Foi publicado no Diário Oficial do dia 28 de outubro, a Resolução CD/ANPD nº 01/2021, que aprova o regulamento do processo de fiscalização e dispõe sobre as regras a serem observadas no âmbito do processo administrativo sancionador pela Autoridade Nacional de Proteção de Dados (ANPD), em conformidade com o item 5 de sua agenda regulatória.

O texto da Resolução foi objeto de Consulta Pública e sua versão final sofreu poucas alterações em relação à original, mantendo-se alguns trechos controversos, como a restrição à interposição de recurso contra a decisão de instauração do processo administrativo sancionador e a ausência de critérios objetivos para a instauração dos processos administrativos, dentre outros pontos que merecem atenção dos agentes de tratamento para fins de conformidade.

A seguir, realizamos uma breve análise da estrutura da nova regulamentação e seus principais pontos.

ESTRUTURA DO REGULAMENTO

O regulamento é dividido em quatro partes:

(i) disposições gerais, que trazem os deveres dos agentes de tratamento, e outros esclarecimentos da legislação;

(ii) disposições relativas à atividade de fiscalização a serem realizadas pela ANPD;

(iii) o processo sancionador, com disposições a respeito do processo para aplicação das sanções administrativas;

(iv) disposições finais, dispondo a respeito de sua vigência e início do ciclo de monitoramento por parte da ANPD.

DEVERES DOS AGENTES DE TRATAMENTO

O regulamento elenca os deveres dos agentes de tratamento, no contexto das atividades fiscalizatórias da ANPD, que consistem em:

» Fornecer documentos, dados e informações relevantes à ANPD para a avaliação das atividades de tratamento de dados;

» Permitir o acesso da ANPD às instalações, equipamentos, aplicativos, sistemas, ferramentas e recursos tecnológicos, assim como de dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, estando em seu poder ou de terceiros;

» Possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição;

» Submeter-se a auditorias realizadas ou determinadas pela ANPD;

» Manter os documentos, dados e informações durante os prazos estabelecidos em legislação e regulamentação específica, bem como durante o prazo de tramitação de processos administrativos nos quais sejam necessários; e

» Disponibilizar, sempre que necessário, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto. Em outras palavras, o agente deverá colocar à disposição da ANPD o seu Encarregado de proteção de dados quando solicitado.

O não cumprimento dos deveres pode ser considerado como obstrução à atividade de fiscalização e passível de medidas repressivas por parte da ANPD.

PROCESSO FISCALIZATÓRIO

A fiscalização, conforme o regulamento, será composta pelas atividades de monitoramento, orientação e atuação preventiva da ANPD, e tem por finalidade orientar, prevenir e reprimir as infrações à LGPD.

O monitoramento destina-se ao levantamento de informações e dados relevantes para subsidiar eventual tomada de decisão pela ANPD. O monitoramento ocorrerá conforme um ciclo de monitoramento, de periodicidade anual, e o Mapa de Temas Prioritários, de periodicidade bianual, onde se concentrarão os esforços da ANPD para fins de estudo e planejamento no período.

A orientação, por sua vez, será caracterizada pela atuação baseada na economicidade e na utilização de métodos e ferramentas que almejam promover a orientação, a conscientização e a educação dos agentes de tratamento e titulares de dados. Ressalta-se ainda que, conforme já destacado diversas vezes pela autoridade, esta será a postura preponderante no momento inicial de atuação da autoridade.

A prevenção consiste na atuação baseada na construção conjunta e dialogada de soluções e medidas que visam reconduzir o agente de tratamento à conformidade ou a evitar ou mesmo remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento. A definição de risco ou dano adotada pela autoridade, no entanto, continua abstrata.

O processo fiscalizatório pode ter início:

» De ofício;

» Por requerimento dos titulares de dados, sendo necessária a comprovação de que a questão foi submetida previamente ao controlador e não foi solucionada no prazo regulamentar;

» Por denúncia de terceiros; ou

» Por cooperação com outros órgãos ou organismos internacionais.

Caberá à Coordenação-Geral de Fiscalização realizar a admissibilidade de requerimentos, verificando, de forma agregada, a real competência da autoridade para apreciar a matéria, a identificação do requerente e sua legitimidade, a identificação do agente de tratamento e a descrição do fato.

PROCESSO ADMINISTRATIVO SANCIONADOR

Em relação ao processo administrativo sancionador em si, este destina-se à apuração de infrações à LGPD, podendo ser instaurado de ofício pela Coordenação-Geral de Fiscalização, em decorrência de processo de monitoramento, ou diante de requerimento em que a Coordenação-Geral de Fiscalização deliberar pela abertura imediata do processo, após análise de admissibilidade. No entanto, não caberá recurso administrativo contra despacho de instauração do processo administrativo sancionador.A norma não trouxe requisitos objetivos quanto ao “juízo de admissibilidade” a ser adotado pela ANPD na fase de instauração e de condução do processo, como a indicação dos níveis de complexidade e gravidade das violações por critérios de tempo de exposição dos dados; quantidade de titulares atingidos; volume dos dados vazados; dentre outros parâmetros que poderiam conferir maior segurança jurídica aos agentes. Espera-se que tais critérios sejam abordados em norma específica sobre a metodologia para o cálculo das sanções.

No que tange às normas procedimentais, destacam-se:

(i) a contagem dos prazos em dias úteis;

(ii) a priorização da realização dos atos por meio eletrônico (intimações por e-mail, videoconferências e outros recursos);

(iii) a possibilidade de intervenção de terceiros com comprovado interesse na solução do processo;

(iv) a realização de prova pericial pela própria ANPD ou por profissional especializado e (v) a reunião de processos que possam gerar decisões conflitantes ou contraditórias, mesmo sem conexão entre si.

A resolução entrou em vigor na data de sua publicação e o primeiro ciclo de monitoramento terá início a partir de janeiro de 2022.

Clique aqui para acessar o regulamento na íntegra.