Notas Taquigráficas
17/10/2023 - 40ª - Comissão de Serviços de Infraestrutura
| Horário | Texto com revisão |
|---|---|
| R  | O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO. Fala da Presidência.) - Havendo número regimental, declaro aberta a 40ª Reunião da Comissão de Serviços de Infraestrutura da 1ª Sessão Legislativa Ordinária da 57ª Legislatura. No momento, nós estamos vendo que hoje o Senado está concentrado basicamente no relatório final da CPI do 8 de janeiro - grande parte dos Senadores está lá -, mas nós temos aqui 11 ou 12 já inscritos, que registraram a presença em nossa audiência pública. Habitualmente, nós começamos às 9h, para terminar mais cedo. Hoje, terça-feira, é um dia agitado aqui no Senado. Mas, devido ao Dr. Waldemar ter alguns compromissos anteriores, estamos começando agora, às 10h. A presente reunião destina-se à realização de audiência pública com o objetivo de apresentar e debater o plano de atuação da Agência Nacional de Processamento de Dados no que se refere à proteção de dados e à transformação digital do nosso país, em atenção ao Requerimento nº 15, de minha autoria. Já está aqui conosco o Dr. Waldemar Gonçalves Ortunho Júnior, Presidente da Autoridade Nacional de Proteção de Dados. Antes de passar a palavra ao nosso convidado, eu comunico que esta reunião será interativa, transmitida ao vivo e aberta à participação dos interessados, por meio do Portal e-Cidadania, na internet, pelo endereço senado.leg.br/ecidadania, ou pelo telefone 0800 0612211. |
| R | O relatório completo com todas as manifestações estará disponível no portal, assim como as apresentações que forem utilizadas por nosso convidado. Sem mais delongas, nós vamos passar a palavra para o Dr. Waldemar Ortunho, Presidente da Autoridade Nacional de Proteção de Dados, pelo tempo que julgar necessário. Com a palavra, o Dr. Waldemar. O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR (Para expor.) - Bom dia a todos. Antes, eu queria parabenizá-lo, Senador, pela oportunidade de discutir esse tema importante ao Brasil, que é a proteção de dados. Quero agradecer e cumprimentar todos que nos assistem. Eu devo utilizar uns 20 ou 30 minutos e, depois, acho que a parte importante já é o debate com os senhores. Proteção de dados é um tema ainda bem desconhecido pelo brasileiro, e a forma de a gente vencer isso e de provocar uma cultura de proteção de dados pessoais no país percorreu o mesmo caminho que outros blocos, como o bloco europeu, e outros países fizeram. Então, a gente sabe que mudança de cultura é algo mais lento, mas, um passo de cada vez, nós vamos chegar lá. E essa foi a postura da ANPD desde o início. Estamos próximos a completar três anos - no próximo dia 6 de novembro isso ocorrerá -, e eventos como este, onde podemos debater o assunto nas suas diversas dimensões, vão nos permitir gerar esse conhecimento necessário aos diversos setores, especialmente ao titular de dados. A atuação da ANPD é pautada no planejamento, na transparência. São instrumentos disso a nossa agenda regulatória, o relatório de monitoramento e o plano estratégico, que pautam a atuação nos campos estratégico, regulamentar, fiscalizador e administrativo. Eu tenho alguns eslaides para direcionar a nossa apresentação. Atuação da ANPD na sua regulamentação, fiscalização e fortalecimento institucional. Em 2020, dia 6 de novembro, foi nomeado o primeiro conselho diretor, com cinco diretores, e isso marca a criação da Autoridade. Foi naquele momento de pandemia, quando todos os esforços estavam voltados ao atendimento do nosso brasileiro, um momento difícil. E a ANPD foi criada com a restrição de não gerar despesas. Então, num primeiro momento, nós tínhamos 36 posições. O Governo agrupou esses cargos comissionados, e houve a criação da ANPD. Não tivemos concurso público, não tivemos um plano de carreira, mas eu considerei muito oportuno aquele momento de criação. Diversos fatores obrigatórios, como a criação de um regimento interno, o início da normatização da Lei Geral de Proteção de Dados, foram dados a partir da nossa criação. Então, não fazia sentido esperar um melhor momento do que esse para se formar este grupo. |
| R | Hoje nosso cenário é um pouco diferente, mas eu ainda o considero preocupante sob alguns aspectos e vou definir qual é essa nossa grande preocupação. Nós tivemos uma formação como órgão da administração direta, ligado à Presidência da República, e com 36 posições. Numa segunda fase, usando a estrutura do Gabinete de Intervenção no Rio de Janeiro, aqueles cargos nos foram passados - nós tivemos o acréscimo que está apresentado nesses eslaides -, mas é muito pouco para o desafio da Autoridade. Se nós compararmos com o Reino Unido: lá, com 70 milhões de habitantes, há mais de 900 trabalhadores na Autoridade do país; aqui, hoje nós temos 119 requisitados. Os requisitados nos dão a vantagem de trazer quem a gente vê que tem o perfil para trabalhar na Autoridade, mas, por não termos cargos e funções a distribuir, a rotatividade deles é muito grande. Não tem como nós os segurarmos. Nós, no momento, estamos perdendo a nossa assessoria de comunicações, nós estamos perdendo um dos coordenadores da fiscalização, que receberam uma proposta que a gente vê que seria irrecusável. Além disso, o ritmo de trabalho na Autoridade é muito grande, quer dizer, por ter poucas pessoas, nós temos que produzir, e esse é um dos perfis que a gente busca na seleção do nosso pessoal. Mas tivemos entregas, muitas entregas. E eu já convido todos: no dia 6 de novembro, quando completamos três anos, teremos uma cerimônia à tarde, junto ao Auditório do TCU - aproveito para agradecer ao Presidente do TCU pela cessão do espaço -, em que um dos painéis será para apresentar as entregas que a Autoridade produziu em três anos. É um material que nós vamos distribuir para todos os ministérios, para o Congresso... Ele está numa fase de formatação. É surpreendente o que a equipe conseguiu, mas, se me perguntarem se eu estou acomodado nisso: não; não tem como estar. Eu não posso ter quatro pessoas na fiscalização de um tema transversal. Diversas agências reguladoras têm um nicho. Então, a Anatel tem telecomunicações; a ANS, a área de saúde; e nós, dados pessoais. Não tem, senhores, órgão público, não tem empresa pública ou privada que não tenha dados pessoais. Qualquer comércio local, na esquina, na sua quadra, tem dados pessoais. De que forma? Num papel ou, hoje em dia, de uma forma digital, o que é mais vulnerável ainda. Então, a nossa ascensão a essa função transversal nos dá um desafio imenso. Temos procurado sensibilizar todos com o poder de mudar esse cenário. Então, concurso público: nós já iniciamos um processo de 215 posições de servidores, o que vai melhorar bastante o nosso espaço. Nós não temos quadro próprio, então esse concurso é temporário, por cinco anos, quatro mais um, mas vai nos dar um fôlego de poder atender as necessidades do país, especialmente na área de fiscalização e na área de normatização. A nossa lei tem 65 artigos, todos precisando ser normatizados. |
| R | Também fizemos uma outra ação, que foi bem importante, quando nos tornamos uma autarquia especial, que foi trabalhar num PL que desse a estrutura e a independência necessárias a uma autarquia especial. Então, um exemplo típico: uma auditoria interna. Eu não tenho a função de auditor interno. Já tentei por requisição, mas nós não conseguimos. Trabalhamos junto à CGU se eles poderiam nos alocar um profissional até que essa estrutura fosse preenchida através de concurso público ou de alguma outra requisição, e também não conseguimos. Então, esse fortalecimento é importante, já está na Ploa de 2023 e será repassado para 2024, mas é algo importante para a Autoridade. A parte de Ascom mesmo, eu falei que estava perdendo, mas é um servidor - no caso, é uma servidora - que tem todos os cursos e atributos para a assessoria, mas eu não tenho cargo, não tenho função. Ela desempenhava, desta forma, sem função, uma função importante para a ANPD, que é divulgar as nossas entregas, que é divulgar exatamente tudo o que nós temos realizado e passar uma mensagem sempre para o nosso titular de dados, trazendo-o para a nossa realidade, que é proteger dados pessoais, mostrando o risco que são os dados pessoais, mostrando as atratividades que os seus dados têm para diversas empresas. Regulamentação. Essa é uma fase importante que nós temos. A nossa regulamentação vem de uma agenda regulatória. No primeiro momento, nós só tínhamos o Conselho Diretor e os primeiros servidores que estavam chegando à Autoridade. Então, essa primeira agenda regulatória foi elaborada totalmente pelo Conselho Diretor, o órgão máximo da ANPD. Já para 2023 e 2024, nós tivemos a colaboração de diversos setores, especialmente do nosso Conselho Nacional de Proteção de Dados, formado por 23 titulares, 23 suplentes, de todos os órgãos públicos e de diversos setores: do setor acadêmico, do setor empresarial, do setor laboral. Então, foi uma conquista, uma definição mais adequada de agenda regulatória. Análise de impacto regulatório: se nós vamos desenvolver alguma norma, algum guia orientativo, o que eu estou querendo desse material? Qual é o impacto que essa regulamentação vai provocar no nosso cenário nacional? Definido isto, nós fazemos uma consulta interna. Então, nós começamos a traçar nossa norma internamente. Concluída essa consulta interna, passamos para a nossa análise jurídica. A PFE faz a sua análise sob o ponto de vista jurídico. Só então este material vem ao Conselho Diretor. O Conselho Diretor coloca suas observações, e aí entra a parte de transparência, a parte que diferencia a ANPD do Brasil de diversas autoridades internacionais. Nós discutimos esse projeto de norma com todos os setores, através de uma consulta pública, através de audiência pública, em que buscamos especialistas, em que ouvimos todos que querem colaborar e dar sua opinião, suas ideias. Isso é considerado pela Coordenação-Geral de Normatização, até ela passar para um texto final, que é submetido à deliberação do Conselho Diretor. Esse processo de norma leva de 6 a 12 meses. Então, nós fizemos lançamento de guias orientativos, que são ideias para solucionar alguma realidade que a gente julga necessária aos setores. Por exemplo, na área de órgãos públicos, nós sentimos a necessidade de lançar um guia que definisse como o órgão público ia tratar dados pessoais. Então, é um processo mais rápido, é um processo que sofrerá várias atualizações até ser transformado numa norma, mas que caiu bem pela celeridade desse processo em relação à aprovação de uma norma. |
| R | O que é a nossa Agenda Regulatória 2023-2025? Nós elencamos 20 pontos divididos em quatro fases. Por exemplo, a Fase 1: a dosimetria, os direitos dos titulares, a comunicação de incidentes de dados à ANPD, a transferência internacional de dados - algo importante para o país -, o relatório de impacto à proteção de dados pessoais... |
| R | Esse é um relatório importante para as empresas, que demonstra para a ANPD que, antes de sofrer qualquer interferência externa, causando algum incidente de dados pessoais, a empresa já estava preparada, ela já sabia quais dados são mais sensíveis, qual é o tratamento que ela tinha que dar a esses dados; ela tinha planos para, se acontecesse um vazamento de dados, como ela procederia através de comunicação à ANPD, através de comunicação ao próprio titular de dados para que esse titular mitigasse o risco. Por exemplo, vazou minha conta bancária, a senha, senha de cartão: eu teria espaço de, antes de ocorrer algum dano maior, poder trocar, substituir a senha, bloquear algum cartão. Então, é algo necessário antes da ocorrência do fato, e nada melhor do que um relatório pronto, um relatório que toda instituição vestisse. Com isso, nós teríamos uma mitigação do dano causado por vazamento, algo a que todas as empresas, todos os órgãos públicos estão sujeitos. A figura do encarregado é algo muito importante. Eu digo sempre que ele é o defensor do CPF do diretor de órgão, do presidente de empresa; é um cara que tem trânsito com a diretoria, tem acesso a quem opera dados; é ele que tem a comunicação com a ANPD e o titular de dados. Então, é uma figura importante. E nós estamos na fase final para lançar nossa consulta pública a essa norma, que eu creio que, depois de dosimetria, é uma das mais esperadas pela nossa sociedade. Hipóteses legais de tratamento de dados são as bases legais. Nós saímos de uma realidade de consentimento para uma realidade de dez bases legais: execução de política pública, legítimo interesse, proteção ao crédito... São dez bases em que o controlador de dados poderá fazer a sua opção; opção essa sempre justificada e ilegalizada em função da norma editada. Definição de alto risco e larga escala, dados pessoais sensíveis de organizações religiosas, fins acadêmicos e realização de estudos - concluindo a Fase 1 ainda -, anonimização e pseudonimização, regulamentação do art. 62, que são dados educacionais. Aí já entraria na Fase 2: compartilhamento de dados pelo poder público, tratamento de dados de crianças e adolescentes, diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade... Neste item, eu destaco a importância do Conselho Nacional de Proteção de Dados nessa atuação. Eu creio que a principal função do Conselho de Proteção de Dados é participar da nossa constituição de uma Política Nacional de Proteção de Dados Pessoais e da Privacidade. O nosso primeiro conselho, dia 8 de agosto, terminou o mandato, e nós já elaboramos lista tríplice. Acho que, em breve, deve se dar a constituição do nosso segundo conselho, que vai trabalhar firmemente neste propósito: Política Nacional de Dados Pessoais e Privacidade. |
| R | Reconhecimento de regras, boas práticas e governança. A gente vê que ninguém conhece o seu setor como o próprio setor. Então, já participamos de diversos eventos, por exemplo, da ANS, em que ela lançou uma cartilha para os seus associados, com o conhecimento deles e em conformidade com a nossa lei. A ANPD participa desses eventos, o que é importante, é um incentivo que fazemos aos diversos setores sobre boas práticas e governança. Dados pessoais sensíveis. Nós estamos numa fase crítica disso, e estamos acelerando esse processo, tentando adiantar. É biometria, é reconhecimento facial... E temos visto muito isso em estádios de futebol, em diversas cidades, utilizando desta opção, que é um dado sensível. Medidas de segurança, técnicas e administrativas, u assunto importantíssimo com o ChatGPT, que provocou um boom em inteligência artificial. Todos, hoje, estão preocupados com isso, já conhecem alguma coisa do ChatGPT, e a ANPD não ficou fora disso. Nós lançamos um estudo preliminar e enviamos para a Comissão que trata do tema inteligência artificial. Estamos participando desses sistemas. É algo que, quando envolve dados pessoais, nós entendemos que, independentemente da tecnologia utilizada, é uma atribuição da ANPD, mas vemos que, nesse tema, uma autoridade natural, uma autoridade mais elencada para assumir a inteligência artificial, é a Autoridade Nacional de Proteção de Dados... Estão na nossa lei diversas atribuições que já fazem parte da nossa realidade. A decisão automatizada é um exemplo disso. Se nós tivéssemos mais uma autoridade para discutir um tema, com bastante sobreposição, poderia dar um choque e alguns conflitos não desejados. E o termo de ajustamento de conduta. A nossa normatização tem uma produção grande, tem uma ajuda imensa através de consultas públicas, através de audiência pública, e uma novidade, que surpreendemos alguns países, é mais uma ferramenta, que é a análise de resultados regulatórios; ou seja: lancei a norma, será que ela atingiu o seu objetivo? Então, após algum tempo desse lançamento de uma norma, nós reavaliamos se há necessidade de algum realinhamento, se ela atendeu aquele objetivo, ou se pode ser revogada porque não atendeu em nada o que nós queríamos. Então, várias autoridades internacionais nos procuraram para entender esta nova ferramenta. |
| R | Fiscalização. A fiscalização é nossa imagem junto ao público externo. Acho que todos estão querendo ver os resultados desta fiscalização. Alguns números. Processo de fiscalização em curso: nós temos 13. Sancionadores: 9. Comunicados de incidentes de segurança com dados pessoais: 730. Requerimentos com petições e denúncias: 2.647. Este é o trabalho que a fiscalização tem recebido. Como é constituída a nossa fiscalização? Nós temos um coordenador-geral, mais dois coordenadores. E aí nós temos três áreas. Uma é área de monitoramento, que são os olhos, a escuta da ANPD, constituída por quatro servidores. Três servidores ficam na área de sancionamento, então, para a sanção, nós temos três a quatro servidores. E, na área de incidentes de segurança, que é um tema importantíssimo, são quatro servidores que nós temos. É muito pouco pelo que nós recebemos. Então, as demandas que nós recebemos em termos de fiscalização, nós temos que dar prioridade e atender o que tem prioridade maior em função de mais pessoas sendo afetadas por aqueles acidentes. Quando envolve dados sensíveis, crianças, adolescentes, idosos, áreas de saúde... Então, é uma prioridade que, se nós tivéssemos mais servidores nessa área de fiscalização, nós poderíamos fazer de uma forma diferente. Então, a nossa Lei Geral de Proteção de Dados é a lei da qual todos estão abaixo e devem a ela se adequar. Quem fiscaliza, faz interpretações e sancionamento é a ANPD. Está abaixo o setor público - esse é o grande diferencial - e o setor privado. Então, todos os órgãos, Poder Executivo, Poder Legislativo, Poder Judiciário, controlador nacional, controlador estrangeiro estão sob a tutela da Lei Geral de Proteção de Dados. Nosso objeto: incidentes de segurança da informação - então, algum vazamento, alguma ocorrência anormal por parte de dados pessoais num órgão público ou numa empresa privada - e a conformidade de tratamento de dados. Nós sabemos que, às vezes, a tecnologia é viva; se nós desenvolvemos uma medida protetiva, rapidamente o outro lado desenvolve um novo ataque, e, assim, nós temos que arranjar uma nova norma de proteção. Então, é um tema vivo, que eu digo que sempre nós estamos sujeitos a vazamentos de dados. O importante é estar preparado. A gente vê que diversas empresas não têm esse cuidado; elas só vão se preocupar depois que ocorre algum vazamento. |
| R | As nossas quatro ações de fiscalização e escuta setorial, as definições de ações de fiscalização e mapas de temas prioritários. Esse é o nosso monitoramento. Vou dar um exemplo que nós tivemos, nesse caso aqui que todos visualizaram: farmácias. Nós começamos a receber, na nossa ouvidoria, em petições e denúncias, uma enxurrada de dados pessoais que o setor farmacêutico estava buscando junto a seu público. Não estava no nosso radar, passou a ter uma prioridade grande. A nossa coordenação geral de pesquisa passou a estudar esse tema. Hoje, faz parte do processo de fiscalização. Todas as denúncias que nós recebemos a respeito desse assunto compõem esse pacote de ações que estamos julgando na área farmacêutica. Na área de prevenção, é um fato importante, nós trabalhamos de forma a manter sempre o órgão, a empresa, em conformidade com a lei. Então, é uma fiscalização responsiva. Nós já vimos, em exemplos de outros órgãos, de outras agências reguladoras, que a coercitividade, multas, nem sempre produzem o efeito desejado. Nós temos empresas que valem menos do que o que devem em termos de multas ao seu órgão regulador. Então, a ideia é sempre reconduzir a empresa ao caminho da lei, da Lei Geral de Proteção de Dados, da conformidade e, com isso, atender o nosso titular de dados. Exemplo típico, em 2021, foi quando o Facebook e o WhatsApp comunicaram um compartilhamento de dados. Nós passamos a tratar com as duas empresas. Vimos a necessidade de outros órgãos de fiscalização participarem. Então, convidamos a Senacon, também o Ministério Público Federal e o Cade. Então, foram quatro órgãos tratando do mesmo assunto. Ao final da primeira fase do trabalho, o próprio Facebook mudou a sua plataforma internacional para atender uma das reivindicações do Brasil em termos de transparência, algo que causou, vamos dizer, um certo conforto em já apresentar algum resultado. A coisa ainda segue. Então, cada órgão agora está vendo exatamente o seu setor. O compartilhamento de dados nós estamos vendo com a nossa fiscalização, o Ministério Público conduz o seu trabalho, a mesma coisa com o Cade e a Senacon. Repressão. Quando acaba o nosso papo? Quando começamos a sentir que não estamos produzindo mais nenhum efeito. |
| R | Então, enquanto nós temos uma conversa franca e honesta e vemos a boa vontade da outra parte em vir para a conformidade com a LGPD, nós continuamos esse diálogo. Quando isso não mais ocorre, só nos resta, aí sim, abrir um processo sancionador, é a parte repressiva. Eu deixei por último o que nós achamos o principal, orientação. Então, educação por meio de fornecimento de ferramentas, modelos que facilitem o tratamento de dados por parte dos órgãos, das empresas. E, importante, o titular entender qual é o seu direito. Nós temos, na nossa ouvidoria, diversas reclamações que não são da área de proteção de dados, é um sinal claro de que o titular ainda não tem noção daquilo que lhe é assegurado pela LGPD. E a outra figura: ele vai liberando seus dados pessoais sem questionar nada, sem uma mínima análise de se aquilo é necessário, se aquilo é lógico. Quando ele tem algum problema de alguém abrindo uma conta usando seus dados, seus nomes, é que ele vem questionar. Então, há necessidade de o cidadão questionar aquela gama de dados que as empresas solicitam no momento de abertura, no momento de uma venda, no momento de uma transação qualquer. Eu tenho que questionar. Eu sou obrigado a fornecer endereço? Não, se eu não quiser fornecer endereço, se não é algo que vai ser entregue na minha residência, não há um porquê, não tem finalidade. É algo que eu vou receber na minha casa, aí sim, faz parte, tem finalidade eu fornecer endereço. Então, esses questionamentos simples o cidadão tem que fazer a todo momento em relação aos seus dados pessoais. Plataformas digitais é outra área em que a fiscalização está de olho. Nós temos trabalhado cada vez mais, é um passo que nós não conseguimos voltar, o mundo é cada vez mais digital, mas nós temos que garantir essa conformidade com a Lei Geral de Proteção de Dados. Na Europa, o GDPR foi aprovado em 2016; a nossa lei, em 2018. Se nós olharmos friamente, são dois anos de diferença, mas o GDPR é consequência de diversas diretrizes lá dos anos 90. Então a cultura de proteção de dados já está formada naquele continente. Nós ainda temos um longo caminho, e é para este caminho que eu convido todos a contribuir, para esta educação, para este objetivo maior e mais distante: mudança de cultura. Então, nessas plataformas digitais, nós vemos os mais preocupantes, quando envolve muitas pessoas, quando envolve um público prioritário, como crianças, adolescentes e idosos. Nós estamos com um processo, vamos dizer... durante a pandemia, os filhos continuaram assistindo aula de forma remota e nós tivemos denúncias de que, após as aulas, o que a criança fazia no computador ainda estava sendo monitorado. Aquela grande... Quanto mais eu conhecer, mais vou conseguir faturar em cima, através de propagandas e de ofertas públicas. |
| R | Órgãos também agregadores de dados, tipo Serasa, SPC, birôs, que agregam dados, então, são nossas preocupações. Nós ficamos sempre com uma atenção especial quando envolve grandes volumes de dados, ou seja, grandes riscos, podendo gerar grandes dados. Dados no nosso ambiente digital são algo que não tem mais como voltar. Esse nosso fortalecimento digital, que eu já antecipei até na primeira parte. Então, a transformação da autarquia é muito importante; mostrar que somos independentes, principalmente quando tratamos com a área internacional. A área internacional quer estabelecer acordos e transferências de dados, garantindo que os direitos do brasileiro serão respeitados em seus países e os direitos dos seus cidadãos serão respeitados no Brasil. Então, para isso, nós temos que mostrar essa nossa independência... A aprovação da transformação da nossa ANPD numa autarquia especial foi importante, mas ela ainda tem que ser concluída com esse fortalecimento. A nossa nova estrutura. Esse PL que está no Executivo ainda prevê 81 DASs unitários. Então, é um impacto pequeno no orçamento, mas é importante para a nossa funcionalidade ter a estrutura mínima necessária que uma autarquia especial exige. E servidores? Nós amadurecemos, nós aprendemos e capacitamos o nosso pessoal. Agora, para um trabalho massivo, nós temos que ter pessoal. Não tem como quatro pessoas fiscalizarem todo o nosso território nacional. Eu preciso de ter repetitividade dessas ações e sabemos que, com dados pessoais, é só os senhores olharem nos diversos órgãos, pouca gente trabalha com isso, pouca gente conhece isso e pouca oferta os nossos centros de educação oferecem. Então, é uma carreira necessária para o Brasil, que a ANPD tenha a sua carreira própria nessa área de proteção de dados. O que nós fazemos? Após o processo de requisição, nós capacitamos o nosso pessoal e, muitas vezes, após o período de capacitação, nós perdemos essas pessoas para os diversos órgãos que as requisitam com ofertas melhores. E nada podemos fazer em relação a isso. |
| R | Senhores, esse é o dia a dia da Autoridade. Estamos abertos aos senhores lá no Shopping ID, na Torre A, onde era o Venâncio 3000. Nós temos dois andares com servidores. Nossas portas estão abertas para quem quer conhecer o nosso serviço, a nossa estrutura e, em consequência, as nossas dificuldades e nossas entregas. Mais uma vez, Senador, reforço o convite para, no dia 6 de novembro, de forma presencial ou remota, os senhores participarem da nossa grande festa de três anos da Autoridade Nacional de Proteção de Dados no Brasil. Obrigado. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Muito obrigado, Dr. Waldemar, pela sua apresentação, bem didática. Nós vamos às perguntas formuladas aqui pelos internautas, mas, antes, eu quero tirar algumas dúvidas. Por exemplo, a agência... A gente pode falar a palavra agência ou usa outro... O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Não, nós não estamos ainda com a categoria de agência, é Autoridade. A agência trata o serviço público, regula o serviço público; a Autoridade faz a defesa de um direito fundamental garantido pela Constituição, que é a proteção de dados. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Então, vocês não estão incluídos como agência da Lei Geral das Agências Reguladoras? O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Até o momento, não. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Está bem. É vantagem? O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - É vantagem. É vantagem. A agência tem uma série de independências que nós ainda não temos. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Por exemplo, a questão salarial, para um concurso público, é equivalente à das agências, mesmo nível, ou é diferente? O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Aí, a agência... Cada uma tem o seu plano de carreira. Nós temos que estabelecer esse plano. Hoje, nós estamos fazendo um concurso aberto e geral, sem uma carreira própria. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Sem uma carreira própria. O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Sem um quadro próprio, por exemplo. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Perfeito. O tema que mais preocupa o pessoal, o ouvinte, todos os telespectadores, é qual é o papel dessa Autoridade reguladora de dados com a situação dos golpes que existem sucessivamente nas agências bancárias. Todo dia a gente está vendo pelos noticiários golpes diversos nos bancos e agências: saques indevidos, transferências indevidas... Devido à especialização dos hackers. Por exemplo, no caso da autarquia, ela tem como intervir nesses casos, ou o próprio banco tem que cuidar e aumentar a sua segurança? O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Nós trabalhamos em conjunto. Então, o banco é o controlador de dados. Ele recebeu e tem todos os dados do cidadão. A Autoridade não vai impor qual é a melhor tecnologia. Ela vai analisar se a tecnologia que o banco utilizou para aquele serviço, aquela oferta, foi adequada ou se ele, vamos dizer, negligenciou de alguma forma. Então, nós temos atuado junto aos sistemas bancários também nessa forma de uma proximidade cada vez maior, tendo em vista que o principal objetivo é a proteção dos seus titulares de dados, para nós, e clientes, para o sistema bancário. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Outra indagação comum é a seguinte: essa situação de namorados, casais se fotografarem, assim, na intimidade. Essas pessoas se julgam ofendidas e, depois, expostas ao ridículo com essas apresentações. Neste caso, a quem essas pessoas devem se dirigir, à Autoridade ou ao Judiciário? |
| R | O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Em alguns países, por exemplo, na Espanha, é a Autoridade que cuida disso. Então, ela tem uma capacidade de imediatamente tirar do ar aquela matéria. Ela atua. No Brasil, é o Judiciário. É o Judiciário que faz isso daí. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - É o Judiciário. Perfeito. O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - É ele que tem esse poder, mais rápido, para sanar o problema. E depois, sim, aí tem danos... O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Perfeito. Essas gigantes, essas empresas que controlam dados, algoritmos, enfim, todas essas grandes e megaempresas cresceram tanto que perderam o controle dos seus próprios dados. Elas não têm, assim, como controlar os vazamentos de dados que acontecem. Elas, muitas vezes, são até surpreendidas. No caso de acontecer alguma coisa - eu não vou citar nomes dessas megaempresas -, a pessoa que se julgue prejudicada, a organização que se julgue prejudicada é também o Judiciário ou a autarquia? O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Nós participamos disso também. O nosso policiamento é administrativo. Então, nós vamos analisar se está em conformidade com a lei. Por exemplo, nós temos casos abertos em que crianças e adolescentes estão sendo penalizados de alguma forma, e nós não vemos uma forma efetiva ainda de aquele site, de aquela empresa em detectar se a criança que diz que tem 18 anos tem 18 anos. Então, nós estamos trabalhando nisso. É claro que temos um contato grande com outras Autoridades. Então, estamos vendo o que já foi feito por outras Autoridades e aproveitando essa experiência. Então, é algo de que nós estamos tratando. Isso é prática. Eu não vou falar nome da empresa, mas estamos bem avançados e devemos dar uma resposta em breve em relação a uma big data... O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Perfeito. O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - ... nesta área de crianças e adolescentes. Quer dizer, a criança tem o direito de falar a idade que tem, mas a empresa que coleta dados é ela que tem essa responsabilidade. Então, se ela diz: "Não, eu não aceito crianças". Sim, mas como é que eu faço para detectar se a pessoa tem a idade que está dizendo ter no seu formulário? O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - E as redes criminosas de pedofilia e outras ações criminosas que existem? Por exemplo, além dessa que eu falei, a rede de pedofilia que está no mundo todo, tem também a quebra dos sinais dentro dos presídios. A Autoridade tem alguma interferência nessa regulação prisional e nas redes de pedofilia ou só quando demandada, provocada? Ou, nesse caso, também deve-se ocorrer para o Judiciário e o Ministério Público? |
| R | O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Essa é uma área de cibersegurança - é uma área de cibersegurança. A nossa Autoridade entra quando um controlador recebeu dados e, de alguma forma, ele não cumpriu o acordo. Então, por exemplo, se eu forneci os dados para abrir uma conta bancária, é para aquilo. Eu não quero que compartilhe meus dados para outras atividades. Eu tenho sempre a opção de verificar se os meus dados estão corretos e de fazer um gerenciamento desses meus dados; mandar, inclusive, apagar, se for o caso. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Perfeito. Muito bem. Então, vamos a algumas perguntinhas dos internautas, muitas o senhor respondeu. "Qual é o papel da Autoridade Nacional [...]?", o senhor respondeu muito bem nas suas exposições. Isso quem pergunta é Felipe Castro, lá do Estado do Pará. Aqui o Bryan Costa, do Rio de Janeiro, pergunta: "De que forma serão reparados os danos e prejuízos causados por vazamentos de dados de pessoas físicas?". O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Nós temos uma ação conjunta. Então, vai ter uma parte de consumidor, com o Senacon, e vai ter uma parte de controlador, com a ANPD. A Senacon vai ver esse reparo e nós vamos ver se o controlador que recebeu os dados utilizou toda a tecnologia disponível para que aquele fato não tivesse ocorrido. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - A autarquia pode fazer alguma repreensão, fazer alguma advertência? O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Ela vai fazer advertências, multas - podem ser multas -, pode ser suspensão temporária do uso dos dados. Hoje a multa chega a 2% do faturamento do ano anterior, limitada a R$50 milhões. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - É uma multa alta. O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Por infração. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Aqui é uma pergunta que o senhor respondeu também, do Bruno Matheus, lá do meu Estado de Rondônia. Eu vou falar porque é lá do meu estado. É o Bruno Matheus, eu não sei qual é a cidade de que ele está falando de Rondônia. Ele fala: "Como a [...] [Autoridade] pretende colaborar com o[s] setor[es] privado e público para garantir a segurança [...] de dados no país?". Eu acho que o senhor já explicou, não é? Então, Bruno, está respondido já pelo nosso Presidente Waldemar. Um pernambucano aqui, o Valdemagno Torres: "Existe algum meio de combate ao envio de dados [não autorizados pelo cidadão] para empresas de marketing digital [...]?". O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Essa é a fase do compartilhamento. Quando eu defino os dados e passo meus dados para uma empresa, essa empresa tem atribuição de controlador. O compartilhamento tem que ser justificado pela empresa. Essa, sim, é uma ação que a Autoridade vai exercer, se está legítimo aquele compartilhamento ou não; mas é importante o nosso internauta, o nosso titular de dados sempre questionar se aqueles dados todos são necessários. Antes, nós tínhamos uma política de quanto mais dados, melhor; quanto mais dados, mais eu vou monetizar. Hoje eu vejo que aquele dado que não é necessário é um risco que o controlador, que a empresa corre de graça. Eu acho que menos, nesse caso, é mais. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Perfeito. Deixe-me ver aqui. Tem o Édison Miranda, daqui de Brasília. Essa aqui também o senhor respondeu - viu, Édison? -, acho que você foi atendido. Tem uma também bem de longe, do Estado do Amapá, Elizângela Quintela. Vou fazer porque ela é do extremo Norte e, se ela está ligada aqui com a gente, é porque merece uma resposta: "É preciso que não só os dados de autoridades nacionais sejam protegidos, como o de toda a população brasileira. Estamos [muito] expostos [...]". |
| R | É um comentário geral que ela faz, não é nem uma pergunta. Se o senhor quiser responder, fazer um comentário para a Elizângela Quintela, eu agradeço. O SR. WALDEMAR GONÇALVES ORTUNHO JÚNIOR - Dados gerais de todos os brasileiros são importantes para a gente, está o.k.? Nós temos uma classificação de dados pessoais, dados sensíveis. O controlador, quando ele assume seus dados, o fato de ele falar "Fui hackeado" não resolveu o problema dele, do controlador; nós vamos fazer uma análise. Nós estamos com alguns processos, tipo auditoria. Então, em breve nós vamos solicitar que a própria empresa contrate uma auditoria para mostrar que todos os passos foram atendidos. A ideia é nós, num futuro um pouco mais distante, termos, como diversos órgãos têm, alguma certificação de que você está em conformidade com a Lei Geral de Proteção de Dados, ou seja, "eu já tenho esse 'selinho'". Não quer dizer que, se acontecer o fato, eu estou garantido, não; mas é um passo importante para que as diversas empresas se profissionalizem na área de proteção de dados, através de diversos passos necessários, obrigatórios, para dar uma alta proteção aos dados pessoais dos seus clientes nesta área. E são ações pequenas, são ações, normalmente, mais de governança do que de grandes investimentos em tecnologia. O SR. PRESIDENTE (Confúcio Moura. Bloco Parlamentar Democracia/MDB - RO) - Dr. Waldemar, a gente agradece muito a sua participação. Foi para mim uma novidade conhecer a Autoridade reguladora de dados, muito importante. E a gente verifica que está, agora, no início do mês de novembro, completando só três anos de idade, com mil dificuldades ainda estruturais lá na autarquia. Os desafios são imensos, a expectativa da população é grande, e, eu tenho certeza de que, no decorrer do tempo, com a evolução dos concursos e as disponibilidades orçamentárias sendo suficientes, essa Autoridade, essa autarquia crescerá muito e tomará, assim, administrativamente, muitas das decisões penosas e longas do Poder Judiciário. Eu sei que só tendo a autarquia fazendo advertências, fazendo recomendações preventivas, orientações, tudo isso já é mais do que suficiente. A gente entende as iniciais dificuldades: o quadro pessoal é muito pequeno para o tamanho dos desafios; os objetivos que o senhor tem traçado nas suas metas apresentadas são imensos e para longo prazo. Eu espero que, nesta audiência pública, mesmo os Senadores... Olha lá, tem 21 Senadores presentes, que deram presença na nossa audiência, mas por motivos, logicamente... foram absorvidos em outras salas, não puderam estar aqui. É um tema que seria extremamente palpitante. Se não fosse esse congestionamento de agenda de hoje, seria muito interessante e todos teriam muitas perguntas para fazer. Mas aqui nós complementamos com algumas perguntas minhas, bem simples, e outras tantas dos internautas também, perguntas básicas, a que o senhor respondeu. Assim sendo, eu agradeço a V. Exa. pela sua presença em nossa Comissão. Nós estamos ouvindo as autarquias e todas as agências, para ouvir justamente os planos, conhecer o trabalho dos senhores nas suas respectivas áreas, e até para fazer as defesas. E também, no Congresso, é aqui que o senhor vai realmente ter respaldo suficiente para aumentar o quadro de pessoal, formar as carreiras, os cargos e para a questão orçamentária. |
| R | Antes de encerrar nosso trabalho, eu submeto à deliberação do Plenário, mesmo ausente, a dispensa da leitura e a aprovação da ata da presente reunião. Os Senadores e as Senadoras que o aprovam permaneçam como se encontram, embora ausentes. (Pausa.) Eu declaro aprovadas as atas. Nada mais havendo a tratar, eu agradeço a V. Exa. pela presença e declaro encerrada a nossa reunião. (Iniciada às 10 horas e 06 minutos, a reunião é encerrada às 11 horas e 04 minutos.) |