1. A vigência da LGPD
A LGPD já está em vigor desde 2020 e, desde 1º de agosto de 2021, as sanções nela previstas já são aplicáveis e exigíveis de todos os agentes responsáveis pelo tratamento de dados pessoais no Brasil.
Com isso, vários setores da economia nacional encontram-se sujeitos e devem observar as previsões da LGPD.
2. Existência de diversas realidades e peculiaridades inerentes a diferentes setores da economia
No entanto, é necessário reconhecer que há várias realidades e circunstâncias inerentes ao funcionamento de cada setor da economia. Embora vários deles possam envolver o tratamento de dados pessoais, não é viável que a LGPD seja aplicada indiscriminadamente a todos os setores.
Não se pretende defender que a LGPD não deve ser aplicada a todos de forma isonômica. Pelo contrário, não se trata disso, mas do reconhecimento de que a aplicação concreta da Lei demandará o exame de realidades específicas dos agentes e dos diferentes setores. A aplicação isonômica da LGPD implica reconhecer a existência de diferentes realidades e peculiaridades atinentes aos diversos setores da economia e examinar a aplicação das regras nela previstas considerando essas circunstâncias.
2.1. LGPD e aplicação a setores profissionais objeto de fiscalização por entidades profissionais de classe
Já se colocou em discussão, por exemplo, a aplicabilidade da LGPD à atividade advocatícia. Há inclusive aqueles que defendem que a atividade advocatícia não poderia se submeter à LGPD, considerando que ela é objeto de regulação e fiscalização por parte da OAB. O Estatuto da Advocacia e as previsões constantes do Código de Ética da Advocacia já regulariam as questões inerentes aos dados pessoais dos clientes dos advogados e, por isso, segundo os defensores dessa posição, não caberia aplicar a LGPD à atividade advocatícia.
A posição é extrema e não é possível adotá-la. A LGPD aplica-se a todos aqueles que tratem dados pessoais – incluindo advogados, médicos, engenheiros, contadores e outras profissões regulamentadas e que estão sujeitas aos órgãos de fiscalização da classe profissional.
2.2. Necessidade de reconhecimento da existência de diversas realidades
Isso não significa que não deva ser considerada a existência de diversas realidades e peculiaridades dessas atividades. Os diversos setores podem apresentar não apenas diferentes graus de tratamento de dados, mas também diferentes realidades técnicas e mesmo de práticas específicas relativamente a cada setor (algumas delas derivadas do cumprimento de outras normas legais e infralegais, como no caso de setores regulados).
A incidência da LGPD a todos os setores da economia e de atuação profissional que acarretem coleta, tratamento e processamento de dados pessoais não significa que a sua aplicação não deva considerar as peculiaridades de funcionamento de cada um.
2.3. Reconhecimento da necessidade de aplicação compatível e proporcional aos setores específicos pela própria LGPD
Prova disso é que a própria Lei prevê, por exemplo, que deve ser considerado o porte da empresa responsável pela coleta e processamento dos dados.
O art. 55-J, inc. XVIII, estabelece que compete à Autoridade Nacional de Proteção de Dados – ANPD “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei”.
Além disso, ao tratar do encarregado, o art. 41, §3º, da LGPD, estabelece inclusive a possibilidade de que a ANPD dispense a necessidade de sua indicação “conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.
3. A ausência da edição de normas pela ANPD
Até o momento, a ANPD não editou normas específicas a serem consideradas para a aplicação da LGPD a setores específicos da economia.
3.1. A agenda regulatória da ANPD
A Portaria nº 11/2021 tornou pública a agenda regulatória da ANPD. Na agenda, menciona-se expressamente que a Autoridade Nacional iria iniciar no primeiro semestre de 2021 o processo de regulamentação a respeito da “Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos”. A regulamentação culminará na edição de resolução específica.
3.2. O processo de regulamentação da ANPD
Por outro lado, a Portaria nº 16/2021 da ANPD aprovou o processo de regulamentação no âmbito da Autoridade Nacional de Proteção de Dados. Conforme reconhecido pela ANPD, a edição de normas regulamentares pela Por outro lado, a Portaria nº 16/2021 da ANPD aprovou o processo de regulamentação no âmbito da Autoridade Nacional de Proteção de Dados. Conforme reconhecido pela ANPD, a edição de normas regulamentares pela Autoridade Nacional envolve a adoção de instrumentos como a análise de impacto regulatório, avaliação de resultado regulatório, consultas e audiências públicas e tomada de subsídios.
3.3. Consulta pública sobre a norma de fiscalização
Em maio de 2021, a ANPD publicou consulta pública consulta pública sobre a norma de fiscalização da Autoridade. Após o período de contribuições da sociedade, ainda não foi editada a resolução que foi submetida à consulta.
3.4. Consulta pública a respeito de normas aplicáveis a pequenas e médias empresas, startups e pessoas físicas
A norma que deverá ser editada para regulamentar a proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos – que consta expressamente da agenda regulatória da Autoridade Nacional – foi submetida a consulta em 30 de agosto de 2021.
Ainda não há perspectiva de sua edição, o que deverá ocorrer algum tempo após o encerramento do prazo para contribuições da sociedade.
3.5. Ausência de perspectiva imediata de edição de normas específicas que considerem a realidade dos setores
Não houve a submissão de nenhuma outra norma a consulta pública pela ANPD.
Ou seja, não há perspectiva de edição de outras normas regulamentadoras da LGPD pela ANPD em horizonte próximo.
Aqueles que acompanham mais de perto a atuação da ANPD até relatam que a Autoridade Nacional tem realizado várias reuniões para discussão de temas específicos, como é o caso do relatório de impacto à proteção de dados pessoais. Segundo Marina Gonçalves Garrote, Nathan Paschoalini, Marina Meira e Bruno R. Bioni, a ANPD vinha discutindo tal tema no final do mês de junho de 2021 (https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/anpd-relatorio-impacto-protecao-dados-pessoais-13072021).
Mas, também nesse caso, não houve ainda edição da norma regulamentadora do art. 55-J, inciso XIII, da LGPD.
4. A possibilidade do estabelecimento de padrões de boas práticas específicos para setores econômicos
A circunstância confirma a relevância da atividade de definição de padrões de boas práticas pelos diversos setores econômicos e indústrias.
4.1. A previsão do art. 50 da LGPD
O art. 50 da LGPD estabelece expressamente que “Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais”1.
A previsão legal é relevantíssima e acaba sendo muitas vezes ignorada, mesmo pelos setores econômicos que envolvem intensa atividade de tratamento de dados pessoais.
Ela estabelece que os controladores e operadores, individualmente ou por meio de associações, podem formular regras de boas práticas e de governança relacionadas ao tratamento de dados pessoais.
Além das associações, é perfeitamente possível que tais regras sejam definidas por entidades sindicais e federações reunindo agentes de determinados setores econômicos.
4.2. A consideração dos riscos e benefícios do tratamento de dados relativos a cada setor específico
O parágrafo 1º o art. 50 define que o estabelecimento das regras de boas práticas deve levar em consideração “em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular”.
Ou seja, confirma-se o cabimento de que tais regras de boas práticas sejam ponderados conforme a realidade de cada setor específico – e também conforme o tipo e a natureza dos riscos envolvidos com o tratamento de dados pessoais.
4.3. Os princípios da segurança e da prevenção: vetores que orientam as atividades de tratamento de dados pessoais
O parágrafo 2º do art. 50, da LGPD estabelece que na aplicação dos “princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá”
(a) implementar programa de governança em privacidade e
(b) “demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta”.
Os princípios referidos nos incisos VII e VIII correspondem aos princípios da segurança e prevenção. Trata-se de dois aspectos relevantes no tratamento de dados pessoais.
Ambos se referem a normas abertas, que remetem à “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão” (segurança) e à “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais” (prevenção).
Essas medidas técnicas e administrativas referidas pela LGPD não são especificadas e, evidentemente, variam de acordo com a evolução social, com a prática do setor e com o avanço da tecnologia disponível.
Por isso, é muito relevante que as associações e entidades sindicais possam definir e especificar essas medidas em normas específicas de boas práticas. Além de elas serem discutidas e definidas pelo próprio setor econômico, levarão em conta as realidades e circunstâncias específicas desse setor.
4.4. Os requisitos mínimos do programa de governança em privacidade
O inc. I do §2º, do art. 50 da LGPD estabelece os requisitos mínimos do programa de governança em privacidade.
Exige-se que demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais (alínea a).
Ele deve ser abrangente, aplicável “a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta” (alínea b).
Deve haver também adequação e compatibilidade, ser adaptado tanto “à estrutura, à escala e ao volume de suas operações”, como “à sensibilidade dos dados tratados” (alínea c).
Deverá estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade (alínea d).
Deve promover a transparência e participação, ter como objetivo “estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular” (alínea e).
Além disso, deve prever “planos de resposta a incidentes e remediação” (alínea g) e ser atualizado “constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas” (alínea h).
Trata-se de requisitos que concretizam diversas previsões e obrigações estabelecidas pela LGPD.
4.5. Publicidade e atualização periódica das regras de boas práticas e governança
As regras de boas práticas e de governança definidas pelos controladores e operadores de dados – e suas associações, sindicatos e federações – deverão ser publicadas e atualizadas periodicamente (art. 50, §3º, da LGPD).
5. A competência da ANPD para reconhecer e divulgar as boas práticas estabelecidas pelos diferentes setores
A LGPD estabelece previsão específica muito relevante, que estabelece que a ANPD poderá reconhecer e divulgar as regras de boas práticas e governança.
Trata-se de previsão muito similar àquela estabelecida pelo GDPR europeu no art. 40, §5º, que também prevê a possibilidade de aprovação dos códigos de conduta pelas autoridades europeias de proteção de dados2.
5.1. Exemplo de corregulação
A previsão legal consagra exemplo típico de corregulação (ou regulação policêntrica), em que se admite que os agentes regulados possam participar de definições relacionadas ao modo, métodos e técnicas a serem consideradas no cumprimento de obrigações previstas pela LGPD.
Consiste em oportunidade relevante para que os agentes sujeitos à incidência da LGPD possam aperfeiçoar a forma como se dará o cumprimento dos requisitos e previsões da Lei relativamente à proteção da privacidade e dos dados pessoais.
5.2. A natureza do reconhecimento: espécie de certificação de conformidade
Ao estabelecer que a ANPD irá reconhecer as regras de boas práticas e governança a LGPD define competência relevante da Autoridade Nacional. Não se trata apenas de tomar conhecimento dessas regras, mas sim de examiná-las e verificar a sua conformidade com a LGPD e com as demais normas expedidas pela própria ANPD.
Uma vez que tenha reconhecido essa conformidade, a ANPD deverá certificar essa circunstância. É esse o sentido da ação de “reconhecer” estabelecido pelo §3º, do art. 50 da LGPD.
A atuação da ANPD envolve uma decisão e uma espécie de certificação de que as regras de boas práticas e governança são conformes à LGPD e compatíveis com seus objetivos.
5.3. A divulgação das regras de boa prática e governança de privacidade pela ANPD
O §3º, do art. 50 da LGPD também define que, após reconhecidas, as regras de boas práticas e governança deverão ser por ela divulgadas.
5.4. Atividade de orientação pela ANPD
Essa divulgação pela ANPD não é casual. Não se trata apenas de dar publicidade a determinados padrões e regras de boas práticas, mas de divulgar à coletividade que a Autoridade Nacional examinou e reconheceu aquelas regras como adequadas e compatíveis com a LGPD, inclusive para que outros agentes levem tais regras em conta no cumprimento das obrigações estabelecidas pela LGPD.
A questão é confirmada pelo conteúdo do art. 33 da minuta de norma de fiscalização colocada em consulta pública pela ANPD, que estabelece que uma das atividades de orientação da ANPD constitui justamente “reconhecer e divulgar regras de boas práticas e de governança” (inc. IV).
Portanto, ao reconhecer e divulgar determinadas regras de boas práticas, a ANPD fornece orientação àqueles que se submetem à aplicação da LGPD.
6. A segurança obtida pelos setores na definição de regras de boas práticas
Uma vez definidas regras de boas práticas e governança por um determinado setor econômico ou categoria e após o reconhecimento e divulgação pela ANPD, haverá muito mais clareza para o referido setor.
As referidas normas poderão orientar a conduta dos agentes do setor no cumprimento das obrigações e exigências da LGPD.
E haverá segurança de que a ANPD examinou as referidas normas e confirmou a sua compatibilidade com a LGPD e às normas editadas pela própria autoridade nacional.
No âmbito europeu, as guidelines editadas pela Comissão Europeia de Proteção de Dados (European Data Protection Board) reconhecem essas circunstâncias relativamente à atividade de desenvolvimento e aprovação de códigos de conduta, na forma do art. 40, do GDPR.
Nos termos das referidas guidelines, os códigos representam uma oportunidade de estabelecer um conjunto de regras que contribuem para a adequada aplicação do GDPR de modo prático, transparente e potenciamente custo-efetivo, que leva em conta as nuances de um setor particular ou de suas atividades de processamento3. Ainda segundo as guidelines, os códigos podem ser elaborados pelos controladores e processadores levando em conta as características específicas do processamento realizado em certos setores e as necessidades específicas de micro, pequenas e médias empresas.
7. A vinculação da ANPD a regras de boas práticas que lhe são submetidas
Uma decorrência relevante do reconhecimento de regras de boas práticas e governança de determinado setor pela ANPD é a vinculação da Autoridade Nacional à sua conduta anterior.
Se a Autoridade Nacional reputou que as práticas, sistemas e métodos estabelecidos em determinado conjunto de regras de boas práticas e governança eram compatíveis com a LGPD, não poderá depois punir os agentes daquele setor que estiverem seguindo as referidas regras no cumprimento da LGPD.
Tampouco poderá exigir dos agentes daquele setor que adotem postura diversa, salvo no caso de regras de boas práticas e governança que estejam desatualizadas, incompatíveis com a evolução técnica ou que tenham se tornado incompatíveis com normas legais supervenientes.
A ANPD vincula-se à posição por ela adotada quando reconhece um conjunto de regras de boas práticas e governança que lhe foram submetidas.
7.1. A boa fé na definição das regras e seu cumprimento
Trata-se de preservar a boa-fé dos agentes que, confiando no reconhecimento pela ANPD, passaram a adotar as regras de boas práticas e governança que por esta foram reconhecidas.
7.2. Necessidade de sua consideração na fiscalização do cumprimento da LGPD pela ANPD
Além disso, tais regras de boas práticas e governança deverão também ser considerados pela ANPD na fiscalização e na aferição do cumprimento da LGPD pelos agentes que as estiverem aplicando.
8. Conclusão
Portanto, a definição de regras de boas práticas e governança pelos controladores, operadores e associações e sindicatos de diversos setores econômicos constitui um campo muito relevante para o estabelecimento de determinados padrões e orientações para o cumprimento das regras da LGPD.
O estabelecimento de tais regras traz benefícios concretos não apenas para os agentes do referido setor, mas para a própria Autoridade Nacional de Proteção de Dados – ANPD, que passa a contar com balizas adicionais para que haja efetivo – e adequado, inclusive em termos de custo-efetividade – cumprimento das regras de privacidade e proteção de dados estabelecidas pela LGPD.
_____________________________
1 Trata-se de previsão similar ao art. 40, §1º do GDPR: “The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises”.
_____________________________
2 Nos termos do referido dispositivo: “Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards”.
_____________________________
3 Nos termos originais, “Codes represent an opportunity to establish a set of rules which contribute to the proper application of the GDPR in a practical, transparent and potentially cost effective manner that takes on board the nuances for a particular sector and/or its processing activities. In this regard codes can be drawn up for controllers and processors taking account of the specific characteristics of processing carried out in certain sectors and the specific needs of micro, small and medium enterprises” (item 4, 11, disponível em https://edpb.europa.eu/our-work-tools/our documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-bodies-0_en, acesso em 30.8.2021).