Tag: ANPD

O ministro da Justiça, Wellington César Lima e Silva, entrou em campo com a missão de assegurar a ampliação do quadro de servidores da ANPD (Agência Nacional de Proteção de Dados), designada pelo governo para regular e fiscalizar as big techs. Lima e Silva vem fazendo gestões junto aos Ministérios da Fazenda e do Planejamento em busca de suplementação orçamentária para garantir a realização de concurso público e o preenchimento de uma só vez dos 200 novos cargos aprovados pelo Senado em fevereiro. Na última sexta-feira, a ANPD encaminhou ao Ministério da Gestão e da Inovação o pedido formal para abertura do certame. Conforme o RR informou (Leia aqui), a agência vive uma penúria que não condiz com a atribuição que lhe foi imposta pelo governo, de ser o ente do Estado responsável por enquadraras big techs. A ANPD tem um gap orçamentário de quase R$ 40 milhões e um déficit de pessoal que beira 300 funcionários.

Há duas “ANPDs” em Brasília. Uma é a do imaginário do governo Lula, que acaba de transformá-la em uma superagência da economia digital, responsável pela regulação e fiscalização das poderosas big techs; a outra é a real, que precisará de um substancial reforço de caixa para encarar a árdua missão. Como está, vai ser quase impossível. A Agência Nacional de Proteção de Dados sofre com a penúria orçamentária, déficit de pessoal e falta de musculatura. Não é por falta de aviso. No fim do ano passado, a direção da Agência enviou ofício ao Ministério da Justiça, alertando que o orçamento projetado de R$ 15,6 milhões para 2026 seria insuficiente até para manter contratos básicos de apoio administrativo e tecnologia da informação. Na ocasião, a agência estimava necessitar de R$ 23 milhões adicionais para operar e cumprir suas funções. Nada aconteceu. Com a amplificação da sua jurisdição, estima-se que a ANPD precisará, no mínimo, de um orçamento da ordem de R$ 60 milhões, apenas para custeio. Em fevereiro, o Senado aprovou a MP 1317/2025, liberando a criação de 200 novos cargos de especialista em regulação de proteção de dados. Na prática, porém, a abertura das vagas ainda depende de autorização orçamentária para a realização de concurso público. Hoje, a ANPD tem 216 servidores. A direção da agência calcula que terá de chegar a 500 funcionários para encarnar o papel de xerife das big techs. E precisará também de um teto para abrigá-los. Mesmo com um contingente reduzido, a Agência hoje enfrenta um problema imobiliário: o prédio onde está instalada, em Brasília, não comporta o atual número de servidores. A direção da ANPD já solicitou à Secretaria do Patrimônio da União a cessão de um novo imóvel, mas ainda não teria recebido resposta.

Pelos decretos assinados pelo presidente Lula nesta semana, o peso da ANPD cresceu significativamente. A Agência passa a ter poder de polícia sobre plataformas digitais, com competência para editar normas, fiscalizar condutas, apurar infrações e aplicar sanções. A entidade deverá supervisionar o cumprimento de deveres de prevenção, transparência, remoção de conteúdos ilícitos, combate a fraudes digitais, publicidade enganosa, exploração sexual infantil, violência contra mulheres e outros crimes praticados ou impulsionados no ambiente online. Na prática, deixa de ser apenas a guardiã da LGPD e passa a atuar também como autoridade de referência sobre a conduta das plataformas digitais no Brasil. Some-se a isso a extensa lista de responsabilidades já a cargo da ANPD: fiscalizar o tratamento de dados pessoais por empresas e órgãos públicos, editar regulamentos, aplicar multas, orientar agentes de tratamento, supervisionar transferências internacionais de dados, zelar pelos direitos dos titulares, analisar incidentes de segurança, regular bases legais de tratamento, acompanhar o uso de dados sensíveis e arbitrar conflitos sobre privacidade. Nos últimos meses, a ANPD ainda assumiu a aplicação do ECA Digital, tornando-se responsável pela proteção de crianças e adolescentes em ambientes digitais. Agora, com a fiscalização das big techs, a agência salta de uma autoridade setorial de proteção de dados para uma espécie de xerife geral da vida online. Por ora, um xerife que sofre com a falta de munição financeira.

Quase quatro anos após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), finalmente o governo vai acabar com uma zona cinzenta da nova legislação. Segundo o RR apurou, a Autoridade Nacional de Proteção de Dados (ANPD) deverá publicar no início do segundo semestre a regulamentação sobre a transferência internacional de dados pessoais. Em contato com o RR, a própria ANPD confirmou a informação, com exclusividade.

Não é de hoje que a autarquia, vinculada ao Ministério da Justiça, tem sido cobrada em relação ao assunto. A normatização é uma preocupação, sobretudo, de empresas estrangeiras presentes no país que hospedam e tratam no exterior dados pessoais colhidos no Brasil. Em seu artigo 33, a LGPD dispõe sobre a transferência internacional de dados. No entanto, a menção praticamente se resume às situações em que essa comunicação é permitida.

E, ainda assim, é extremamente vaga. Por exemplo: a legislação autoriza a transferência “quando o país ou organismo internacional de destino oferece um nível de proteção de dados pessoais adequado ao previsto na LGPD”. Porém, a LGPD não explicita o que é um “nível adequado” e nem quais são os mecanismos de adequação que permitam à ANPD reconhecer os países que têm ou não uma estrutura robusta de proteção às informações.

Plataformas de streaming, sites de e-commerce e bancos digitais – ou seja, serviços usados por dezenas de milhões de brasileiros – estão entre os grandes hard users globais das transferências internacionais de dados.

O tema está na ordem do dia. No mês passado, a Meta, dona do Facebook, Instagram e WhatsApp, recebeu uma multa recorde de 1,2 bilhões de euros do Comissário de Proteção de Dados da Irlanda, o principal órgão regulador da privacidade da União Europeia. A punição se deu pela transferência irregular de dados de usuários do Facebook da Europa para os Estados Unidos. Desde o ano passado, a própria ANPD negocia um acordo com a União Europeia para a adequação de normas. Hoje, com o gap regulatório ainda existente no Brasil, as empresas não têm qualquer balizador das circunstâncias em que estão autorizadas a remeter informações obtidas no país para o exterior.

Ou seja: no limite, é como se todas estivessem operando fora da lei, simplesmente porque não há lei para cumprir. Segundo a própria ANPD, “deve-se considerar que as transferências internacionais de dados pessoais continuam ocorrendo sem que haja regulamentação, devendo ser observada a LGPD, no que couber e no que for possível.”

As discussões se arrastam desde o ano passado. Em outubro, o diretor-presidente da ANPD, Waldemar Gonçalves, chegou a anunciar que a regulamentação sairia até o fim de 2023, mas o prazo ficou pelo caminho. Ao RR, a autarquia justificou o atraso dizendo que “o procedimento regulatório de qualquer órgão regulador é complexo e, por isso, leva tempo para sua conclusão. Assim como ocorreu com todas as normas já expedidas pela ANPD, o regulamento de Transferência Internacional de Dados passou por um profundo estudo sobre as reais necessidades da norma, e sobre as problemáticas e desafios”.

O projeto do governo de implantar uma Estratégia Nacional de Cibersegurança corre o risco de acabar na gaveta das boas intenções. A criação da Agência Nacional de Segurança Cibernética (ANCiber), eixo central da iniciativa, enfrenta fortes resistências dentro da própria estrutura de Estado. A relutância vem de uma série de órgãos que temem perder poder com o surgimento de um ente regulador, a começar pelo Ministério da Justiça. A medida trisca na sua jurisdição. A ANCiber vai esvaziar atribuições hoje pertencentes à ANPD (Autoridade Nacional de Proteção de Dados), subordinada à Pasta.

O rol de insatisfeitos tem outros nomes, como a ABIN (Agência Brasileira de Inteligência) – recentemente aparteada do GSI e agora vinculada à Casa Civil -, e a Polícia Federal. Há objeções também da parte dos servidores do Serpro, considerado a maior empresa pública de tecnologia da informação do mundo e responsável pelo processamento da base de dados de todo o governo federal. Outro ponto de fricção é o fato de que os estudos para a elaboração da Estratégia Nacional de Cibersegurança e a implantação da ANCiber estão a cargo do GSI.

Dentro do próprio governo, há um receio de que o Gabinete de Segurança Institucional acabe tendo uma ascendência excessiva sobre a Agência e consequentemente sobre a gestão de dados sensíveis, tanto públicos quanto pessoais. A experiência Jair Bolsonaro ainda está viva: em seu mandato, o GSI foi menos um órgão de Estado e mais um braço de apoio ao próprio Bolsonaro. Lula deu sinal verde para o Gabinete de Segurança Institucional tocar o assunto, atuando, inclusive, na formulação de um projeto de lei com a instituição da nova Política Nacional de Cibersegurança, que será encaminhado ao Congresso.

No entanto, entre colaboradores mais próximos do presidente, como o ministro da Casa Civil, Rui Costa, há quem defenda que a formulação da Estratégia Nacional de Cibersegurança seja transferida para a alçada de outra área do governo, como o Ministério da Gestão e da Inovação em Serviços Públicos, de Esther Dweck. A Pasta já responde por assuntos correlatos, por meio da Secretaria de Governo Digital, que, entre outras atribuições, é responsável pela segurança da informação dentro da estrutura de Estado e por políticas de proteção a dados pessoais.  Há também entraves de ordem orçamentária para a criação da nova agência. Ainda não existe qualquer definição de onde sairão os recursos necessários para a implantação da estrutura da ANCiber, um custo estimado em aproximadamente R$ 500 milhões.

Entre polêmicas e obstáculos, um ponto não se discute: o país precisa para ontem de uma nova política de cibersegurança. O Brasil é uma República “hackeada”, vide os seguidos ataques a sistemas de órgãos de governo. No último mês de maio, por meio da Operação Lutcha, a Polícia Federal desbaratou uma “ciber quadrilha” que invadiu os sistemas do INSS, causando um prejuízo da ordem de R$ 1 bilhão. Em agosto de 2022, um grupo de hackers denominado Everest teria roubado mais de três terabytes em informações sigilosas de órgãos da gestão federal.

A facção chegou a anunciar a venda dos dados sequestrados na deepweb. Em dezembro de 2021, a fragilidade de defesa cibernética do Estado teve o seu auge, ao menos na extensão do número de alvos. Um ataque hacker sincronizado e de grandes proporções atingiu simultaneamente os Ministérios da Economia e da Saúde e mais de 20 órgãos da gestão federal, segundo investigações da Polícia Federal à época.  

A proteção de dados tem sido uma corrida inglória para os países em geral. O setor de governo é atualmente a segunda maior vítima de crimes cibernéticos, atrás apenas do segmento industrial e à frente da área financeira. Em média, são mais de 1,5 mil ataques por semana. O Brasil supera a marca global. Entre dezembro de 2022 e maio de 2023, o governo brasileiro sofreu uma média de 2,4 mil invasões ou tentativas de invasões, segundo relatório de inteligência de ameaças da israelense Check Point Software. 

No que depender da ala militar do governo, a Autoridade Nacional de Proteção de Dados (ANPD), autarquia criada pelo presidente Jair Bolsonaro no rastro da Lei Geral de Proteção de Dados, ficará vinculada ao Gabinete de Segurança Institucional (GSI). A ideia é moldar a ANPD como um órgão do aparelho de Inteligência do Estado, uma espécie de istmo da Abin. Segundo fonte do RR, a proposta teria a simpatia do general Augusto Heleno, ministro-chefe do GSI.

A ANPD, ressalte-se, vai se juntar ao que pode ser chamado do “Grande Irmão” da identidade do brasileiro, uma fraternidade que congrega ainda o Pix, Dataprev, Serpros, entre outros. Ou seja: um Leviatã dos dados pessoais. Trata-se de um princípio de monopólio que traz a reboque efeitos colaterais preocupante. Qualquer invasão de uma base tão concentrada como essa daria acesso a uma imensidão de dados dos cidadãos brasileiros.

O Pix é um exemplo didático dos riscos envolvidos. Celebrado por proporcionar redução do custo e ampliar a velocidade das transações, o sistema de pagamentos do Banco Central já exibe algumas porosidades. Vide as acusações de que instituições financeiras, como o Nubank e o Mercado Pago, estariam cadastrando indevidamente informações pessoais de seus usuários como chaves de identificação no Pix. A título de esclarecimento, o GSI ressaltou ao RR que, “por dispositivo legal”, a ANPD não trata de dados do Estado brasileiro, “uma vez que sua competência restringe-se a dados pessoais”.

O Gabinete de Segurança Institucional nega também que o general Augusto Heleno defenda a transferência da ANPD para o âmbito do GSI. O fato é que já existe uma notória ascendência militar sobre a autarquia. Três dos nomes escolhidos para o Conselho da ANPD são egressos das Forças Armadas: o coronel reformado do Exército e atual presidente da Telebras, Oswaldo Ortunho Junior; o tenente coronel da reserva Joacil Basilio Rael e o coronel Arthur Sabbat, diretor do Departamento de Segurança da Informação do GSI. Segundo informações filtradas pelo RR do Palácio do Planalto, Sabbat teria sido indicado pelo próprio general Heleno. Consultado pelo RR, o GSI informou que o “General Heleno não indicou ninguém. O Cel Sabbat, como os demais escolhidos pelo Presidente, tem vasto currículo nessa área e é reconhecido em âmbito nacional e internacional como autoridade em segurança cibernética, em especial, segurança de dados pessoais