A ANPD assinará o acordo de adequação internacional com a União Europeia ainda em janeiro. Em entrevista para Mobile Time, Waldemar Gonçalves, diretor-presidente da Agência Nacional de Proteção de Dados, conversou sobre alguns pontos que acabaram ficando de fora do Mapa de Temas Prioritários e da Agenda Regulatória 2025-26. Um dos assuntos abordados foi justamente a transferência de dados internacionais.
Confira abaixo os principais trechos da entrevista, que também abordou treinamento de modelos de linguagem, gerenciamento de incidentes e relacionamento com empresas, biometria e reconhecimento facial, entre outros temas que ficaram de fora da agenda e do mapa.
MOBILE TIME – Como a ANPD está lidando com temas como o treinamento de modelos de linguagem (LLMs) e deep fakes? Esses pontos foram deixados para quando o marco de regulação de inteligência artificial for aprovado no Congresso?
Waldemar Gonçalves, presidente da ANPD em evento CPDP Latam, de 2024. Crédito: Isabel Butcher/Mobile Time
Waldemar Gonçalves: Nosso modelo de governança é baseado em riscos, evidência empírica e previsibilidade regulatória, utilizando nosso mapa de temas prioritários e a agenda regulatória de 2025-2026 como base. Contamos com a colaboração do Conselho Nacional de Proteção de Dados e de diversos setores por meio de consultas públicas para tomada de decisão. Nossa estrutura ainda está crescendo. De maneira geral, o ideal seria melhor atacar tudo, mas, infelizmente, não é possível neste momento.
Sobre as ausências, hoje, na ANPD, o que temos referente à inteligência artificial é aquele tratamento relacionado diretamente aos dados pessoais. Algumas fiscalizações de modelos fundacionais fogem do nosso escopo atual da agência, mas o novo PL trará novas obrigações que extrapolam a questão dos dados pessoais. Por isso, atualmente, temos algumas limitações de aprofundar algumas características da IA generativa de forma geral, nossa atuação é limitada ao que a lei define como tratamento de dados pessoais.
No futuro, com a regulamentação de IA aprovada, cada agência vai cuidar do seu nicho. Quando houver mais de um tema, e o residual, aquilo que não é de nenhuma das agências reguladoras, deve ir para a ANPD. Mas, para essa atuação, necessitamos que o PL avance. Temos uma atuação limitada a dados pessoais, ou seja, quando há irregularidades no tratamento de dados pessoais. Foi o caso da MetaAI, no WhatsApp. Tinha como base o legítimo interesse e, no entanto, usava dados de crianças e adolescentes. Neste caso, atuamos de forma rápida.
Sobre transferência internacional de dados e cibersegurança: como esses temas estão caminhando?
Na transferência internacional, atuamos inicialmente com cláusulas contratuais padrão. São modelos mais burocráticos. A solução ideal é a decisão de adequação. Este mês será firmado um acordo de adequação entre Brasil e União Europeia, que deve ser o mais amplo já feito pela UE até agora. Esse aprendizado nos dará celeridade para firmar decisões com outros países com quem a Europa já tenha esse tipo de acordo, como Coreia do Sul e Japão. E já iniciamos com outros países conversas de decisão de adequação, como Reino Unido, Coreia do Sul, Argentina.
São processos morosos entre os países e dependemos da velocidade que esses países aplicam essas decisões. Mas o mais importante é sair o primeiro, com todo o aprendizado. Teremos uma população beneficiada imensa e o setor receberá essa vantagem de adequação. Nosso objetivo é que os dados dos brasileiros estejam protegidos em qualquer lugar do mundo.
Quanto à cibersegurança, analisamos se o controlador tomou as medidas necessárias para proteger os dados dos titulares. Isso implica em possibilidade de sancionamento. Temos o poder de avaliar a segurança tecnológica por meio de relatórios (RIPD), documentação e de informações. Avaliamos se a segurança tecnológica atende. O governo está tratando a cibersegurança como algo transversal, e há uma tendência de a Anatel assumir novas tarefas nessa área, mas a ANPD continuará atuando onde houver impacto nos dados.
Como a ANPD gerencia incidentes de segurança e a relação com as empresas para evitar que elas escondam esses problemas?
Queremos uma atuação responsiva, não puramente punitiva. Desejamos que as empresas nos avisem sobre incidentes para que possamos indicar formas de mitigar danos aos usuários. A maioria dos comunicados de incidentes não vira processo de fiscalização; atuamos junto a outra parte para diminuir danos e para trazer conformidade e segurança ao titular.
Atualmente, quando há vazamento de dados, as empresas têm três dias úteis para reportar. Há possibilidade de, após o comunicado, pedirmos complementações de informações. Em muitos casos, identificamos o incidente, mas não o todo. E é necessário fazermos uma avaliação mais aprofundada.
Mas o mais importante é não associar comunicar o incidente com sancionamento. Somos um órgão que pretende auxiliar a outra parte para tratar o incidente.
A ANPD já avançou nas questões de comunicados de incidentes. Ele estabelece prazos, metodologia e processos de comunicação. E está regulamentado desde o ano passado. Atualizamos os formulários para comunicação de incidentes para que o processo seja automatizado e mais rápido. E, atualmente, os formulários estão sendo atualizados frente às obrigações do ECA Digital. Também estamos atualizando formulários de denúncias e peticionamentos. Temos uma coordenação específica que avalia se as medidas técnicas de segurança foram suficientes e, se necessário, faz determinações e recomendações.
Estamos formalizando essas questões porque estamos atualizando nossos regulamentos para a entrada do ECA Digital. Esse é um processo interno. E os formulários de peticionamento também estão sendo atualizados por conta do ECA Digital para que tudo esteja pronto para o dia 18 de março.
Por que o tema biometria e reconhecimento facial saiu dos temas prioritários de fiscalização?
A biometria é muito relevante. Presido redes internacionais (Ibero-americana e Lusófona) onde o tema é estudado profundamente. A preocupação da ANPD é saber onde está o banco de dados e por quanto tempo são mantidos os dados biométricos, se é empresa nacional ou internacional. Especialmente em projetos como o “Estádio Seguro”. E, normalmente, temos a área de investigação e criminal nos auxiliando nessas áreas.
A biometria não saiu da nossa agenda regulatória; ela é o item 5 e está em fase de produção de regulamento. Ele encerrou a fase de coleta de subsídios e estamos trabalhando internamente na produção de uma resolução referente a dados biométricos. Ele sai dos temas prioritários de fiscalização, porém, está abrangido de forma transversal em temas como direitos dos titulares, proteção da criança e do adolescente em ambiente digital. Ela apenas saiu da lista específica de temas prioritários de fiscalização porque agora é tratada de forma transversal em outros temas. É prioridade.
Quais são as expectativas para a ANPD este ano, considerando o crescimento da estrutura e a entrada em vigor do ECA Digital?
É um ano desafiador e de transformação. Com o ECA Digital, a ANPD foi elevada ao status de agência reguladora, o que fortalece nossa estrutura quantitativa e orçamentária. Nosso maior limitador hoje é o espaço físico: fomos autorizados a contratar centenas de novos servidores e queremos saltar de 200 para um quadro de 500 a 700 colaboradores até o fim deste ano. Estamos pleiteando um espaço próprio para albergar todos esses servidores e colaboradores.
Em contrapartida, com o ECA Digital mais do que dobramos o nosso orçamento, o que foi importante para alcançar as metas e aumentar nossa capacidade. A licitação para o novo espaço já está em fase inicial. Será uma grande transformação ao longo deste ano da Agência Nacional de Proteção de Dados, mesmo com todas as burocracias necessárias que fazem parte.
Sobre o dia 18 (entrada em vigor do ECA Digital), nossa expectativa é analisar como as empresas se adaptaram. Temos hoje uma estrutura de fiscalização muito mais madura. O objetivo é fornecer um ambiente digital mais seguro para crianças e adolescentes, dividindo a responsabilidade que antes era apenas dos pais com os provedores e plataformas. Será um grande ganho para o país.
