Presidente da ANPD: "O consentimento tem que estar claro na LGPD"

No dia 30 de setembro, o Correio do Povo promoveu no CIEE o evento Painel LGPD, para discutir a aplicação da Lei Geral de Proteção de Dados. No encontro, conduzido pelo jornalista Guilherme Baumhardt e com a participação de Allan Kovalscki, Head da Comply LGPD Solutions, o diretor-presidente da ANPD (Autoridade Nacional de Proteção de Dados), Waldemar Gonçalves Ortunho Júnior falou, entre outros pontos, sobre como a nova lei afeta empresas de pequeno porte, assim como quais são as bases legais para a utilização e tratamento de dados. A seguir, alguns dos principais trechos do evento.

Como pequenas empresas serão afetadas pela nova Lei Geral de Proteção de Dados (LGPD)?

A  Autoridade Nacional de Proteção de Dados (ANPD) abriu uma audiência pública para definir norma de aplicação da LGPD para microempresas e empresas de pequeno porte, que teve seu prazo prorrogado até 14 de outubro, após várias solicitações. É uma decisão que afeta uma grande porcentagem de empresas brasileiras, pequenas e microempresas, startups e empresas de inovação que têm uma importância muito grande para o país. Então é uma decisão bastante difícil em termos de norma. Nós temos considerado todas as solicitações, mas eu lembro que, às vezes, a empresa é bastante pequena, mas ela trata de dados sensíveis, com dados que oferecem grande risco ao cidadão. É por isso que estamos com esse cuidado especial. Já está bastante avançada, vai ter essa flexibilização que é prevista na própria lei, mas nós não batemos o martelo. A Comissão Geral de Normatização está consolidando, ela deve estar recebendo as últimas sugestões nos próximos dias, e nós esperamos ao final do ano, no máximo até janeiro, estabelecermos essa norma que é tão esperada por todos, não apenas pelas empresas, mas também pelo governo. É uma preocupação grande, nós não queremos gerar impacto que a regulação vai provocar no país, eu acho que ela é importante e tem que ser bastante considerada. Não vou adiantar o que são os pontos, mas eu digo que está numa fase bastante adiantada. Eu acho que é a norma mais esperada nessa primeira fase de ANPD.

Até que essa questão seja regulamentada, como as pequenas empresas devem se comportar com relação à LGPD?

Tudo vai ficar na nova norma que vamos lançar, não vai ser penalizado, apenas advertido e dado esse prazo, a partir do momento que nós recebermos algum input. Então nós não estamos considerando, nós temos as nossas preocupações. Eu acho que a empresa, pela ANPD, que é por onde nós podemos responder, vai aguardar esse período. Durante esse período, ela vai ficar se adequando à autoridade, se adequando à Lei Geral, mas já sabendo que ela vai ter realmente essa flexibilização.

No artigo 7º da LGPD temos os 10 incisos que são as bases legais para poder garantir o tratamento dos dados. Alguns deles, como o legítimo interesse, são subjetivos. Pode configurar que a interpretação da empresa seja diferente da interpretação da ANPD. O que aconteceria nesses casos?

Essa é uma pergunta que seria mais para o caso de algum caso concreto, caso abstrato é difícil até de se responder. Mas para qualquer denúncia que nós recebemos, abre-se o processo e chama-se as partes. Nós vamos chamar a empresa e ela vai explicar qual a base que ela utilizou e justificar a utilização dessa base. Então nós vamos estabelecer esse contato e, em a ANPD compreendendo e concordando, está ok. Do contrário, a solução será dada de alguma forma, com um prazo e uma orientação em termos de medidas corretivas.

Criou-se um mito sobre a LGPD de que o consentimento seria necessário para tudo.

Todas as dez bases legais têm o mesmo peso. Eu acho que a empresa tem direito a escolher a sua base, só tem que justificar que a base escolhida é adequada para a finalidade. Aqueles princípios são muito importantes: a finalidade, a necessidade. Essas perguntas que as empresas sempre têm que responder quando usam uma base. A grande novidade da LGPD é fornecer outras bases. O consentimento é o mais popular, pois antes da LGPD, era a base mais utilizada. O consentimento tem que ser bem definido, não pode ser amplo, e ele deve ser revogável. A empresa tem que se preocupar bastante ao usar o consentimento.

Se os dados do cliente foram coletados para uma finalidade, é possível que a empresa os utilize também para outras finalidades?

Os dados são do titular. Se você recolheu esses dados com uma finalidade e vai usar para outra, o titular tem que ser informado e tem que estar de acordo. É uma conversa bem lógica entre a empresa e o titular dos dados. Se os dados foram buscados com uma finalidade, que agora será trocada, é preciso voltar a conversar com o titular. É importante responder sempre aos princípios: adequação, finalidade e necessidade.

O soft opt in (quando o titular dos dados não diz nem sim, nem não, e então é considerado um sim) é bastante utilizado na Europa. Como a LGPD vê isso?

O consentimento tem que estar bem claro e pontual, não pode ser genérico. É preciso definir exatamente o que se está consentindo. A nossa falta de cultura nos atrapalha nesse momento, mas o usuário não pode aceitar sem ler os termos e depois reclamar, pois ele aceitou as condições de tratamento de seus dados. Antes de aceitar é preciso saber o que se está consentindo e, caso não se concorde, pode-se contestar. Mesmo que você esteja com pressa e aceite sem ler os termos, depois volte atrás e leia.

O artigo 42 da lei estabelece que o controlador e o operador de dados podem ser responsabilizados por incidentes que envolvam dados dos clientes. E quanto ao encarregado de dados? Ele poderia também ser responsabilizado?

Não, o controlador e o operador são sempre os responsabilizados. O encarregado de dados é uma pessoa fundamental nas empresas, é o funcionário que conversa com os operadores que estão fazendo o tratamento de dados, que conversa com o cliente e sana dúvidas, ele alerta a diretoria executiva em casos de necessidade, para que não haja prejuízos e ele conversa com as autoridades.

Quais são as características que são vistas pela ANPD em se tratando de proteção e privacidade de dados que diferenciariam o órgão público do órgão privado? A Lei de Acesso à Informação (LAI) vai de alguma forma contra a LGPD?

A única coisa que vai mudar para os órgãos públicos, em termos de fiscalização e sancionamento, é a multa pecuniária. As obrigações, as responsabilizações continuam valendo. Na parte de vazamentos, nós temos muitos casos que são de órgãos públicos e nós estamos atuando junto aos órgãos. Quanto à LAI, ela é coletiva, enquanto a LGPD é individual do titular dos dados. Se existe a instrução de tornar os dados transparentes, e agora surgiu a LGPD, é preciso informar o usuário que seus dados se tornarão públicos. As empresas terão que se adequar para que tudo que tinham dentro da empresa antes esteja, agora, em conformidade com a LGPD. No meu último ano na Telebrás, nós vimos que praticamente todos os nossos contratos teriam que ter aditivos para entrar em conformidade com a Lei.

Há um projeto de lei que pretende incluir entidades filantrópicas como uma das exceções à LGPD. Como a ANPD vê isso?

Vai ser uma decisão do Congresso, nós temos que cumprir. O que buscamos é fazer parte da discussão. Acho importante a autoridade mostrar pontos positivos ou negativos de qualquer alteração que a LGPD venha a sofrer. A partir do momento que for lei, vai passar a ser fiscalizado pelas autoridades tal e qual. Então, acho que é importante mostrar que a ANPD tem que ser ouvida e convidada para debater quando o assunto nos tocar.