Com a promulgação da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), que foi muito inspirada na General Data Protection Regulation – GDPR da Europa, se fez imprescindível a criação de uma autoridade fiscalizadora para assegurar uma efetiva proteção de dados pessoais no país.
Após o veto presidencial nos dispositivos da LGPD que tratavam dessa instância fiscalizadora, a ANPD (Autoridade Nacional de Proteção de Dados) foi criada pela Lei nº 13.853/2019, oriunda da Medida Provisória 869/18, que inseriu uma série de dispositivos na LGPD (art. 55-A e seguintes), da qual se extrai uma maior definição sobre sua estrutura e atuação. Além disso, no ano passado, foi promulgado o Decreto 10.474/20 que aborda sua Estrutura Regimental.
Se trata de um órgão vinculado ao Poder Executivo (Presidência da República) com autonomia técnica e decisória, em caráter transitório com prazo estipulado de até dois anos para entrada em vigor da sua estrutura regimental e reavaliação para conversão da ANPD em uma autarquia especial – que, em teoria, lhe concederia mais autonomia.
É previsto na lei que um dos objetivos da Autoridade é a promoção da conscientização da sociedade em torno do tema de privacidade e estabelecimento do ambiente normativo eficaz para a Proteção de Dados Pessoais, tendo em vista que diversos pontos da LGPD ainda dependem de regulamentação infralegal.
Além disso, a atuação da ANPD deve elevar o nível de segurança jurídica sobre o tema. Importante salientar que se trata de um órgão que alcança tanto o âmbito público quanto privado em todos os seus setores econômicos.
Nesse aspecto, cabe frisar que a LGPD é uma lei nova, abrangente e potencialmente complexa que necessita de adequações para atender a pluralidade dos atores sociais, sobretudo em um momento de crise econômica decorrente da pandemia. Em alguns momentos na leitura da respectiva lei, é possível perceber o incentivo a um tratamento simplificado e diferenciado para as pequenas e médias empresas, por exemplo. Ou seja, se trata de uma previsão acerca da adoção de um bom-senso perante os desafios para que as empresas atinjam maturidade e possam demonstrar e manter um estado continuado de conformidade. Valiosa é a educação do mercado e a regularização das lacunas técnicas para uma aplicabilidade realmente eficaz.
A competência da ANPD
Ao todo são vinte e quatro incisos previstos no art. 55-J da LGPD que tratam sobre a competência do órgão. Dentre eles, destacamos as principais atribuições:
- Zelar pela proteção dos dados pessoais e observância dos segredos comercial e industrial;
- Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e relatórios de gestão anuais acerca de suas atividades;
- Fiscalizar, aplicar sanções em caso de tratamento de dados realizados em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso e realização de auditorias;
- Promover o conhecimento através de estudos sobre práticas nacionais e internacionais sobre o tema, normas e políticas públicas e medidas de segurança;
- Adotar padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, de ações de cooperação com autoridades de proteção de dados pessoais de outros países e oitiva dos agentes de tratamento e da sociedade em matérias de interesse relevante;
- Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
- Editar regulamentos, procedimentos simplificados e diferenciados, normas, orientações sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais.
A Agenda Regulatória para 2021 e 2022
Diante de tantas competências atribuídas pela LGPD e de dúvidas e desafios na aplicação da nova lei, a ANPD precisou estabelecer um planejamento de atuação, que permitisse otimizar os recursos disponíveis.
Em 3 de Fevereiro de 2021, a Autoridade publicou a Portaria nº 11 de 2021, onde divulga sua agenda regulatória para este biênio (2021-2022), definindo dez temas prioritários.
A divisão do trabalho para implementação desses dez temas prioritários se dará mediante três fases.
A fase 1 tem como objetivo a orientação para iniciar o processo regulatório em até um ano; a fase 2, será do início do processo em até um ano e seis meses; e, a fase 3, com início em até dois anos,como demonstrado a seguir com indicação do instrumento utilizado e temas que serão tratados:
Fase 1 – 2021.1:
[Portaria] Publicação do Primeiro Regimento Interno da ANPD;
[Portaria] Planejamento Estratégico (2021-2023) da ANPD (já publicado);
[Resolução] Regulamentação simplificada prevista em lei para a Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos;
[Resolução] Estabelecimento de normativos para aplicação do art. 52 e seguintes da ANPD (artigos que abordam a fiscalização, sanções administrativas e criação e atuação do órgão);
[Resolução] Comunicação de incidentes e especificação do prazo de notificação (regulamentação do prazo e das melhores formas para se procederem as comunicações);
[Resolução] Relatório de Impacto à proteção de dados pessoais (para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais).
Fase 2 – 2022.1:
[Resolução] Encarregado de proteção de dados pessoais – DPO (estabelecimento acerca da definição e suas atribuições, necessidade de indicação e hipóteses de dispensa conforme o porte da entidade que irá atuar ou o volume dos dados a serem tratados);
[Resolução] Transferência internacional de dados pessoais (regulamentação sobre as hipóteses em que será permitida e definição do conteúdo de cláusulas-padrão contratuais).
Fase 3 – 2022.2:
[Resolução] Direitos dos titulares dos dados pessoais (regulamentação sobre diversos pontos);
[Guia de boas práticas] Hipóteses legais de tratamento de dados pessoais.
A publicação da Agenda Regulatória através da Portaria nº 11 de 2021 é o marco inicial oficial das atividades da ANPD com foco no planejamento estratégico interno e fortalecimento da cultura de proteção de dados pessoais através de guia de boas práticas, resoluções e portarias. Resoluções e Portarias serão os instrumentos mais utilizados nesses primeiros dois anos. Interessante diferenciar um mecanismo do outro. Resolução é uma norma jurídica que tem como objetivo disciplinar matéria específica. Já a Portaria se trata de um instrumento de ato administrativo que visa trazer orientações acerca da aplicação da lei.
Sobre a autora:
JÉSSICA FERNANDES HONDA DE SOUZA: advogada inscrita na OAB/PR sob o n° 105.775. Especialista em Direito Processual Civil pela Faculdade Damásio de Jesus/SP, pós-graduanda em Direito Digital e Compliance pelo Ibmec/SP. Membro do Comitê Público da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). Atuou como Secretária-Geral da Comissão de Direito Digital, Startups e Inovação da OAB/AM. Possui curso de extensão em Direito do Consumidor pela Escola Superior de Advocacia da OAB/AM e diversos cursos nas áreas de Privacidade/Proteção de Dados Pessoais e Design Thinking/User Experience (UX). Atualmente é advogada no escritório Moreno Moro Advogados e atua na implementação de Programas de Compliance e Governança em Privacidade no âmbito empresarial.
E-mail: jessica.honda@morenomoro.com.br