A partir de agora, a comunidade de Segurança Cibernética no Brasil respira mais aliviada sobre os pontos polêmicos da LGPD como a criação de uma agência reguladora e o prazo apertado para a vigência da Lei. Com a Medida Provisória 869/2018 assinada por Michel Temer no fim do mandato e a criação da Autoridade Nacional de Proteção de Dados (ANPD), as empresas brasileiras terão todo o ano de 2019 para trabalhar em prol da regulamentação.
De acordo com o documento assinado, o órgão ficará ligado à Presidência da República. Na opinião da Dra. Patrícia Peck Pinheiro, advogada especialista em Direito Digital, esse é um dos pontos frágeis da MP: “A vinculação da ANPD à Presidência da República pode trazer dependência política, estando sujeita a acordos e indicações pelo próprio presidente. Deveria haver uma autonomia, uma independência, que seria essencial para uma Autoridade desse nível”, afirma Dra. Patrícia.
Independência e orçamento
Segundo a advogada, será necessário também corrigir a questão do orçamento da ANPD, que é importante para garantir uma sustentabilidade do órgão à longo prazo. “A presidente da Autoridade de Proteção de Dados de Portugal fez uma declaração recentemente ressaltando a dificuldade de investigar cerca de 160 denúncias de violações da GDPR em apenas 6 meses da lei em vigor, mesmo contando com equipe própria e verba própria. O mesmo não pode acontecer no Brasil, pois a MP cita a criação da ANPD sem aumento de despesas”, revela a Dra. Patrícia.
A MP 869 também mudou outros itens da LGPD. Entre eles, o prazo de vigência, que estava prevista para fevereiro de 2020, agora entrará em vigor em 15 de agosto do mesmo ano. Na prática, as empresas ganharam mais seis meses para se adaptar ao texto legal.
“Para o mercado é um alívio, pois caso o prazo se mantivesse o mesmo, poderia ocorrer uma fiscalização difusa. Haveria uma complexidade muito grande em virtude da possibilidade de serem judicializadas ações em qualquer local do país. A ANPD centraliza e simplifica esse processo”, esclarece a advogada.
De acordo com a Dra. Patrícia, além desses princípios, a ANPD também tem o propósito de propor melhorias contínuas da LGPD, fiscalizar entidades privadas e públicas, conscientizar a população, entre outros afazeres.
“Ainda estamos no prazo para que a MP seja ajustada com esses pontos, tendo garantidas sua autonomia e orçamento, e isso precisa ser cobrado pelas empresas, profissionais e especialistas do setor”, finaliza a advogada. A Medida Provisória 869 ainda deverá ser discutida pelo Congresso Nacional antes de ser enviada para sanção presidencial.
Novo prazo pode ser uma cilada
A criação da autoridade também traz um alívio para muitas empresas que, no ano passado, estavam perdidas em relação aos principais passos a serem dados no sentido de se preparar para a regulamentação, principalmente as pequenas e médias, que muitas vezes não possuem tanta maturidade em segurança e nem profissionais qualificados internamente.
A expectativa agora com a criação da autoridade e o prazo estendido é que as empresas consigam estabelecer um cronograma de ação. Entretanto, corre-se o risco de que muitas, ao ganharem mais tempo, também prorroguem o prazo para tomar as medidas necessárias. Exatamente nesse ponto reside o maior risco, segundo Patrícia Peck.
Deixar para última hora e achar que pode dar o famoso “jeitinho brasileiro” pode não funcionar nesse caso, já que além das questões legais existe uma lição de casa importante que é mapear os dados pessoais, avaliar como estão capturados, armazenados, acessados e protegidos. Isso implica em rever processos, avaliar tecnologias de segurança da informação e pessoas envolvidas.
