Miriam Wimmer, diretora da Autoridade Nacional de Proteção de Dados, em sua apresentação na Amcham (crédito da foto: Taís Curti – Divulgação)
Encontro recente abordou boas práticas de gestão de privacidade e tratou da agenda regulatória da Autoridade Nacional de Proteção de Dados
Aprovada em 2018, a Lei Geral de Proteção de Dados (LGPD) foi tema de encontro promovido pela Amcham no dia 6 de dezembro. A diretora da Autoridade Nacional de Proteção de Dados (ANPD), Miriam Wimmer, fez um balanço dos cinco anos da aprovação da legislação brasileira e abordou a agenda regulatória para 2024.
O foco inicial da regulação, segundo ela, foi a promoção da cultura de proteção de dados para capacitar a população a compreender seus direitos. Nesse período, buscou-se estabelecer acordos de cooperação técnica com a Secretaria Nacional do Consumidor (Senacon), Conselho Administrativo de Defesa Econômica (Cade) e organismos internacionais para ter um ambiente coeso.
“Buscou-se regulamentar o que fosse necessário para viabilizar que os agentes de tratamento pudessem cumprir com a LGPD, com base nessa ideia de promoção de melhores práticas e de responsabilidade do setor privado e público”, explicou a diretora.
Miriam ressaltou a importância dessa opção da ANPD por uma abordagem responsiva para incentivar o bom comportamento. “A ideia era partir de uma visão mais estratégica da fiscalização. Primeiro o monitoramento, e depois diferentes medidas de atuação regulatória para promover a conformidade, expedindo orientações com prazo para corrigir. Somente ao final desses processos, partiu-se para a etapa de sanções administrativas”, assinalou.
Agora, a ANPD ingressa numa nova fase em que a base fundamental dos regulamentos já está estabelecida. “É possível fazer uso do pacote completo da LGPD, inclusive com aplicação de multas e determinação de suspensões de práticas de tratamento de dados que sejam irregulares”, acrescentou a diretora.
Certificação ISO 27701
O encontro na Amcham também contou com a participação de executivas do setor privado. A Data Protection Officer (DPO) da Prudential do Brasil, Sabrina Calixto, destacou o processo para obtenção do certificado ISO 27701, que especifica quais são os requisitos e fornece diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de Gestão de Privacidade da Informação (SGPI).
“Em 2021, conseguimos o ISO de segurança da informação buscando as melhores práticas de governança e amadurecimento no tema. No final de 2022, iniciamos uma jornada para alcançar essa certificação em gestão de privacidade que durou 10 meses, que contou um assessment, uma auditoria interna e duas auditorias externas”, relatou a DPO.
“Um grande diferencial foi ter a alta liderança apoiando o projeto como prioridade estratégica. Foi essencial para o sucesso, porque trabalhamos com 14 áreas diferentes dentro da companhia, envolvendo mais de 70 pessoas”, detalhou a especialista. “Obter a certificação traz vantagens como a transparência em seus processos, a cultura de melhoria contínua, além de gerar credibilidade com clientes, colaboradores, franqueados e parceiros de negócios”, complementou.
O Mercado Livre elegeu o padrão da LGPD brasileira para nortear a atuação na área de proteção e privacidade de dados. “Embora fosse a legislação mais jovem, a gente entendeu que seria um padrão mais rígido, considerando os nossos vizinhos Uruguai e Argentina”, afirmou a DPO Brasil do Mercado Livre, Samantha Oliveira.
Samantha disse, ainda, que o Mercado Livre foi a primeira empresa da América Latina a publicar o relatório de transparência relacionado aos direitos ARCO: Acesso, Retificação, Cancelamento e Oposição: “Estamos na sexta edição. Foram mais de um milhão de pedidos atendidos em toda a América Latina”.
O Brasil responde por 507 mil desses pedidos de direitos de titulares. “Embora sejamos um país jovem na área de privacidade, a gente continua na liderança e tem um número bastante significativo. O Brasil sempre esteve nessa dianteira nos outros relatórios”, destacou a encarregada dos dados do Mercado Livre.
Com relação ao tempo para o atendimento dos direitos dos titulares, a executiva salientou que existe um desafio interno para atender as demandas num prazo menor do que os 15 dias previstos em lei. “Atualmente, 82% dos pedidos dentro da nossa plataforma são atendidos num curto período, praticamente de forma automática pelo titular”, garantiu.
Agenda regulatória para o próximo biênio
Miriam Wimmer também abordou a agenda regulatória, elaborada para um período de dois anos. “A primeira agenda teve dez itens, e vários foram transportados para a segunda porque foram iniciados mas não foram concluídos. É o caso das transferências internacionais, os direitos do titular, o relatório de impacto e o papel do encarregado”, informou.
Para o próximo biênio, Miriam disse que serão tratados assuntos como Inteligência Artificial, a questão do compartilhamento de dados no Poder Público e uso de dados biométricos, como o reconhecimento facial, por exemplo. “Muitos temas já estavam no campo de estudos ou eram demandas que a sociedade nos trouxe. São temas que a gente começa a enfrentar e que devem ser transportados para a próxima agenda regulatória, caso não sejam concluídos nesse período”, situou ela.
Alguns assuntos estão em fase final, mas não existe uma meta para os regulamentos aprovados: “Esse ano, a gente fez consulta pública sobre transferência internacional, sobre a norma do encarregado. Agora tratamos da questão do incidente de segurança. São temas que estão mais maduros e tendem a gerar um regulamento aprovado num prazo mais curto”.
A expectativa dela para o próximo biênio é dar andamento aos temas já inaugurados, e eventualmente contemplar novos com uma pegada mais setorial. “Até o momento, estamos tratando de temas mais transversais, que afetam múltiplos setores. Com o tempo, me parece natural que a gente comece a enfrentar temas mais voltados a setores específicos, inclusive setores regulados”, concluiu.