Por Danilo Fujita
A Autoridade Nacional de Proteção de Dados (ANPD) publicou no início deste mês, o planejamento estratégico de 2021 a 2023, que reflete a visão, os objetivos e as ações estratégicas que guiarão os trabalhos da autoridade.
O primeiro objetivo é de fortalecer a cultura e capacitar toda sociedade quanto as normas de Proteção de dados. O foco estará na orientação da sociedade neste primeiro momento.
O segundo objetivo é produzir e estabelecer um ambiente normativo que seja eficaz para o cumprimento das normas de proteção de dados. A primeira ação será implementar um fluxo para receber notificações de incidentes e reclamações dos titulares (o site já conta com canal de denúncias) e elaborar a regulamentação de temas prioritários.
O terceiro objetivo, me parece o mais perigoso, foi denominado “aprimorar condições para o cumprimento das competências legais”. Em outras palavras, constitui ações voltadas para arrecadar fundos para garantir o funcionamento da ANPD.
A partir dessa publicação, já temos condições de observar quais serão os próximos passos da Autoridade.
Em cumprimento ao objetivo de criar o fluxo para notificações de incidentes, a ANPD disponibilizou no site um modelo de formulário[1] e um canal[2] para comunicação de incidentes. Neste formulário, o agente de tratamento deverá informar a descrição do vazamento, data da ocorrência, momento ou forma que teve conhecimento, natureza dos dados vazados e a categoria dos titulares, quantidade, quais medidas de segurança adotadas antes e depois do incidente, indicação dos efeitos negativos sobre os titulares e esclarecimento se os titulares foram avisados.
A ANPD está sendo pressionada pelos setores da sociedade para adotar providências sobre os 2 dois maiores casos de vazamento de dados da história. Pressionada, a autoridade respondeu que não pode investigar, pois trata-se de competência da polícia. Entretanto, vale destacar que o incido XV do Art. 55-J, estabelece como competência da ANDP realizar auditorias no âmbito da atividade de fiscalização. Ficou evidente portanto que a ANDP ainda não está devidamente estrutura para realizar este tipo de ações.
[1] https://www.gov.br/anpd/pt-br/assuntos/formulario-de-comunicacao-de-incidentes-de-seguranca-de-dados-pessoais_final-1.docx
[2] https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.