Como será o papel do Data Protection Officer (DPO), responsável pela segurança dos dados de uma empresa? Este cargo será obrigatório em todas as empresas, inclusive as micro e pequenas? Os bancos de dados pré-existentes, como ficarão? E aqueles exames laboratoriais que devem ser comunicados ao Ministério da Saúde? As dúvidas são muitas quando se trata de regulamentações que foram designadas para a Autoridade Nacional de Proteção de Dados (ANPD). A entidade, uma vez implementada, deve realizar ajustes na Lei Geral de Proteção de Dados (LGPD) e decidir sobre uma série de aspectos para eliminar a insegurança jurídica tão temida pelas empresas.

Eduardo Magrani, advogado especialista em direito digital e proteção de dados e presidente do INPD (Instituto Nacional de Proteção de Dados), explica: “Vivemos agora em um limbo em que empresas não têm clareza de como fazer a adequação, porque a lei não é clara em muitos pontos e tem lacunas que deveriam ser preenchidas pela ANPD. Nesse limbo algumas se adequam mais e outras, menos, mas muitas estão no escuro. A vigência da LGPD e a estrutura da ANPD é que vão garantir maior clareza”.

Rodolfo Fucher, presidente da Associação Brasileira de Software (Abes) definiu esses pontos considerados como “limbos” por Magrani como “last mile” da LGPD e, por causa deles – ou da ausência de definição sobre eles – muitas empresas não estão totalmente em conformidade com a legislação. Falta a ANPD para dar as diretrizes. Fucher dá como exemplo o setor da saúde, onde alguns resultados de exames laboratoriais precisam ser enviados ao Ministério da Saúde. É o caso do exame para a Covid-19. “Os laboratórios precisam mandar essas informações e temos aí nome, CPF, enfim, dados sensíveis. Esse setor está preocupado sobre como deve proceder. Quais são os cuidados? Deve continuar fornecendo? Que tipo de documento eles devem pedir para os seus clientes para ter a autorização do envio dos dados? Se sai positivo (o exame para Covid-19), tenho que autorizar o laboratório a enviar os dados. E se o paciente não autorizar? Qual o meu direito como cidadão, qual a responsabilidade do laboratório e qual o papel do governo?”, questiona Fucher.

Outro ponto citado pelo presidente da Abes é quanto aos dados que devem ser transmitidos para outros países. Cabe à ANPD definir a forma e identificar se esses países teriam a proteção adequada para receber os dados. “Como será a transferência de dados entre Brasil e China, por exemplo, ou Estados Unidos?”

Magrani destaca ainda o papel do Data Protection Officer (DPO): “O GDPR (Regulamento Geral sobre a Proteção de Dados, lei europeia) esmiúça o assunto, dizendo que o DPO só é obrigatório em três casos. Em outros ele é recomendado como boa prática. A LGPD não detalhou isso. Então qualquer startup precisa contratar um DPO, que tem responsabilidade enorme e tem um custo. Essa lacuna de quem deveria contratar ou não um DPO poderia ser endereçada pela ANPD”.

O presidente da Abes concorda com Magrani, mas lembra que as grandes empresas já deveriam ter a figura do DPO definida. “Porém, com a falta da ANPD no momento, a quem esse profissional deverá se reportar? Imagina um vazamento de dados num órgão público. O funcionário público designado deverá se reportar a quem se não temos ainda a autoridade?”, questiona Fucher. “Ao ministro da Casa Civil? Os funcionários públicos são obrigados a seguir o que está na lei. Hoje, eles têm que reportar para a autoridade. E aí? Eles podem ser responsabilizados por não reportar”.