Arthur Sabbat é um dos colaboradores da Lei Geral de Proteção de Dados. Atualmente ocupa uma vaga como Diretor do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD). Ele é um especialista em Segurança da Informação, em Crimes Cibernéticos e em Privacidade de Dados e uma das vozes mais respeitadas quando se trata da aplicação da LGPD no Brasil.
Hoje, uma das grandes preocupações das empresas do setor privado é a aplicação de sanções e multas por conta de incidentes de Segurança da Informação que envolvam vazamento de dados pessoais. A previsão é de que, a partir de agosto, essa punição possa ser aplicada pela Autoridade, em caso de violação da Lei. Mas será que a ANPD estará preparada para a correta aplicação desse recurso, dentro do prazo previsto? Essas e outras questões importantes são respondidas pelo Diretor da ANPD nessa entrevista exclusiva.
Graça Sermoud: O senhor acredita na possibilidade de adiar a entrada em vigor das sanções em agosto, como já está previsto? O PL de 19 de fevereiro, do Deputado Eduardo Bismark, propõe alterar o art. 65 da Lei nº 13.709, de 14 de agosto de 2018, para determinar a postergação, até o dia 1º de janeiro de 2022, das multas administrativas previstas na Lei Geral de Proteção de Dados Pessoais (LGPD).
Arthur Sabatt: Eu acredito que não. Nessa altura, seria muito difícil que as multas fossem postergadas. Quando a LGPD entrou em vigor, o Congresso já havia aceitado a data de primeiro de agosto, acredito que qualquer esforço no sentido de postergar isso não vai ser bem recebido. O caráter da ANPD não é punitivo, ela vai realizar fiscalizações, mas com viés de orientação, a agenda da Autoridade está calcada em regulamentar aspectos que a própria Lei deixou, nosso foco não é a sanção.
Graça Sermoud: Acompanhamos durante um longo tempo o vai e vem da aprovação da Lei. Uma das justificativas para que as sanções fossem postergadas era o cenário da Covid-19 e, infelizmente, esse quadro não mudou, a crise econômica e sanitária só se agravou. Mesmo assim o senhor acredita que não há risco de as sanções serem adiadas?
Arthur Sabbat: Esse argumento não se sustentou da primeira vez. O Senado houve por bem não levar adiante essa argumentação para adiar a entrada em vigor da Lei e não acredito que isso seja um argumento agora para adiar as sanções. Entretanto, gostaria de mencionar que o Congresso é soberano, o Presidente tem a sua linha, com base nisso vão decidir e cabe à ANPD aceitar. O nosso trabalho é no sentido de estarmos preparados para o cenário previsto, que é agosto.
Graça Sermoud: Perfeito. Agosto está próximo, a ANPD já está preparada para a aplicação das sanções?
Arthur Sabbat: Estamos debatendo uma minuta de processo sancionador, teremos algo pronto nesse sentido em agosto, sim. O tempo é curto, envolve consultas e audiências públicas, análises de impactos regulatórios, eventos e documentos que demandam tempo, estamos tratando de regulamentações e tomadas de subsídios.
Agora, por exemplo, estamos realizando a tomada de subsídios das PMEs, segmento que representa a grande maioria das empresas, a massa do setor produtivo nacional. Para esse grande nicho teremos, por exemplo, regras diferenciadas com relação ao encarregado, a ideia é fazer uma regulamentação com regras mais suaves, porque nós sabemos que essas empresas possuem características diferentes, é preciso suavizar e minorar as sanções. Esse mesmo tratamento diferenciado será dado às startups.
Graça Sermoud: O que é necessário para que as multas entrem em vigor, como está sendo esse modus operandi?
Arthur Sabbat: Existem dois instrumentos essenciais, muito necessários. O primeiro é um nítido processo sancionador, que já está sendo minutado, escrito e debatido. O segundo é o cálculo para as multas, dosimetria, métrica econômica, isso também tem que ser escrito. Não posso assegurar que esses dois regulamentos estarão prontos até agosto, mas estamos trabalhando para isso.
Graça Sermoud: O que irá acontecer se as sanções entrarem em vigor e esse processo não estiver concluído?
Arthur Sabbat: O que acontece, se não tivermos até agosto tudo pronto, como previsto, as sanções entrem e a ANPD não poderá proceder à aplicação, isso no que diz respeito às punições exclusivas da Autoridade. Nesse caso, as infrações poderão ainda não ser sancionadas pelo artigo 52, mas as empresas que cometerem violações poderão ser punidas por outras sanções e outros órgãos, como já acontece hoje.
Graça Sermoud: Outro aspecto importante nesse momento é o cenário de vazamentos. Não é papel da ANPD investigar, mas a Autoridade já está atuando e apoiando outros órgãos nessas ações como a Polícia Federal e o Acordo de Cooperação Técnica com a Secretaria Nacional do Consumidor (Senacon)?
Arthur Sabbat: Com relação ao cenário de vazamentos, não é papel da ANPD investigar, daí a importância desses parceiros. De acordo com as nossas competências, cabe a Autoridade realizar auditorias e fiscalizações, então para que nós possamos emitir uma notificação, temos que ter um certo grau de certeza da origem. Se o fizermos estamos pressupondo a culpa daquela entidade. Nesse sentido, estamos solicitando apoio da Polícia Federal, do Cert.br e outros órgãos, que vão nos entregar informações, uma dosimetria maior no emprego do enforcement. Trata-se de uma atitude colaborativa, para embasar a ação fiscalizatória, nutrida por essas informações.
Graça Sermoud: Ainda sobre essa sequência de megavazamentos, com certeza eles chocaram toda a sociedade. Na sua opinião, eles colocam a privacidade dos dados dos brasileiros em xeque?
Arthur Sabbat: A primeira coisa é que esses vazamentos são graves, mas são, na verdade, uma coroação de todos os erros que a nossa sociedade tem cometido aos longos dos anos. Nós só vimos o lado positivo da digitalização, não vimos os mecanismos de segurança, usufruímos e afundamos no mel, entregamos nossos dados, só quisemos benefícios. Passamos nossos dados, de supermercados a lojas de lingeries. Com o advento de machine learning e big data tudo ficou muito mais difícil, nomes podem ser falsificados, isso tudo torna mais relevante uma ação investigativa.
Temos que estar mais atentos a ações de engenharia social, muito mais alertas a categorias de dados, sabendo que hoje estamos pagando por décadas de descuido com as informações pessoais. Os dados não estão soltos, estão sendo vendidos, comercializados, estão fazendo parte de pacotes, infelizmente estamos aprendendo pela dor.
