Por Annette Pereira*
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 ou “LGPD”) é um dos mais importantes marcos legais de proteção de dados pessoais e privacidade. Seu alcance vai além da proteção dos dados pessoais, abrangendo as atividades que utilizam dados pessoais realizadas por todos os setores e segmentos da sociedade, tanto públicos como privados, e impactando, diretamente, o desenvolvimento econômico, social, tecnológico, bem como a livre iniciativa e a livre concorrência.
A LGPD passou a vigorar plenamente dois anos após sua publicação, tendo sido esse período utilizado pelos agentes de tratamento para se adaptar à lei. Além da LGPD, a Constituição Federal também passou a assegurar o direito à proteção dos dados pessoais, inclusive nos meios digitais.
Ainda faltava uma peça fundamental, suprida com a Autoridade Nacional de Proteção de Dados – ANPD, que passou a funcionar com a nomeação do Conselho Diretor, em novembro de 2020.
Entretanto, o ambiente regulatório de proteção de dados pessoais ainda está em plena construção, com a aguardada atuação da ANPD na fiscalização, regulamentação e orientação da sociedade sobre a aplicação da LGPD.
Nesse contexto, a agenda regulatória da ANPD é um instrumento essencial de planejamento, transparência e diálogo com a sociedade, que tem maior visibilidade das prioridades regulatórias da Autoridade e, também, pode participar do seu processo de construção por meio de consultas públicas.
As agendas regulatórias dos anos de 2021-2022 e de 2023-2024 dão uma boa visão dos principais pontos priorizados pela ANPD. A agenda regulatória de 2021-2022 contava com dez itens e a de 2023-2024 com o dobro de temas, que podem resultar na regulamentação ou orientação da ANPD. A ANPD realizou consulta pública à sociedade sobre a agenda regulatória de 2025-2026 e publicará a agenda do novo biênio ainda em 2024.
De lá para cá, a atuação da ANPD tem sido intensa. As principais regulamentações já publicadas foram as normas sobre o processo de fiscalização e aplicação de sanções, especialmente em relação à aplicação da multa prevista na LGPD (Resolução CD/ANPD nº 1/21 e Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023) e as regras diferenciadas para microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais para fins econômicos (Resolução CD/ANPD nº 2/22).
Mais recentemente, foram publicadas outras importantes normas pela Autoridade, com grande impacto sobre o setor de meios de pagamento e financeiro. A primeira é a aguardada norma que regulamenta a comunicação de incidentes de segurança para a ANPD e os titulares de dados pessoais (Resolução CD/ANPD nº 15, de 24 de abril de 2024). A segurança na proteção dos dados pessoais é uma das prioridades do setor, além de ser um dos temas centrais da LGPD. Não são todos os incidentes de segurança que devem ser reportados para a Autoridade e aos titulares, apenas aqueles que possam acarretar risco ou dano relevante aos titulares, mas não há consenso sobre quais são os parâmetros para essa definição.
Com a nova regra, são considerados incidentes de segurança que podem causar risco ou dano relevante os que possam afetar significativamente interesses e direitos fundamentais dos titulares, o que se verifica quando há a conjugação de pelo menos dois critérios definidos na norma. Um desses critérios é sobre os tipos de dados pessoais envolvidos no incidente (dados pessoais sensíveis, dados de crianças, de adolescentes ou de idosos, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal, judicial ou profissional, ou dados em larga escala). O outro critério identifica, entre outras situações, aquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade. O prazo é de três dias úteis para a comunicação do incidente de segurança à ANPD e aos titulares de dados.
Além disso, as transferências internacionais de dados pessoais são essenciais para diversos setores, especialmente para o setor de meios de pagamento e financeiro. A norma mais recente da ANPD impacta justamente os fluxos transfronteiriços de dados pessoais, ou seja, quando os dados são transferidos a outros agentes de tratamento fora do Brasil. A Resolução CD/ANPD nº 19, de 23 de agosto de 2024, regulamenta, inclusive, as cláusulas-padrão contratuais, cujo prazo de adoção pelos agentes de tratamento é de até 12 meses a contar da publicação da Resolução. Esse não é o único mecanismo de transferência internacional de dados pessoais, mas é um dos mais importantes para operacionalizar a transferência, garantindo a proteção de dados pessoais fora do País.
A agenda regulatória da ANPD aborda outros temas muito relevantes para o setor financeiro e de pagamentos, como os direitos dos titulares, anonimização de dados pessoais, compartilhamento de dados pessoais pelo Poder Público, dados biométricos, medidas técnicas de segurança, práticas de governança e inteligência artificial.
Como a ANPD não conhece todos os setores, é crucial a participação social na elaboração de normas e guias. Por isso, a Abecs tem contribuído ativamente nas consultas públicas da Autoridade, para melhor esclarecer o funcionamento do setor de meios de pagamento e financeiro e auxiliar na construção do cenário de proteção de dados pessoais no País.