O ano de 2023 foi um ano movimentado para a área de privacidade e proteção de dados no Brasil.

Desde a composição da primeira diretoria da Autoridade Nacional de Proteção de Dados (ANPD), o órgão tem se dedicado a elaborar guias e regulamentos necessários para a adequada aplicação da LGPD, preparar conteúdos informativos que orientam os controladores e operadores de dados pessoais, além de dar subsídios para que os titulares de dados pessoais exerçam seus direitos.

Considerando as diversas ações realizadas no curso do ano de 2023 e a intensa publicação de normas e guias orientativos sobre assuntos importantes, preparamos esta retrospectiva comentada, contendo as principais atividades da ANPD no período.

Janeiro | Instituição do Comitê de Governança Digital da ANPD

No mês de janeiro, foi instituído o Comitê de Governança Digital da ANPD, através da Resolução CD/ANPD nº 3/2023, o que foi um importante passo para a estrutura da própria autoridade.

Fevereiro | Publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas

Em fevereiro a autoridade publicou o tão aguardado Regulamento de Dosimetria e Aplicação de Sanções Administrativas, através da Resolução CD/ANPD nº 4/2023. Este regulamento trouxe um norte para que os agentes de tratamento entendessem como as sanções seriam calculadas, possibilitando uma análise mais detalhada de seus processos, com uma avaliação voltada para o risco de sanções de acordo com métricas indicadas pela autoridade.

Março | Publicação das Nota Técnica nº 3/2023 e Resolução CD/ANPD nº 5/2023

Março, por outro lado, contou com a publicação da Nota Técnica nº 3/2023, que firmou o posicionamento da autoridade sobre a não incidência da Lei Geral de Proteção de Dados Pessoais (LGPD) para o tratamento de dados de pessoas falecidas. A Autoridade esclareceu, através de sua Coordenação-Geral de Fiscalização (CGF), que considerando a previsão do art. 6º do Código Civil de que a existência da pessoa natural termina com a morte, a consequência natural seria a incidência da LGPD apenas no âmbito do tratamento dos dados pessoais de pessoas naturais vivas. Este posicionamento, apesar de já majoritariamente adotado pela doutrina, serviu como forma de consolidar o  entendimento do órgão sobre o tema.

Ainda no mês de março, foi publicada a Resolução CD/ANPD nº 5/2023 que aprovou a Agenda de Avaliação de Resultados Regulatórios (ARR), prevendo o cronograma relativo ao quadriênio 2023-2026 para avaliação dos efeitos regulatórios das Resoluções CD/ANPD n. 01/2021 e n. 04/2023, referentes ao Processo de Fiscalização e Administrativo Sancionador e ao Regulamento de Dosimetria e Aplicação de Sanções Administrativas, respectivamente. Através da ARR, que visa o acompanhamento e a avaliação do desempenho dos dois regulamentos citados, a Autoridade poderá aprimorar de maneira contínua sua qualidade regulatória, viabilizando também a análise quanto aos efeitos causados na sociedade pelos regulamentos publicados.

Abril | ANPD lança uma nova interface para recebimento de denúncias e promulgação da Convenção de Budapeste   

O mês de abril trouxe avanços significativos e importantes para os titulares de dados e agentes de tratamento. Isso porque a ANPD fez o lançamento de uma nova interface para receber denúncias relacionadas ao tratamento de dados pessoais, com novos métodos de peticionamento e a possibilidade de envio de denúncias anônimas.

Para além da atuação da ANPD, merece destaque no mês de abril a promulgação da Convenção de Budapeste sobre o Crime Cibernético, por meio do Decreto 11.941/2023, o que representa um importante passo para a complementação da legislação relacionada aos crimes cometidos no ambiente digital.

Maio | ANPD autoriza o tratamento de dados pessoais de menores sem o consentimento dos pais e estabelece requisitos para o TikTok tratar dados de menores 

O mês de maio contou com a publicação do Enunciado CD/ANPD nº 1/2023, o qual autoriza o tratamento de dados pessoais de crianças e adolescentes sem a necessidade de consentimento de um dos pais ou responsável legal pelo menor. O Enunciado gerou discussões por ser contrário ao texto do §1º art. 14 da LGPD, o qual estabelece que o tratamento de dados de crianças somente pode ocorrer mediante o consentimento prévio de pelo menos um dos pais ou responsável legal pelo menor de forma que houve um posicionamento contra legem da autoridade.

Ainda no mês de maio, a ANPD publicou a Nota Técnica nº 6/2023 sobre o tratamento de dados pessoais de crianças e adolescentes pela rede social TikTok, condicionando a continuidade do tratamento dos dados dos menores ao cumprimento de alguns requisitos, dentre os quais: (i) a revisão dos mecanismos de verificação de idade para que fossem mais efetivos em não permitir o cadastro de menores de 13 anos de idade, (ii) a apresentação de Relatório de Impacto à Proteção de Dados informando os algoritmos da plataforma diante dos possíveis impactos aos menores, (iii) a revisão da Política de Privacidade para que diferencie o tratamento de dados pessoais de adultos e menores, com linguagem clara e acessível ao público infanto-juvenil.

Junho | Publicação do Guia orientativo de tratamento de dados pessoais para fins acadêmicos e para a realização de estudos e pesquisas 

Em junho a ANPD publicou o Guia orientativo de tratamento de dados pessoais para fins acadêmicos e para a realização de estudos e pesquisas que, apesar de ser um tema importante, não trouxe novidades em relação ao já disposto na LGPD; e o modelo de registro simplificado de operações com dados pessoais para Agentes de Tratamento de Pequeno Porte (ATPP), em concordância com a Resolução CD/ANPD nº 2/2022, facilitando a padronização dos controles pelos agentes de pequeno porte.

Julho |  Aplicação da primeira sanção administrativa da ANPD por descumprimento à LGPD

Julho foi marcado pela aplicação da primeira sanção administrativa da ANPD por descumprimento à Lei Geral de Proteção de Dados Pessoais, a qual consistiu em advertência, em virtude do descumprimento do art. 41 da LGPD, e multa simples, pela infração ao art. 7º da mesma lei e ao art. 5º do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador. Este caso confirmou que o foco da ANPD não são apenas as bigtechs e grandes empresas, como foi cogitado inicialmente pelo mercado.

Agosto | A ANPD completa 5 anos

Em agosto, mês em que a ANPD completou 5 anos,  foram realizadas três publicações, sendo a Política de Comunicação Social da Autoridade; a aguardada consulta pública sobre a minuta de regulamentação de transferências internacionais e o Relatório de acompanhamento da Agenda Regulatória para o biênio 2023-2024.

Setembro | Publicação da Política de Governança de Processos da ANPD

No mês de setembro houve a publicação da Política de Governança de Processos da ANPD, que apesar de não ter grande relevância ao público em geral, estabeleceu os princípios, as diretrizes, os objetivos, os instrumentos, a estrutura e as responsabilidades relacionadas à governança de processos no âmbito das unidades organizacionais da ANPD.

Outubro | Advertência em desfavor do IAMSPE, aprovação do aviso de privacidade em seu site e abertura de consulta publica para um programa piloto de Sandbox regulatório relacionado à IA 

Outubro contou com mais uma sanção da ANPD, sendo uma advertência em desfavor do Instituto de Assistência ao Servidor Público Estadual de São Paulo. Além disso, foi publicada a Resolução CD/ANPD nº 09/2023, que aprovou o Aviso de Privacidade do sítio eletrônico da ANPD e após a publicação de estudo técnico, foi aberta consulta pública para o programa piloto de Sandbox regulatório da ANPD em relação às tecnologias associadas à Inteligência Artificial (IA).

O estudo técnico de sandbox regulatório publicado pela ANPD contou com um benchmarking completo com autoridades locais e internacionais e, apesar de ainda não ser um programa sandbox específico, é um passo significativo para o crescente envolvimento da ANPD em futuros experimentos regulatórios.

Novembro | Publicação do balanço dos 3 anos de atuação da ANPD

Em novembro houve a publicação do balanço dos 3 anos de atuação da ANPD, com a divulgação do relatório de todas as ações tomadas até aquele momento, além da abertura da consulta pública sobre a minuta de resolução referente ao regulamento do Encarregado de Tratamento de Dados.

Dezembro | ANPD publica seu relatório do ciclo de monitoramento (1º semestre de 2023)

A Autoridade fechou o ano de 2023 com a publicação do relatório do ciclo de monitoramento relativo ao período do 1º semestre de 2023, da Resolução CD/ANPD nº 10/2023, que aprovou o mapa de temas prioritários para o biênio 2024-2025; e da Resolução CD/ANPD nº 11/2023, que alterou a Agenda Regulatória para o biênio 2023-2024.

Para 2024

Existem, ainda, projetos de lei que podem impactar alguns aspectos sobre o tratamento de dados pessoais, como é o caso do Projeto n. 1876/2023, da Câmara dos Deputados, que visa impor nova obrigação aos agentes de tratamento em relação à divulgação dos incidentes de segurança envolvendo dados pessoais, para incluir, além da obrigação de comunicar à ANPD sobre incidente que possa causar riscos ou danos relevantes aos titulares, a divulgação do incidente também através dos meios de comunicação de grande circulação, de suas páginas da web e perfis online.

Também está em andamento no legislativo, e com previsão de maturação em lei em 2024, a relevante questão dos incentivos fiscais para empresas implementarem a LGPD em processos internos (Projeto de Lei n. 4/2022 do Senado), o que inclui a dedução de custos diretos e indiretos nas bases de cálculo do PIS e da COFINS, associados aos valores gastos com a consultoria de privacidade e softwares utilizados para adequação à LGPD, assim como a importante regulamentação da Inteligência Artificial (PL n. 2338/2023).

Apesar dos evidentes avanços na regulamentação ao longo de 2023, o cronograma regulatório para 2023-2024 pode sofrer alguns atrasos compreensíveis no contexto de uma autoridade “em construção”. A ANPD ainda possui uma longa lista de regulamentações pendentes, algumas  das quais estavam previstas para 2023, como a esperada regulamentação acerca da transferência internacional de dados pessoais e as avaliações de impacto à proteção de dados, que devem ser retomadas em 2024.

Espera-se uma evolução ainda mais expressiva neste ano de 2024 para o tema de privacidade e proteção de dados no Brasil, trazendo regulamentação e consolidação de temas relevantes, além da continuidade da atividade de fiscalização e sanção da ANPD.