Um clima de suspense ficou no ar nesta segunda-feira, 1, primeiro dia útil em que as sanções da LGPD (Lei Geral de Proteção de Dados) passaram a ser aplicadas: o que acontecerá com as empresas? Elas se prepararam? Haverá uma disparada de multas? “No chamado ‘Bug do Milênio’, ficamos ansiosos por todo o caos que se formaria. No fim, nada aconteceu. Ficamos numa expectativa inútil. A LGPD já está funcionando faz tempo, já estamos atuando. Não existe um Exército de pessoas que sairão aplicando multas a partir de hoje”, brincou Waldemar Gonçalves Ortunho Junior, diretor-presidente da ANPD (Autoridade Nacional de Proteção de Dados), em conversa com Mobile Time.
Bem-humorado, Ortunho pareceu tranquilizar as empresas no que diz respeito às sanções, deixando claro que não é o objetivo da autoridade colaborar para uma “quebradeira geral” no País. Ele anunciou que a ANPD prepara, inclusive, uma série de normas para flexibilização da LGPD que deverão ser aplicadas às startups, e que devem entrar em vigor no fim deste mês. “Está saindo do forno”, disse, deixando em dúvida se existirá também para elas a obrigatoriedade do DPO (Data Protection Officer, ou encarregado de proteção de dados).
Na entrevista abaixo, Ortunho fala sobre o modelo de regulação que a ANPD pretende seguir, a cultura de proteção de dados, a importância das cooperações, o papel das sanções e, principalmente, sobre o foco da LGPD: a proteção do titular.
Mobile Time – A partir de hoje, 1 de agosto, a ANPD poderá punir as empresas que não estiverem em conformidade com a LGPD. A autoridade acredita que as multas serão frequentes? Quais as suas expectativas?
Waldemar Gonçalves Ortunho Junior – Uma punição, muitas vezes, pode ser necessária e educativa. Mas antes tenho que entender o que houve. A partir de uma denúncia, precisamos ver onde está a culpa da empresa: ela pode ter tomado todas as medidas para evitar o problema, então, antes de sair multando temos que entender o fato como um todo. Muitas empresas recebem uma multa superior ao que ela vale no mercado. Não sei se a punição é o melhor caminho para o titular de dados. Chamar a empresa e dar um prazo para ela sanar os problemas pode ser mais eficaz.
Como a ANPD vai atuar? Será ativa, em busca do descumprimento da lei, ou receberá denúncias? Qual o modelo de fiscalização que pretende seguir?
Veja, a LGPD foi sancionada em 2018. Ela já está funcionando, já estávamos atuando. Não existe um exército de pessoas para sair aplicando multas. Parece o Bug do Milênio: havia uma grande expectativa, e, no fim, nada aconteceu. Agora também será assim. Estamos trabalhando em termos de orientação, educação. Nossa lei (a LGPD) é bastante complexa, protetiva para o titular. Ela veio depois de 8 anos de muito debate, inspirada numa lei amadurecida, que é a lei europeia. Entretanto, precisamos trabalhar para que ela seja conhecida.
A ANPD é transversal. Qualquer comércio, por menor que seja, tem uma lista de seus funcionários e principais clientes. É praticamente impossível pensar num fiscal batendo de porta em porta. Seremos efetivos em denúncias. Para grandes empresas, teremos uma proatividade quando os diversos órgãos que gerenciam a parte de cibersegurança nos alertarem que algo está ocorrendo. Vamos verificar se as políticas protetivas para o titular foram adotadas.
Há alguma medida específica para evitar esses megavazamentos de dados pessoais na dark web, por exemplo?
Invasão, eu digo, sempre vai continuar existindo. É uma guerra viva e constante. Nos casos dos megavazamentos, fazemos denúncia na Polícia Federal, em órgãos de defesa do consumidor, e entramos em contato com a empresa. Precisamos entender qual a postura da empresa, se houve proteção de dados, criptografia, senhas, quais a medidas de segurança. Eu costumo dizer para as empresas: menos é melhor. Se você tem dados que não vai utilizar, não tem porque guardar isso.
O senhor vê um desconhecimento sobre o assunto? Pesquisa recente do Procon aponta que a maioria dos brasileiros desconhece a LGPD.
Muitas vezes o que o óbvio para a gente não é para o cidadão. A gente clica lá no “aceitar” sem nem ler o que está escrito. Ou seja: o objetivo é uma mudança de cultura. A autoridade ainda é pequena e precisamos de parcerias. Os setores precisam nos ajudar. Temos feito acordos de cooperação, para que mais órgãos participem desta mudança. Estamos agora fechando uma cartilha para o consumidor junto com a Senacon, e também no Ministério da Educação, pois é importante educar a criança e o adolescente, que trabalham com os dados desde cedo.
Houve um aumento de instituições interessadas em se adequar à lei? Sob o seu ponto de vista, o prazo foi suficiente, inclusive para empresas contratarem DPOs?
Bom, você tem uma uma lei sancionada em 2018 no Brasil e que já existe em vários lugares do mundo. Então, acredito que o prazo tenha sido suficiente sim. Percebemos que as pequenas empresas ficaram aguardando mais normas para se adequarem, especialmente startups. Abrimos um canal de comunicação com elas no nosso site e percebemos que o grande ponto de interrogação tem sido mesmo o DPO, ou o encarregado. Por isso, estamos nas redes sociais, trocando experiências – até porque o encarregado também tem dúvidas. Estamos aceitando sugestões e temos conversado com todos que nos procuram.
Qual a perspectiva para as startups? Elas também terão DPOs?
A ANPD não tem o objetivo de limitar o uso de dados. A gente só quer que eles sejam usados de acordo com a lei. A lei já faz diferenciação entre os tamanhos das empresas: se nós dermos às startups a mesma carga que damos para uma Big Data (grande empresa), colaboraremos para uma quebradeira geral. Sabemos disso. Estamos ainda avaliando se haverá DPOs para startups. O que posso dizer é que lançamos uma consulta pública, ouvimos, analisamos, ponderamos. E as normas de flexibilização serão lançadas neste mês ainda, estão saindo do forno.
O senhor veio do setor de telecom. Como vê especificamente a a adequação das operadoras à LGPD?
Grandes empresas estão bastante adequadas, em geral. Com o 5G, vejo que o tempo que um invasor terá para sugar dados vai ser cada vez menor. A tecnologia vai dar uma celeridade muito grande para o usuário, por isso é preciso considerar uma forma em proteger dados. As operadoras sabem que este é um assunto vivo, que sempre teremos que ter novas ferramentas. O mercado de telecom vai tender para algo colaborativo entre si. E o titular poderá ter sempre a opção de mudar seu prestador de serviço, caso esteja em busca de mais proteção.