Blog

"O desafio agora é incentivar o compliance e aumentar a conscientização", diz diretora da ANPD

A Diretora da Autoridade Nacional de Proteção de Dados - ANPD, Miriam Wimmer, concedeu uma entrevista à International Association of Privacy Professionals (IAPP), na coluna do The Privacy Advisor, sobre seu trabalho e o cenário atual de proteção de dados no Brasil.
 
Miriam é Doutora em Políticas de Comunicação e Cultura pela Faculdade de Comunicação da UnB e Mestre em Direito Público pela UERJ. Ocupou cargos de assessoramento e direção em diferentes organizações, como a Agência Nacional de Telecomunicações - Anatel (2007-2011), o Ministério das Comunicações (2011-2016) e o Ministério da Ciência, Tecnologia, Inovações e Comunicações (2016-2020).
 
Confira na íntegra a entrevista!
 
The Privacy Advisor:  Em primeiro lugar, o que significa para você ser indicada para a ANPD? Foi uma surpresa?
 
Miriam Wimmer: Na verdade, fiquei surpresa e honrada com a nomeação para ser uma diretora da ANPD e estou muito animada com a oportunidade de ajudar a construir a primeira autoridade de proteção de dados do Brasil. Como funcionária pública, trabalho há muitos anos com questões de proteção de dados e estive profundamente envolvida nas discussões que levaram à aprovação do LGPD em 2018. Nesse sentido, é, para mim, pessoalmente, um grande privilégio poder trabalhar na efetiva implementação do LGPD e ajudar a promover essa importante mudança cultural no Brasil no que diz respeito à privacidade e proteção de dados pessoais.
 
The Privacy Advisor: O conselho de diretores parece ser diversificado no que diz respeito à privacidade. Como as diferentes competências de cada diretor ajudarão a ANPD a ser um regulador eficaz?
 
Miriam Wimmer: A ANPD é chefiada por um conselho de cinco diretores, em um modelo semelhante ao que temos com as agências reguladoras no Brasil. É claro que há vantagens e desvantagens em ter um conselho de diretores em vez de um único comissário - como é o caso em alguns outros países. Em minha opinião, especialmente neste momento, enquanto estamos criando as bases de nosso DPA, tem sido muito útil ter um conselho de diretores com experiências diversas. Como estamos construindo a ANPD do zero, é necessário um conjunto muito diversificado de habilidades. O conselho de administração da ANPD inclui membros com formação jurídica e técnica e com experiências profissionais variadas nos setores público e privado. Essas perspectivas diversas foram extremamente valiosas nesta fase inicial de constituição da ANPD.
 
The Privacy Advisor: O plano estratégico da ANPD para 2021-23 tem como foco principal o "fortalecimento da cultura de proteção de dados pessoais". Você pode descrever a definição de fortalecimento da ANPD a esse respeito? Que iniciativas ajudarão a apoiar este conceito?
 
Miriam Wimmer: Na verdade, promover uma mudança cultural no que diz respeito à privacidade é talvez a nossa missão mais importante. Ao contrário dos países europeus, com um longo histórico de leis, instituições públicas e decisões judiciais sobre privacidade e proteção de dados pessoais, esta é uma discussão muito recente no Brasil. Antes da aprovação da LGPD, tínhamos um quadro jurídico muito fragmentado, com uma manta de retalhos de regras horizontais e setoriais de difícil navegação.
 
A aprovação do LGPD foi, sem dúvida, um primeiro passo muito importante, e o desafio agora é incentivar o compliance e aumentar a conscientização. Listamos uma série de iniciativas que apoiarão esse objetivo, que incluem projetos de capacitação, elaboração de diretrizes e recomendações, monitoramento de violações ao LGPD e promoção de engajamento construtivo com organizações públicas e privadas, incluindo organizações internacionais e DPAs em outros países. Nesse sentido, já iniciamos a negociação de acordos de cooperação com a Secretaria de Relações do Consumidor do Brasil, com o Comitê Gestor da Internet no Brasil e outros órgãos públicos que podem nos auxiliar no cumprimento desse objetivo.
 
The Privacy Advisor: No que diz respeito a uma estratégia regulatória inicial, você e seus colegas diretores acreditam que a orientação ou as ações de fiscalização ajudarão a definir melhor as expectativas e os padrões para a conformidade com a LGPD? Pode haver equilíbrio entre os dois?
 
Miriam Wimmer: O conselho tem sido muito aberto sobre a importância da educação e orientação para estimular a conformidade LGPD. É claro que a LGPD fornece uma estrutura que busca promover a responsabilidade corporativa e se baseia não apenas em formas tradicionais de regulamentação de comando e controle, mas também em formas de regulamentação mais responsivas. Embora acreditemos firmemente na importância de fornecer orientação e promover um comportamento responsável por parte dos controladores e processadores, é claro que também é necessário poder aplicar sanções quando necessário. Nesse sentido, o desafio é, de fato, encontrar um meio-termo entre a orientação e a aplicação para garantir que os direitos do titular dos dados sejam protegidos de forma adequada.
 
The Privacy Advisor: Com as sanções administrativas da LGPD programadas para entrar em vigor em 1º de agosto de 2021, devemos esperar ver ações rápidas e decisivas quando essa data chegar? Existe alguma preocupação em ser muito forte ou muito fraco quando é hora de começar a cumprir as penalidades?
 
Miriam Wimmer: Atualmente, estamos trabalhando no regulamento que definirá as metodologias de cálculo das multas e os procedimentos administrativos de aplicação das sanções. Antes da aprovação, ele também deve ser submetido a uma avaliação de impacto regulatório, consulta pública e audiência pública.
 
É importante notar que a LGPD também prevê uma série de parâmetros que devem ser observados na aplicação de sanções, que incluem aspectos como a boa-fé do infrator e a adoção de mecanismos e procedimentos internos que possam minimizar os impactos negativos da violação. As sanções só podem ser aplicadas após um procedimento administrativo que forneça todas as oportunidades de defesa.
 
Por todos esses motivos, estamos confiantes de que conseguiremos encontrar o equilíbrio certo quando começarmos a cumprir as penalidades.
The Privacy Advisor: Programadas para a parte 2022 do plano estratégico, estão as diretrizes para as transferências internacionais de dados. Com a atenção que está sendo dada às transferências na UE e nos EUA, houve alguma ideia de abordar as transferências de dados no curto prazo, em vez de no futuro? A ANPD tem dicas preliminares sobre como proceder com a transferência de dados nesse intervalo de tempo?
 
Miriam Wimmer: A publicação do nosso plano estratégico e agenda regulatória teve como objetivo comunicar ao público, de forma muito transparente, aquilo que iremos focar nos próximos dois anos. Certamente não foi fácil redigir estes documentos e tivemos que fazer escolhas difíceis em termos de prioridades.
 
Dada a importância dos fluxos de dados transfronteiriços na nossa economia cada vez mais digital, a nossa decisão foi incluir as transferências internacionais na nossa lista de prioridades e iniciar os procedimentos regulamentares formais no primeiro semestre de 2022, depois de tratarmos de questões relativas à implementação doméstica de o LGPD.
 
É importante observar que, embora os procedimentos formais estejam programados para começar no próximo ano, já estamos iniciando discussões com nossas contrapartes em outros países para entender melhor quais mecanismos poderiam ser mais efetivamente desenvolvidos no Brasil.
 
Semelhante ao Regulamento Geral de Proteção de Dados da UE, a LGPD fornece um portfólio de mecanismos para transferências internacionais de dados, incluindo decisões de adequação, cláusulas contratuais padrão, regras corporativas vinculativas e certificações. Nossa prioridade atualmente é identificar quais desses instrumentos devemos nos concentrar em desenvolver para fornecer mecanismos eficazes e descomplicados para organizações, incluindo empresas menores, para transferir dados de e para o Brasil, mantendo um alto nível de proteção de dados para os indivíduos.
 
The Privacy Advisor: Vazamentos de dados no Brasil estão se tornando mais prevalentes e o número de pessoas afetadas está crescendo a cada incidente. Na visão preliminar da ANPD, esse é um problema mais relacionado à crescente sofisticação de malfeitores ou potencial negligência das organizações?
 
Miriam Wimmer: Vazamentos de dados, de fato, se tornaram uma grande preocupação no Brasil, especialmente considerando a extensão das violações e seu impacto na população brasileira. As investigações ainda estão em andamento e ainda não está claro quem é o responsável por esses vazamentos, mas há algumas evidências que sugerem a possibilidade de essas violações de dados não serem recentes, mas o resultado de diferentes vazamentos ao longo de vários anos.
 
Neste ponto, várias organizações públicas estão envolvidas em investigações e na adoção de medidas para mitigar os riscos, e esperamos que esses eventos dramáticos também sirvam como um alerta para as organizações melhorarem seus programas de governança de privacidade e seus mecanismos de segurança tanto do ponto de vista administrativo como técnico.


Fonte: Joseph Duball/IAPP


Voltar