A promulgação da Proposta de Emenda à Constituição 17/19, que torna a proteção de dados pessoais um direito fundamental dos brasileiros, é o primeiro desafio do ano no campo de proteção de informações, segundo Laura Schertel, conselheira no Conselho Nacional de Proteção de Dados (CNPD) e professora da Universidade de Brasília e do IDP1.

A acadêmica participou do painel “Mundo digital, proteção de dados e LGPD”, promovido pelo Teletime e pela Huawei, e levantou os cinco desafios que o Brasil enfrenta em 2022.

1. Promulgar a PEC 17/19

A medida foi aprovada no Congresso Nacional em 2021 e, de acordo com Schertel, a promulgação é importante para deixar expresso o direito na Constituição. Além disso, o texto traz uma divisão de competências sobre quem pode regular e quem pode editar as normas, “deixando claro que isso é de competência exclusiva da União”.

2. Tirar a LGPD do papel

“Ainda há um espaço importante para que as empresas trabalhem e apliquem a proteção de dados”, comentou. Ela acredita que a Lei Geral de Proteção de Dados Pessoais (LGPD) precisa ser internalizada na cultura das empresas, para que ela esteja em todos os processos, desde a concepção dos produtos e dos serviços.

Marcelo Motta, diretor de Cibersegurança da Huawei, compartilhou a experiência da empresa ao adequá-la à LGPD. “Durante o processo de criar a organização [de segurança], definir as políticas e trazer isso para os processos, nos deparamos com a necessidade de conscientização da equipe, porque tem muita gente nos departamentos e nem todos têm o conhecimento aprofundado dessas leis.”

Para resolver o problema, a Huawei promoveu um programa de conscientização para os funcionários entenderem a lei e identificarem os riscos nos processos da empresa. O resultado é um movimento cíclico: “À medida que atuamos sobre os riscos e que a organização vai crescendo em maturidade, as próprias pessoas vão identificando outros riscos e dando sugestões de melhoramento dos processos. Ao mesmo tempo, a Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho vão trazendo novas regulamentações e leis, por isso atuamos de maneira cíclica.”

3. Amadurecimento institucional

Em relação ao Judiciário, Schertel informou que a jurisprudência “já é farta e diversificada”, pois os tribunais aplicam a LGPD em diversas áreas, como criminal e trabalhista. Entretanto, apenas a primeira parte da lei – conceitos, princípios e o âmbito de aplicação – é utilizada. 

“Precisamos avançar e aplicar a LGPD não só como um diálogo com outras leis, mas também aprofundar o que quer dizer o princípio da finalidade e da minimização. Precisamos extrair diretrizes desses conceitos, para que a lei possa ser aplicada pelos tribunais, mas, em especial, pelas próprias empresas.”

4. Consolidação do CNPD

Ela explica que outra necessidade para este ano é a consolidação do Conselho, tanto para ter mais clareza das funções que o grupo deve cumprir, quanto para auxiliar na formulação de diretrizes, ações e estudos.

A professora ainda lembrou que o mandato dos conselheiros já começou, mas o regimento interno ainda não foi formulado.

5. Independência da ANPD

Para Schertel, é necessário continuar buscando a independência da ANPD, porque “uma autoridade que não é efetivamente autônoma, não consegue cumprir com todas as funções, competências e com tudo o que se espera dela”.

A autonomia é fundamental para temas sensíveis, como proteção de dados e eleições. Nesse caso, a autoridade precisa ser independente para discutir e aplicar a lei junto com o Tribunal Superior Eleitoral (TSE).

Cenário atual

Questionada sobre como as organizações veem a LGPD, a diretora da ANPD, Nairane Leitão informou que “ainda não há um retrato favorável, principalmente em relação às pequenas organizações.” 

O panorama é diferente em relação às grandes empresas porque a cobrança começa por elas. “Algumas organizações estão entendendo que a adequação à LGPD é investimento em reputação e em confiabilidade, é uma maneira de gerir melhor os riscos do negócio.”

O mesmo ainda não aconteceu para as pequenas empresas, mas Leitão acredita que essas organizações devem se ajustar mais à LGPD quando as “grandes exigirem delas, enquanto fornecedoras, e quando o titular também exigir.”

Para o Instituto Brasileiro de Defesa do Consumidor (Idec), um acordo firmado entre o Ministério da Economia e a ABBC (Associação Brasileira de Bancos) pode representar violação da Lei Geral de Proteção de Dados Pessoais (LGPD).

O Idec divulgou nesta segunda-feira, 17, que enviou questionamentos à Autoridade Nacional de Proteção de Dados (ANPD) sobre o Acordo de Cooperação nº 27/2021, firmado entre a pasta do governo e a associação. O documento visa “ao uso das APIs de Identidade Digital pelos Bancos, em caráter de degustação experimental, para fins de Identidade Digital”.

O Instituto quer esclarecimentos sobre quatro pontos específicos: a delimitação de base legal para o tratamento desses dados; as justificativas concretas de interesse público; o direito à autodeterminação informativa dos titulares de dados e as garantias quanto à segurança dos dados.

O acordo prevê o intercâmbio de informações por meio de API (interface de programação de aplicações), para a validação biométrica e biográfica dos cidadãos cadastrados no Gov.br, associado à base da Identidade Civil Nacional (ICN).

Isso pode ser um problema, segundo o Idec, porque esse compartilhamento de dados sensíveis com entes privados não foi justificado de interesse público. “Diversos bancos já possuem seu sistema próprio de reconhecimento facial para autenticação de seus clientes, de modo que não foi comprovada a justificativa para permitir a intervenção do governo para “equilibrar” a promoção dessa tecnologia, vez que não foi comprovado seu desequilíbrio e sequer a necessidade de provimento destes dados via Estado desta forma tão ampla e genérica”, diz a nota do Instituto.

Além disso, os cidadãos não foram consultados sobre a utilização de suas informações para “fins diversos e por múltiplas entidades privadas”.

Ministério da Economia

No mesmo dia, o Ministério da Economia publicou uma nota divulgando o acordo com a ABBC. Para o governo, o objetivo é “possibilitar que os cidadãos tenham mais opções de acesso por meio de credencial bancária aos serviços da plataforma [Gov.br] que exigem níveis maiores de segurança.”

A pasta ainda afirma que o procedimento não implica o compartilhamento de dados pessoais da base do governo com os bancos, já que a tecnologia mostra apenas a confirmação ou não da identidade do cliente com a base de dados da ICN. “Dessa forma, o governo não tem acesso a nenhum dado financeiro dos clientes e os bancos não têm acesso a dados dos usuários da plataforma Gov.br.”

A Secretaria de Governo Digital do Ministério da Economia ainda ressaltou que o documento cumpre as disposições da LGPD, pois estabelece que “o sigilo e a confidencialidade dos dados é premissa para quaisquer atividades relacionadas no escopo deste acordo.”

Telesintese

Menos da metade dos estabelecimentos de saúde implementou medidas para adequação à LGPD-  Lei Geral de Proteção de Dados Pessoais, nº 13.709- . Entre as mais utilizadas estão a disponibilização de canais de atendimento e interação com os titulares dos dados (38% do total) e a realização de campanha interna para a conscientização sobre a legislação (32% do total). Os dados são da última edição da pesquisa TIC Saúde 2021, do Comitê Gestor da Internet no Brasil (CGI.br), que traz, pela primeira vez, a inclusão de indicadores sobre a LGPD.

O estudo também revela que o percentual dos estabelecimentos públicos (21%) é menor em relação ao dos privados (cerca de 40%).

Mais informações: https://www.telesintese.com.br/lgpd-e-pouco-aplicada-em-estabelecimentos-de-saude-no-pais/