DPO corre risco de ser punido por megavazamentos com base no Código do Consumidor
A fragilidade da proteção de dados pessoais de brasileiros, escancarada nos megavazamentos desse início de 2021, colocam pressão sobre a Autoridade Nacional de Proteção de Dados, mesmo com a vigência da sanções só autorizada a partir de agosto próximo. Além disso, há muito a ser regulamentado – e boa parte ficou de fora do plano de prioridades da ANPD.
“A ANPD iniciou a regulamentação dos artigos 53 e 54 da LGPD, que tratam de penalidades, mas começamos o ano com megavazamentos e está todo mundo cobrando posição da Autoridade”, destacou a advogada especializada em direito digital Patricia Peck, ao participar nesta sexta, 26/3, do segundo congresso promovido pela Associação Nacional dos Profissionais de Privacidade de Dados.
A advogada frisou que embora a legislação dê prazo até agosto deste 2021 para a vigência das sanções previstas na Lei 13.709/18, a ANPD não terá exclusividade em eventuais punições. E que a tramitação ainda no Legislativo de uma LGPD Penal tampouco restringe a ela o tratamento criminal das violações de dados.
“Não é apenas ANPD que pode aplicar penalidades relacionadas a LGPD, porque ela conversa com outras legislações, com a Constituição Federal, o Marco Civil da Internet, o Código de Defesa do Consumidor. E apesar de a LGPD não ter trazido a parte criminal, o CDC traz como crime se não informar consumidor sobre dados tratados dele ou fazer correções que estiverem equivocados na base, e isso pode cair em cima do DPO.”
Paralelamente, há uma extensa agenda de regulamentações ainda necessárias que também pressionam a ANPD diante do dia a dia de incidentes de segurança de dados. A Autoridade alinhou uma série de prioridades, notadamente relacionadas a direito de titulares, relatório de impacto, administração pública, atribuições do encarregado, critérios de pequenas empresas, transferência internacional de dados, além da própria questão das penalidades.
No entanto, vários temas ficaram fora do plano de ação da ANPD: anonimização e dados de saúde, comunicação de contrato e convênio com administração pública, normas complementares de uso compartilhado de dados, como protocolar guias de conduta, extraterritorialidade, dados de educação, tratamento de base legada, além de padrões de interoperabilidade, algo que afeta uso de APIs e conversa diretamente com dados abertos.
Ainda segundo a especialista, além do que precisa ser regulamentado, a LGPD precisa se harmonizar com outras leis. “Um exemplo é a Lei de Acesso à Informação e a necessidade de se emitir enunciado devido aos portais de transparência, que trazem listas de nomes de pessoas que recebem benefícios como Auxílio Emergencial e Bolsa Família, que são dados pessoais mas cumprem exigências de transparência ativa.”
