Guia para proteção de dados do governo digital surpreende

A Autoridade Nacional de Proteção de Dados (ANPD) já deveria estar em operação? Já! Nada justifica a inoperância do Planalto em tratar da sua estruturação. Faz falta neste momento de pandemia no qual o uso de dados pessoais é uma das armas mais eficaz para o combate ao vírus? Faz! Fará falta caso não sai do papel antes de a Lei Geral de Proteção de Dados (LGPD) passar a vigorar? Fará. Mas a sociedade, e até mesmo setores do governo, estão convictos de que há muito da LGPD que já pode ser praticado, a despeito da insegurança jurídica gerada pela ausência da ANPD. E começaram a agir.

Muitos segmentos estão tratando de criar guias de boas práticas para determinadas atividades. Afinal de contas, um dos principais afazeres da ANPD ao sair do papel será justamente a definição desses guias de conduta setoriais, que balizem a aplicação da lei. Mas um deles, divulgado esta semana, chamou especial atenção: o Guia de Boas Práticas do Governo Digital, com orientações para órgãos e entidades da administração pública federal, autárquica e fundacional no tratamento de dados pessoais.

Importante notar que o guia é uma das primeiras publicações oficiais sobre o tema por parte do setor público. Por isso, foi recebido com um misto de curiosidade e preocupação.

"Antes de mais nada, precisamos elogiar esse movimento do Governo Federal, ainda que muitos de nós esperássemos que isso ocorreria com mais antecedência. É um documento importante para orientar a multidão de entidades públicas nos seus respetivos programas de governança", comentou Bruno Bioni, fundador do instituto Data Privacy Brasil.

"Um outro passo importante, em termos práticos, seria a reorganização do próprio organograma da Administração Pública com a pronta indicação das respectivas pessoas encarregadas pelo tema e a publicidade dos respectivos programas de governança. Com isso, poderia se criar, por exemplo, uma rede dos DPOs [escritórios de proteção de dados] da Administração Pública que poderia compartilhar casos de sucesso e dificuldades enfrentadas na implementação da LGPD e, em última análise, garantir um mínimo de uniformidade", comenta Bioni.

Por outro lado, há quem considere o fato de parte do governo ter se adiantado nesse sentido um tanto contraditório. Primeiro, porque cabe ao próprio governo instaurar a ANPD. É estranho o governo ter editado um decreto [o 10.046/2019], que instituiu o comitê central de governança de dados [e esse documento estaria dentro das atribuições do comitê] antes de editar o decreto de estruturação da ANPD. Depois, por virar uma referência para outras instâncias.

"Não desmerecendo a iniciativa dos envolvidos, que tem muito mérito, tenho receio de que se torne prática seguida ou aplicada por MPs, Procons e pelo Poder Judiciário", comentou um advogado. Até porque a judicialização usando a LGPD como parâmetro, mesmo ela ainda não vigorando hoje, já é uma realidade.

Há ainda quem tenha estranhado o fato de parte do documento, como o anexo que trata do relatório de impacto, serem muito básicas. "Se a gente olha para boas práticas adotadas por autoridades do mundo inteiro, percebe que elas são muito mais avançadas do que o template que foi colocado nesse guia. Isso não deixa de ser um pouco assustador, no sentido de revelar o quanto estamos engatinhando no governo federal em estruturar isso", disse um especialista em proteção de dados que vem acompanhando de perto o assunto.

"Muitas vezes o texto parece ter sido escrito por quem ainda está tentando entender o que vai acontecer, do que por quem está procurando explicar", disse outro profissional muito próximo ao tema.

Nesse momento, a constituição de Autoridade Nacional de Proteção  de Dados era o elemento necessário para podermos começara falar seriamente quais seriam os tipos de diretrizes e o estabelecimento de boas práticas de uma maneira mais realista", disse outro profissional do ramo que preferiu não se identificar.

De fato há muitas outras coisas a serem feitas, antes de um guia de boas práticas. "Mas não podemos ficar esperando. Podemos avançar nas melhores práticas, não só de privacidade mas também de segurança e governança da informação", disse Andriei Gutierrez, Diretor de Relações Governamentais e Assuntos Regulatórios, IBM Brasil, durante webinar promovido pela Abes – Associação Brasileira das Empresas Software.

A Abes é uma das entidades empresariais que vem trabalhando em seu próprio manual de boas práticas e governança baseado na LGPD, para construir um consenso setorial e, tão logo a ANPD seja implementada, debater com a autoridade pontos relevantes para todo o setor.

"Todo mundo tem uma lição de casa para fazer e avançar na cultura da privacidade e proteção de dados no Brasil", disse Andriei.

O cenário

O cenário com o qual trabalhamos hoje é o de possibilidade real de adiamento da vigência da lei para janeiro de 2021 e da aplicação das sanções administrativas (as multas, principalmente) para agosto de 2021. E, pior, do adiamento do artigo 53 da LGPD, que  determina à autoridade consultar a sociedade sobre a forma como ela vai elaborar o regulamento de multas. Se as consultas só começarão acontecer a partir de agosto de 2021, quando é que de fato a autoridade começará a multar? Só em 2022? Até lá, ficamos à mercê dos MPs, Procons e Poder Judiciário? "Quanto tempo vai levar essa regulamentação?", questiona Fabrício da Mota Alves, representante do Senado no Conselho Nacional de Proteção de Dados.

O próprio GDPR, que caminha para o seu segundo ano da vigência, ainda está sendo regulamentado. Não é exatamente de todo ruim. Mas exigirá a participação de toda a sociedade. Que já demonstra interesse de tratar de algum tipo de autorregulação em relação à proteção de dados pessoais.

"Na minha opinião a sociedade não precisa esperar pelas instâncias públicas superiores. As entidades setoriais já poderiam estar criando seus guias de boas prática",comenta Fabrício.

PEC 17 volta à pauta

Também na última semana a Brasscom emitiu uma nota pública defendendo a constitucionalização e a institucionalização da proteção de dados pessoais no Brasil. A constitucionalização através da aprovação da PEC 17/19, que inclui a proteção de dados pessoais, inclusive nos meios digitais, entre os direitos fundamentais do cidadão e atribui à União competência privativa para legislar a respeito. E a institucionalidade por meio da rápida estruturação da ANPD.