A Medida Provisória (MP) 1.317, sancionada recentemente, representa um marco importante na transformação da proteção de dados pessoais no Brasil. Com a reestruturação da Autoridade Nacional de Proteção de Dados (ANPD) e sua transformação em uma agência reguladora independente, a MP visa conferir maior seriedade e eficácia na implementação da Lei Geral de Proteção de Dados Pessoais (LGPD). A mudança reflete um compromisso com a aplicação efetiva das normas de privacidade, tanto no âmbito regulatório quanto na fiscalização das empresas.
Este artigo explora as implicações da MP 1.317 para o cenário jurídico de privacidade de dados no Brasil, os impactos para as empresas e a mudança no modo como a ANPD irá fiscalizar e regular as práticas de tratamento de dados pessoais, enfatizando como práticas anteriormente toleradas e consideradas “normais” serão agora tratadas de maneira mais rigorosa.
A Transformação da ANPD e a Maior Seriedade na Privacidade de Dados
A MP reflete a intenção do governo brasileiro em tratar a privacidade de dados com a seriedade que o tema exige. A transformação da ANPD em uma agência reguladora independente confere à instituição maior autonomia administrativa, financeira e orçamentária, permitindo-lhe atuar de forma mais ágil e eficaz na regulamentação, fiscalização e aplicação das disposições da LGPD.
Além disso, a ANPD passa a ser responsável por novas atribuições, como o acompanhamento e fiscalização do “ECA Digital” (Estatuto da Criança e do Adolescente Digital), que visa proteger os dados pessoais de crianças e adolescentes no ambiente digital. Essa nova responsabilidade expande ainda mais o papel da ANPD, tornando-a uma peça central na defesa da privacidade em diversos contextos, não só em relação à proteção de dados pessoais de adultos, mas também em relação ao uso seguro da internet e plataformas digitais por menores de idade.
Com essa reestruturação, a ANPD terá não apenas a capacidade de monitorar mais de perto as práticas de tratamento de dados pessoais, mas também um poder ampliado para fiscalizar e penalizar infrações, especialmente em empresas que, até o momento, podem ter se sentido menos pressionadas a se conformar, especialmente as de menor porte.
Mudanças na Fiscalização e o Impacto para as Empresas
Com a maior autonomia da ANPD, a fiscalização sobre as práticas das empresas em relação à proteção de dados será mais intensa e eficaz. Para as empresas, isso significa que ações que antes eram tratadas como “situações normais” ou até toleradas, muitas vezes por falta de fiscalização ou pela ausência de consequências reais para empresas de menor porte, serão agora alvo de uma fiscalização mais rigorosa.
Revalidação de Programas de Privacidade
Até o momento, muitas empresas, especialmente as de menor expressão, adotaram programas de privacidade de dados de forma pontual e sem revisões periódicas, considerando-os como “suficientes” para a conformidade. A MP agora exige que esses programas sejam revistos e atualizados regularmente, uma vez que a ANPD terá a capacidade de cobrar a eficácia dessas políticas. As empresas precisarão demonstrar que seus programas de privacidade são efetivos e que estão em constante adequação à LGPD.
Ausência de DPO e Falta de Atendimento às Demandas
A ausência de um Data Protection Officer (DPO), que antes podia ser vista como uma falha “tolerada” ou uma questão secundária por algumas empresas, agora será tratada como uma infração grave. A MP confere à ANPD a capacidade de exigir a nomeação de um DPO, especialmente para empresas que tratam grandes volumes de dados pessoais. O não atendimento às demandas dos titulares de dados, como solicitações de acesso, retificação ou exclusão, que em muitas ocasiões eram minimizados ou não priorizados pelas empresas, também será fiscalizado de maneira mais rigorosa.
Estabelecimento de Canal de Comunicação Eficiente
Além da nomeação de um DPO, as empresas devem também estabelecer um canal de comunicação adequado e eficiente, garantindo que os titulares de dados possam facilmente fazer suas solicitações, como acesso, correção ou exclusão de dados, e que a empresa possa responder de forma ágil e transparente. A falta de um canal de comunicação eficiente pode resultar em penalidades, visto que a ANPD agora terá maior poder para monitorar e cobrar a efetividade da interação entre as empresas e os titulares de dados.
Incidentes de Privacidade e Não Conformidades
Incidentes de privacidade e falhas em medidas de segurança, antes tratados como “situações normais que acontecem em várias empresas” e muitas vezes considerados inevitáveis ou sem grandes consequências, serão agora vistos sob outra ótica. Com a ANPD com maior poder de fiscalização, o simples não cumprimento dos requisitos legais, como a falta de notificação adequada após um incidente de segurança ou a ausência de planos de resposta a incidentes, será tratado como uma infração passível de sanções rigorosas.
Práticas de Não Conformidade Serão Vistas Como Infrações Inaceitáveis
A grande transformação proporcionada pela MP é a mudança no tratamento de várias práticas que anteriormente eram vistas como “situações normais” dentro das empresas, muitas vezes devido à falta de fiscalização efetiva ou porque não geravam consequências significativas para empresas de menor porte. Questões como a falta de revalidação de programas de privacidade, a ausência de DPO, incidentes de privacidade negligenciados ou o não atendimento às solicitações dos titulares de dados pessoais, que anteriormente eram considerados problemas menores ou até comuns, agora serão encaradas como falhas graves.
Com o novo formato da ANPD, essas práticas serão tratadas de forma diferente. Elas não serão mais toleradas como “erros normais”, mas sim consideradas infrações que precisam ser corrigidas imediatamente, sob pena de sanções significativas. As empresas terão de mudar sua postura em relação à privacidade de dados, tratando a conformidade com a LGPD como uma prioridade estratégica e não apenas uma obrigação formal.
Como as Empresas Devem se Preparar para o Novo Cenário Regulatório
Com a intensificação da fiscalização pela ANPD, as empresas precisarão adotar uma postura mais proativa para garantir a conformidade com a LGPD e evitar penalidades severas. Para tanto, será essencial a implementação de medidas que atendam às exigências da nova estrutura regulatória, tais como:
- Revisão contínua de programas de privacidade: As empresas devem garantir que seus programas de conformidade com a LGPD sejam regularmente auditados e adaptados às melhores práticas e às exigências da ANPD.
- Nomeação de um DPO: Empresas, especialmente aquelas que lidam com grandes volumes de dados pessoais, devem garantir a nomeação de um DPO para monitorar e garantir a conformidade contínua com as normas da LGPD.
- Estabelecimento de um canal de comunicação eficiente: As empresas devem implementar canais adequados para que os titulares de dados possam facilmente exercer seus direitos, como acesso, correção e exclusão, e para que a empresa possa responder de forma transparente e dentro dos prazos legais.
- Gestão eficaz de incidentes de privacidade: A implementação de um plano robusto de resposta a incidentes de privacidade será imprescindível. A ANPD cobrará que as empresas não apenas estejam preparadas para identificar e mitigar incidentes de segurança, mas também para notificar a agência e os titulares de dados de maneira tempestiva e transparente.
- Atendimento ágil às demandas dos titulares de dados: A ANPD exigirá que as empresas implementem processos eficientes para responder prontamente às solicitações dos titulares de dados, com prazos adequados e um sistema de registros transparente.
Conclusão: A Privacidade de Dados Como Prioridade Estratégica
A Medida Provisória representa uma mudança significativa no tratamento da privacidade de dados no Brasil. A reestruturação da ANPD confere maior autonomia e poder de fiscalização, garantindo que a proteção de dados pessoais seja tratada com mais seriedade e rigor. Para as empresas, isso significa que práticas anteriormente vistas como “normais”, muitas vezes por falta de fiscalização e por não gerarem consequências para empresas de menor porte, serão agora alvo de um controle mais rigoroso.
Com a ANPD assumindo um papel mais ativo e independente, as empresas precisarão mudar sua abordagem em relação à privacidade de dados, tratando-a como uma questão central e estratégica, e não mais como uma formalidade burocrática. A conformidade com a LGPD passará a ser uma prioridade imprescindível para evitar penalidades severas e garantir a confiança dos consumidores e a segurança jurídica de suas operações.
