A autorregulamentação e um comitê gestor como solução à ANPD. Por Marcelo Buz
16 de setembro de 2020A LGPD está prestes a entrar em vigor. Com ela, a iminência da composição da Autoridade Nacional de Proteção de Dados – ANPD, tende a dar início às suas atividades, sobretudo as de regulamentação.
Por Marcelo Buz
Que pese as sanções administrativas, previstas na Lei 14.010/2020, tenham vigência somente para agosto de 2021, todo o restante dos dispositivos da Lei 13.709/2018 passa a ter eficácia a partir da sanção presidencial e consequente publicação.
Entretanto, a grande dúvida que paira é como se dará o funcionamento da ANPD.
Recente decreto de estruturação publicado no Diário Oficial dá pistas, mas está longe de resolver questões que inquietam profundamente empresas e profissionais de proteção de dados.
Algumas das principais angustias são:
a) Quais setores da economia serão
regulamentados primeiro?
b) Como serão executadas as fiscalizações?
c) Quais as boas práticas a serem recomendadas pela ANPD?
d) Como se dará o processo de julgamento de incidentes?
e) De que forma a ANPD fiscalizará a todos sem romper com o princípio da impessoalidade, uma vez que a lei não está regulamentada e tende a ser regulamentada a medida que fatos ocorram?
f) Como a ANPD vai se comportar diante de uma eminente
enxurrada de incidentes logo de início, uma espécie de contencioso?
g) O que será priorizado? volume dos incidentes, seus impactos, ordem das cronológicas dos incidentes?
h) será a ANPD um órgão arrecadatório ou educativo?
Entre tantas outras dúvidas que devem existir, estas são cruciais para que se construa um ambiente confortável de adequação e conformidade à LGPD.
A indicação dos nomes que estarão a frente da ANPD estas longe de responder tais inquietudes. São questões complexas que precisam estar mapeadas e ser objeto de debates ainda antes da escolha dos Diretores, para que se tenha primeira a definição de perfis.
Suas responsabilidades abrangentes, inusitadas, capitalizadas e de grandes
dimensões serão muito complexas, principalmente neste início de trabalhos. E, ao se analisar o decreto de criação da infraestrutura, a escassez de recursos humanos se revela um obstáculo eminente.
Salvo melhor juízo, será impossível a ANPD cumprir sua missão com apenas 36 cargos. Se considerarmos que a fiscalização é função hercúlea, cuja atividade requer mão de obra especializada, fica ainda mais difícil de imaginar um panorama com resultados eficazes.
Diante deste cenário quase irreversível – uma vez que o número de aposentadorias na administração pública acelera, e pior, não há previsão de reposição destes colaboradores – vemos que o risco de insatisfação é grande, inclusive podendo expor o Governo Federal, uma vez que estamos diante de uma Autoridade Nacional vinculada diretamente ao Palácio do Planalto, e não uma Agência Reguladora parte administração pública indireta, com autonomia administrativa e independência financeira.
Seja por decreto, ou por lei, com certeza há muitas maneiras – e inevitáveis – de se corrigir a forma como a ANPD foi concebida. Seguramente passará novamente por algum dispositivo legal.
Dentro desta linha, transformar a ANPD em um modelo de autorregulamentação tende a ser uma opção viável, rápida, escalável, econômica, inteligente e com imensa sinergia e simpática aos anseios da nossa indústria.
Temos alguns exemplos de autorregulamentação consagrados
O Conselho Brasileiro de Autorregulamentação Publicitária – CONAR, fundado em 1978, é muito consagrado e respeitado no Brasil. A Agência de Autorregulamentação das Associações de Proteção Veicular – AAAPV, cuja fundação é mais recente, tem muito sucesso em regrar um setor no qual o governo é omisso.
Estes são exemplos que servem para inspirar e não necessariamente como benchmarketing porque, diferentemente do modelo de autorregulamentação possível na ANPD, elas são instituições totalmente autônomas e não possuem vínculo algum com poder público.
Não obstante, a ANPD compartilhar suas prerrogativas de regulamentação e fiscalização, criando um conceito de autorregulamentação controlada, ou assistida, é uma opção inovadora que inclui a sociedade nesta grandiosa tarefa de proteção de dados.
Com recursos escassos, aumentar a sua capilaridade e ampliar sua capacidade de entrega é um desafio que pode ser alcançado rapidamente, evitando priorizar determinados setores a serem regulamentados ou de casos a serem julgados. A solução é estruturar a ANPD como órgão credenciador de Autoridades de Conformidade de Proteção de Dados – ACPD.
Que podem ser entidades da sociedade civil organizada, subordinadas à ANPD, cujo credenciamento como ACPD sujeita-se a ambiente regulamentado, fiscalizado e auditável de suas atividades no
tocante à LGPD.
Um modelo muito semelhante, existente no brasil há 19 anos, é o da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.
Uma hierarquia de confiança composta por entes públicos e privados que possui no topo o Instituto Nacional de Tecnologia da Informação – ITI, autarquia vinculada à Casa Civil da Presidência da República, como órgão que credencia, descredencia, audita e fiscaliza toda a industria de certificação digital.
Em meados de 2019, inclusive, se cogitou que o ITI incorporasse a ANPD. O que seria uma decisão acertada considerando que o ITI, por ser uma autarquia da administração pública indireta, preencheria uma lacuna não contemplada no atual desenho da ANPD. E, além de possuir expertises
correlacionadas à ANPD, possui recursos de atividades meio que poderiam atender a demanda da nova Autoridade.
Bem como tem em seu know how justamente a proteção de dados, ao menos no que diz respeito a Segurança da Informação. Não há na esplanada um órgão tão semelhante.
Evidente esta ideia precisa ter seus conceitos explorados aos mínimos detalhes. É preciso criar requisitos mínimos, estabelecer rotinas, prazos, sanções as ACPDs que descumpram com seus compromissos, alterar legislação para dar amparo jurídico legal e, acima de tudo, conscientizar os atores envolvidos de que é possível um modelo decentralizado
e com a participação da sociedade civil.
As ACPDs funcionariam quase que uma instância pre-administrativa, filtrando todos os incidentes que ocorram nos ambientes de negócio a elas subordinadas. Uma vantagem deste modelo, é que toda a empresa teria poder de escolher por quem seria subordinado à luz da LGPD, em qual cadeia de confiança ela deseja se auto sujeitar a fiscalização e auditoria.
Por exemplo, uma empresa de software teria associações representativas, federação, confederação e até sindicatos patronais nas suas opções. Evidente que estas ACPDs devem assumir corresponsabilidade em casos nos quais descumpram com seus deveres, e competiria justamente a ANPD realizar esta fiscalização.
Outra inovação que poderíamos debater na ANPD é a transformação do Conselho Nacional de Proteção de Dados – CNPD em Comitê Gestor de Proteção de Dados – CGPD. Na atual formatação, o CNPD tem 23 membros cuja função é consultiva.
É provável a possibilidade de se tornar um fórum inócuo, sem voz ativa. Neste Conselho, que será repleto de especialistas, teremos um desperdício de intelecto e de recursos públicos, pois a ele não cabe nem poder de veto, e suas contribuições serão meramente consultivas, opinativas. Um mero, e disputado, currículo aos participantes.
Eficaz mesmo, seria dar a este colegiado o poder normativo. Ou seja, que as normatizações fossem por eles sugeridas, aprovadas ou rejeitadas. Desta forma teríamos um comitê gestor e, por consequência, grande influência de
diversos setores de nossa sociedade na regulamentação de matéria transversal e multidisciplinar poucas vezes vistas.
Concatenando estes dois pensamentos, temos uma ANPD leve, sem a necessidade de grande estrutura de recursos físicos, humanos e financeiro para cumprir com suas funções. Temos a sociedade interessada diretamente responsável pela regulamentação, evitando abusos de regulamentações draconianas.
A sociedade civil representativa participando da fiscalização e da auditoria. E a ANPD, além das atividades para dar funcionamento a todas estas estruturas, na figura dos 5 diretores, incumbida de julgar todos os casos de incidentes. Fazendo uma analogia, a Monstesquieu, um verdadeiro sistema de freios entre os poderes.
Quem legisla (CGPD) não fiscaliza (ACPD), quem fiscaliza não julga (ANPD). Ninguém será poderoso suficiente para desvirtuar uma matéria tão importante, relevante e impactante no nosso dia a dia.
Em tempo, ao finalizar as linhas deste artigo de opinião, descortina que o
congresso nacional está disposto a debater novamente aspectos da ANPD. Está aí a oportunidade de realizarmos um debate profundo e consertarmos os em um único ato eventuais decisões não tão acertadas referente a ANPD.
O Alicerce da Digitalização. Por Marcelo Buz
LGPD pode entrar em vigor a qualquer momento
Governo publica estrutura da ANPD para a implementação da LGPD
A Estônia já está aqui. Por Marcelo Buz
Colonialismo digital. Por Marcelo Buz
Resultado além da economia. Por Marcelo Buz
ICP-Brasil e o cenário da LGPD. Por Marcelo Buz
Marcelo Buz encerra o ano com vídeo sobre a ICP-Brasil
Desafios e conquistas marcaram 2019 para o ITI – Por Marcelo Buz
Sobre Marcelo Buz
Marcelo Buz, 36 anos, foi Diretor-Presidente do Instituto Nacional de Tecnologia da Informação (ITI), autarquia vinculada à Presidência da República, Vereador de São Leopoldo entre 2017 a 2020, suplente de Deputado Estadual no Rio Grande do Sul.
Exerceu os cargos de Secretário Municipal de Direitos Humanos e também de Secretário-Adjunto Municipal de Segurança Pública. Empresário, foi franqueado da Prudential do Brasil, sócio de empresas de marketing e empreendedor do ramo moveleiro. Tem passagens por multinacional, setor imobiliário e mídia. É formado em Administração de Empresas com ênfase em Marketing pela ESPM, cursou MBA Executivo Internacional na UFRGS. Módulos do MBA cursado na EADA
– Escuela de Alta Dirección y Administración de Barcelona e na HEC – École des Hautes Études Commerciales, de Paris; curso de Gestão de Marcas e Multiculturas em Organizações Multinacionais na McGillUniversity, de Montreal; participou de programas de Intercâmbio High School em NY, EUA e Alemanha.
Cursa Ciências contábeis na UNIEURO e é aluno de dois MBAs: Tecnologia para Negócios: AÍ, Data Science e Big Data; e Engenharia de Software pela Faculdade Metropolitana. Também é aluno Da Pós-graduação da Escola Superior de Guerra no Curso de Altos Estudos em Defesa. Comendador do Mérito Empreendedor Juscelino Kubitschek. Foi Voluntário da Jr. Achievement. É poliglota e palestrante nas áreas de Assinatura Digital, LGPD e Digitalização.