50 anos.
Talvez estejamos impacientes, impactados por outras realidades. As autoridades de proteção de dados na Europa aplicam multas, digamos, exuberantes. O recorde foi estabelecido em março do ano passado pela Espanha, que multou a empresa de telefonia Vodafone em 8,15 milhões de euros. Desde a entrada em vigor da GDPR, em maio de 2018, já foram aplicadas 900 multas no âmbito da Comunidade Econômica Europeia. O ritmo é de uma por dia. Parece mais do que suficiente para chamar a atenção da mídia e criar um clima de tensão, que nem de longe se vê aqui.
Opa. Um momento. Ninguém aqui está falando que é preciso acabar com todas as folhas do talão de multas, ou fazer terrorismo, alarmismo…. Como já se disse, o Brasil não tem cultura de proteção de dados pessoais, as empresas precisam de tempo adequado para se adequar e os titulares, para entender seus direitos. A cautela é muito bem-vinda.
Por outro lado, sabe-se muito bem que é necessário construir uma atmosfera de respeito pela lei. Pela LGPD e por todas as outras. Quem tem a tarefa de vigiar e punir precisa, pelo menos, mostrar que se importa. Estamos falando em "mostrar", deixar claro, sinalizar para sociedade. O Brasil é conhecido por ter leis muito boas no papel e pouco respeitadas na vida real. A aplicação de multas justas, a efetiva cobrança dessas multa e, sobretudo, um posicionamento firme e vigilante das autoridades encarregadas pelo enforcement são fatores de estímulo fundamentais para que a lei seja cumprida. Nesse sentido, o silêncio certamente não é boa política
Além de tudo, existe uma pedra grande e cheia de arestas no caminho da ANPD. Como em política o silêncio costuma ser rapidamente preenchido por especulações, já parece inevitável ouvir ruídos cada vez mais altos sobre a efetividade de um órgão com atribuições tão importantes, que se mantém vinculado e subordinado à Presidência da República. Aliás, não estamos muito bem acompanhados nessa área. Levantamento realizado durante as discussões para a aprovação da LGPD indicaram que dos 120 países que adotaram uma lei de proteção de dados, 80% adotaram o modelo de agência reguladora totalmente independente.
Fica muito mais difícil em um ano eleitoral, que promete um nível de tensão elevado sobre o tema proteção de dados pessoais. Além de fazer o que é correto, a ANPD precisará deixar bem claro cada um de seus passos, precisará demonstrar que não prejudicou esses ou favoreceu aqueles. Passará pelo crivo natural ao qual estão sujeitos todos os agentes públicos. O silêncio não vai ajudar. Nos últimos anos, sem trocadilhos, vimos a autoridade de vários órgãos públicos ser contestada pela ingerência política. Conhecemos a história. Não precisa muito. Bastou um sinal trocado para os garimpeiros se sentirem autorizados e seguros para cavar onde lhes interessa.
Negacionismo em matéria de proteção de dados pessoais é atraso. A LGPD é o passaporte do Brasil para o ingresso na economia de dados, o novo petróleo, como já se disse. O trabalho da autoridade de proteção de dados é importantíssimo para demonstrarmos ao mundo que merecemos o visto. A ANPD tem o desafio de sobreviver às pressões do ano eleitoral. Talvez, melhor dizer, a obrigação. Mais do que tudo precisará provar seu compromisso lutando por sua própria independência.