5 pontos da LGPD que ainda precisam ser regulamentados pela ANPD

Ilustração representando regulamentação.

A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020 com diversos pontos ainda em aberto, à espera de regulamentação pela ANPD (Autoridade Nacional de Proteção de Dados). Não à toa, há grande expectativa a respeito da atuação do órgão em 2021.

Só para relembrar, a ANPD é a agência reguladora responsável por, dentre outras atribuições, deliberar sobre a interpretação da lei e eventuais casos omissos, além de editar regulamentos e procedimentos sobre a proteção de dados pessoais.

Neste texto, nós vamos abordar alguns dos principais pontos mencionados na lei que ainda dependem de regulamentação pela ANPD. Confira!

Confira neste artigo!

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

LGPD: pontos pendentes de regulamentação

1. Técnicas de Anonimização

Um dos pontos a serem regulamentados pela ANPD diz respeito às técnicas de anonimização de dados. No entanto, para falar um pouco mais sobre esse ponto, antes precisamos esclarecer o que é um dado anonimizado.

Pela LGPD, um dado anonimizado é aquele que perdeu definitivamente a possibilidade de identificar uma pessoa natural. A informação, portanto, não é mais associada a uma pessoa identificada ou identificável. Por isso, deixa de ser considerada dado pessoal, estando fora do escopo da LGPD.

A lei estabelece que o processo de anonimização deve ser realizado por meio de técnicas razoáveis disponíveis e deve ser irreversível. Porém, deixa em aberto o detalhamento de quais são as técnicas aceitáveis.

Conforme determinado no artigo 12 da LGPD, esse detalhamento ficará por conta da ANPD. Pela lei, a autoridade nacional poderá “dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança”. 

Essa regulamentação ainda está por ser feita, mas tendo como base o regulamento europeu (GDPR) podemos citar ao menos duas técnicas comuns de anonimização. 

Uma é a supressão de dados identificáveis, como a exclusão de dígitos de um número de telefone. A outra é a generalização, como trocar um CEP pela região do país e a idade exata pela faixa etária genérica.

2. Prazos e normas relacionados aos direitos dos titulares

Os direitos dos titulares representam um aspecto fundamental da Lei Geral de Proteção de Dados. São nove direitos principais, que você pode conferir em detalhes neste post

No entanto, apesar dos direitos estarem bem discriminados na LGPD, há pontos que ficaram em aberto para regulamentação por parte da ANPD.

São eles:

  • As regras para efetuar a portabilidade de dados pessoais a outro fornecedor de serviço ou produto; 
  • Os termos para que o controlador possa atender o titular caso ele solicite cópia eletrônica integral de seus dados pessoais quando o tratamento tiver como base o consentimento ou contrato;
  • Os prazos para que o controlador possa responder aos requerimentos do titular;
  • Prazos diferenciados para setores específicos no caso de requerimentos a respeito da confirmação da existência ou acesso a dados pessoais.

Os prazos de resposta são um dos pontos mais importantes a serem regulamentados, já que a indefinição dificulta que as empresas estabeleçam seu plano de resposta às requisições dos titulares.

A lei menciona prazos apenas em dois casos: no direito da confirmação da existência de tratamento e no direito de acesso aos dados, sendo que a ANPD pode determinar prazos diferenciados para setores específicos. Para as requisições relacionadas aos outros direitos, os prazos ainda serão regulamentados.

3. Atribuições e obrigatoriedade de nomear um encarregado (DPO)

A LGPD trouxe às empresas a figura do encarregado, conhecido mundo afora como DPO (data protection officer). Basicamente, ele é indicado pelo controlador para atuar como uma ponte entre as empresas, os titulares dos dados pessoais e a ANPD.

Por enquanto, a nomeação do DPO é obrigatória para todas as empresas. Porém, a lei determina que a ANPD poderá dispor sobre as hipóteses de dispensa da nomeação, considerando a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Além disso, a LGPD é sucinta ao estabelecer as atividades do encarregado. Basicamente, ela determina que ele deve:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Essas atividades, no entanto, podem ganhar novas definições e acréscimos. A LGPD estabelece que a agência reguladora pode estabelecer normas complementares sobre a definição e as atribuições do encarregado.

A LGPD tampouco fala a respeito da posição do encarregado na organização em que atua, o que é ponto de atenção em outras legislações.

4. Padrões mínimos de segurança de dados

A Segurança da Informação é um requisito de conformidade com a LGPD, presente tanto dentre os princípios da lei quanto em seus artigos.

Em suma, a lei determina que os agentes de tratamento devem adotar medidas de segurança para proteger os dados pessoais de “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. 

Na prática, isso exige uma visão global e detalhada da organização, demandando a implementação de políticas de Segurança da Informação e medidas diversas.

Para ajudar a guiar o processo de conformidade, a lei determina que a ANPD poderá dispor sobre padrões técnicos mínimos relacionados à segurança e sigilo dos dados pessoais. 

Pelo disposto na lei, a autoridade deverá considerar a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis.

5. Regulamento e metodologia para a aplicação de sanções

A possibilidade de aplicação de sanções administrativas em caso de infração à LGPD inicia em agosto de 2021, mas ainda há pontos que precisam ser regulamentados pela ANPD. Em especial, a metodologia para orientar o cálculo do valor-base das sanções de multa.

Para relembrar, vamos listar as sanções administrativas previstas na LGPD:

  • Advertência, com prazo para corrigir as infrações;
  • Multa simples de até 2% do faturamento da empresa no ano anterior, até o limite de R$50 milhões por infração;
  • Multa diária de até 2% do faturamento da empresa no ano anterior, até um limite de R$50 milhões por infração;
  • Tornar pública a infração cometida;
  • Bloqueio dos dados pessoais relacionados à infração;
  • Eliminação dos dados pessoais relacionados à infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
  • Suspensão da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
  • Proibição parcial ou total das atividades relacionadas a tratamento de dados.

Embora as possíveis sanções já estejam definidas, a lei determina que a autoridade nacional irá criar um regulamento próprio sobre as sanções, que deve ser objeto de consulta pública. 

Este regulamento deve incluir as metodologias que vão orientar o cálculo do valor-base das multas, além de estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.

Vale destacar também que as sanções serão aplicadas somente mediante processo administrativo que possibilite a ampla defesa, o contraditório e o direito de recurso.

Além disso, na aplicação de sanções serão considerados parâmetros e critérios previstos em lei, tais como a cooperação do infrator, a pronta adoção de medidas corretivas e a implementação de mecanismos internos para o tratamento adequado dos dados.

Conclusões

Elencamos aqui apenas cinco pontos da LGPD que dependem de regulamentação por parte da ANPD, mas há vários outros.

Apenas para mencionar outros dois pontos de destaque, a agência deve dispor ainda sobre as regras para os Relatórios de Impacto à Proteção de Dados Pessoais, além de criar normas e prazos especiais para microempresas, empresas de pequeno porte e startups. 

Em que pese a pendência destas questões, a LGPD já está em vigor, os direitos dos titulares já podem ser exercidos, e a lei pode inclusive fundamentar ações judiciais.

Assim, a adequação à LGPD é  inadiável, adotando-se uma postura cautelosa e segura.

Para isso, as empresas podem contar com a ajuda de uma equipe especializada em proteção de dados.

Este é o caso da Get Privacy, que atua com uma solução de ponta a ponta para a adequação à lei, atendendo as áreas de Assessoria Jurídica, Compliance e Segurança da Informação.

 Fale conosco e veja como podemos ajudar a sua empresa!

Esteja em conformidade com a LGPD

Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei. Fale com a Get Privacy.

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS