ANPD submete à consulta pública minuta da resolução responsiva sobre sanções da LGPD

ANPD minuta da resolução responsiva sobre sanções da LGPD

Fonte: Opice Blum, Bruno e Vainzof Advogados Associados

SANÇÕES DA LGPD | A ANPD (Autoridade Nacional de Proteção de Dados) submeteu à consulta pública minuta da resolução que dispõe sobre fiscalização e aplicação de sanção pelo órgão. As sugestões podem ser enviadas até 28 de junho.

As sanções administrativas previstas na Lei Geral de Proteção de Dados, de competência exclusiva da ANPD, poderão ser aplicadas a partir de 1º de agosto deste ano, de acordo com a Lei 14.010/2020.

A proposta da resolução define estratégia de fiscalização baseada nos seguintes valores:

  1. Regulação com base em evidências;
  1. Proporcionalidade entre riscos e recursos alocados;
  1. Transparência e permeabilidade, que permitam à sociedade não só acompanhar como também contribuir para o aprimoramento da atuação da ANPD;
  1. Processos transparentes e justos, com regras claras sobre direitos e obrigações; e
  1. Promoção da conformidade pelos mais diversos instrumentos e abordagens.

Premissas da fiscalização

A ANPD privilegiou uma minuta de resolução responsiva, de forma que as possibilidades de sanção são previstas de acordo com uma seriedade escalável e com o enforcement piramidal, com penalidades mais fortes para casos extremos, sendo menos utilizadas que as mais brandas. Os níveis mais severos de sanção são incentivos para que os brandos funcionem. Tudo isso mediante absoluta transparência para as entidades reguladas e os titulares de dados.

O estímulo à conciliação direta entre as partes e a priorização da resolução do problema e da reparação de danos pelo controlador, observados os princípios e os direitos do titular previstos na LGPD, também estão entre essas premissas.

Destaque, ainda, para a priorização da atuação baseada em evidências e gestão de riscos, com foco e orientação para o resultado.

As outras sete premissas são as seguintes:

– Alinhamento com o planejamento estratégico, com os instrumentos de monitoramento das atividades de tratamento de dados e com a Política Nacional de Proteção de Dados Pessoais e da Privacidade;

– Atuação integrada e coordenada com órgãos e entidades da Administração Pública;

Atuação de forma responsiva, com a adoção de medidas proporcionais ao risco identificado e à postura dos administrados;

– Estímulo à promoção da cultura de proteção de dados pessoais;

Previsão de mecanismos de transparência, de retroalimentação e de autorregulação;

– Incentivo à responsabilização e prestação de contas pelos agentes de tratamento;

– Exigência de mínima intervenção na imposição de condicionantes administrativas ao tratamento de dados pessoais.

Assim, a ANPD estabelece que a fiscalização compreende as atividades de monitoramento, orientação e atuação preventiva. Tal disposição está em linha com seu posicionamento – manifestado desde o início efetivo das suas operações – de promover o diálogo e a conscientização junto aos agentes de tratamento.

Sobre a atividade de monitoramento, o texto define como sendo o levantamento de informações relevantes que tornem a ANPD sensível ao ambiente regulado e às demandas dos titulares de dados, dos agentes de tratamento e dos demais interessados na proteção de dados pessoais, subsidiando o exercício de suas competências regulatória, fiscalizatória e sancionadora.

Já a atividade orientadora é a atuação baseada na economicidade e na utilização de métodos e ferramentas que busquem promover a orientação, conscientização e educação dos agentes de tratamento e titulares de dados pessoais. As medidas aplicadas ao longo do processo de orientação não constituem sanção ao administrado.

Entre as medidas de orientação estão elaboração e disponibilização de guias de boas práticas e de modelos de documentos para que sejam usados por agentes de tratamento, bem como reconhecimento e divulgação de regras de boas práticas e de governança.

Destaque também para a utilização de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais; para a recomendação da implementação de Programa de Governança em Privacidade; e para a observância de códigos de conduta e de boas práticas estabelecidos por organismos de certificação ou outra entidade responsável.

A adoção de cada uma dessas medidas pode ser sugerida pelos administrados ou suas associações representativas, estando sujeita à avaliação da ANPD.

atividade preventiva consiste em atuação baseada preferencialmente na construção conjunta e dialogada de soluções e medidas que objetivem reconduzir o agente de tratamento à plena conformidade, bem como evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados e a outros agentes de tratamento.

São medidas preventivas: divulgação de informações; aviso; solicitação de regularização; e plano de conformidade.

Por fim, destaque para a atividade repressiva, que se caracteriza pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à reparação dos danos, à recondução à plena conformidade e à punição dos responsáveis mediante aplicação das sanções previstas no artigo 52 da LGPD, por meio de processo administrativo sancionador.

Deveres dos administrados

A minuta da resolução define como administrados os agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais, além dos titulares.

O artigo 5º estabelece que os administrados se submetem à fiscalização da ANPD e têm, dentre outros, seis deveres. O rol, portanto, é exemplificativo, e não taxativo.

  1. Fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;
  1. Permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;
  1. Possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando dados e informações oriundos desses instrumentos;
  1. Submeter-se a auditorias realizadas ou determinadas pela ANPD;
  1. Manter os documentos físicos e digitais, os dados e as informações durante os prazos estabelecidos na legislação e na regulamentação específica bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e
  1. Disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos ao seu objeto.

É facultado ao administrado solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar vantagem competitiva a seus concorrentes ou violação a segredo comercial ou industrial. Para isso, o pedido deve ser justificado e delimitado às informações que fazem jus a essa solicitação.

Instrumentos de monitoramento

relatório de análise de ciclo de monitoramento e o mapa de temas prioritários são instrumentos de monitoramento. O objetivo deles, entre outros, é diferenciar o risco regulatório em função do comportamento dos agentes de tratamento, de modo a alocar recursos e adotar ações compatíveis com o risco.

O relatório de análise de ciclo de monitoramento orientará a estratégia de atuação preventiva e repressiva e as medidas a serem adotadas, inclusive ao longo do ciclo seguinte.

Já o mapa de temas prioritários consolidará os assuntos que serão considerados pela ANPD para fins de estudo e planejamento da atividade de fiscalização em determinado período.

Esses documentos e outros dados obtidos pela ANPD vão contribuir para a elaboração de diagnóstico que definirá as ações de fiscalização orientadora, de fiscalização preventiva e de fiscalização sancionadora, bem como o aprimoramento da regulação referente ao ciclo encerrado.

O primeiro relatório de ciclo de monitoramento e o primeiro mapa serão elaborados a partir de janeiro de 2022.

Ciclo de monitoramento

Ainda de acordo com a minuta da resolução, o ciclo de monitoramento considerará todas as reclamações, denúncias, representações e notificações de incidentes, bem como outras fontes de insumos recebidos pela ANPD durante sua vigência relacionados às violações de dados pessoais ou da privacidade.

A admissibilidade para o registro de reclamações considerará se ocorreu tentativa prévia de solução do problema com o controlador e ocorrerá de forma autodeclarada pelo titular de dados. Os requerimentos admitidos integrarão o cálculo dos indicadores do ciclo de monitoramento vigente na data do seu registro nos sistemas da ANPD.

Encerrado o ciclo de monitoramento, a Coordenação Geral de Fiscalização calculará os indicadores do ciclo de monitoramento; classificará todos os agentes de tratamento em faixas; analisará os resultados; e elaborará Nota Técnica sobre o Ciclo de Fiscalização.

O cálculo dos indicadores e a classificação dos agentes de tratamento referidos em requerimentos no período ocorrerão de forma automatizada, obedecendo metodologia própria. A Nota Técnica será composta por relatório, diagnóstico no período e conclusão, apontando medidas proativas a serem adotadas pela ANPD ao longo do ciclo seguinte de fiscalização.

As quatro faixas de classificação dos agentes de tratamento serão as seguintes:

Faixa 1: agentes de tratamento para os quais não haverá, de imediato, adoção de medidas;

Faixa 2: agentes de tratamento para os quais a ANPD encaminhará relatório notificando sobre os temas que são objeto de denúncia ou de reclamação de titulares de dados para que possam adotar ações corretivas;

Faixa 3: agentes de tratamento para os quais a ANPD adotará medidas orientadoras ou preventivas; e

Faixa 4: agentes de tratamento para os quais a ANPD adotará medidas preventivas ou repressivas.

As medidas repressivas serão adotadas para os agentes de tratamento que permanecerem por dois ciclos consecutivos na Faixa 4. A ANPD considerará a faixa de classificação do agente de tratamento e as medidas adotadas nos três ciclos anteriores, para adoção das medidas aplicáveis.

Solicitação de regularização

Destina-se a situações em que a regularização deva ocorrer em prazo determinado e cuja complexidade não justifique a elaboração de Plano de Conformidade.

Plano de Conformidade

Deverá conter no mínimo: objeto; prazos; ações previstas para reversão da situação identificada; critérios de acompanhamento; e trajetória de alcance dos resultados esperados.

O não cumprimento do Plano de Conformidade enseja o escalonamento da atuação da ANPD para o processo repressivo, com a adoção das medidas compatíveis, e será considerado agravante caso seja instaurado procedimento sancionador.

Processo administrativo sancionador

A proposta é que o processo administrativo contenha as seguintes fases: instauração; instrução; decisão; e recurso. Estará destinado à apuração de infrações à legislação de proteção de dados de competência da ANPD, podendo ser instaurado:

  1. De ofício pela ANPD; 
  1. Em decorrência do processo de monitoramento; ou
  1. Diante de requerimento em que a Coordenação Geral de Fiscalização, após efetuar análise de admissibilidade, deliberar pela abertura imediata de processo sancionador.

Não cabe recurso administrativo ou pedido de reconsideração contra o despacho instaurador da Autoridade que conclua pela instauração do processo administrativo sancionador.

Instaurado o processo administrativo sancionador, a ANPD analisará os documentos e informações constantes dos autos e a necessidade de diligências.

Após essa análise, a Autoridade poderá arquivar o procedimento, determinar a realização de diligências ou lavrar o auto de infração.

Arrependimento

O autuado que comprovadamente suspender a conduta investigada e, se cabível, reparar os danos dela decorrentes, poderá ter o processo administrativo arquivado pela Coordenação Geral de Fiscalização em decisão motivada.

Termos de Ajustamento de Conduta

O autuado poderá apresentar à Coordenação Geral de Fiscalização proposta de celebração de Termo de Ajustamento de Conduta (TAC) nos termos do artigo 26, inciso VII, do Decreto nº 10.474/2020.

Auto de infração

A fase de instrução tem início com a expedição de intimação ao agente de tratamento interessado para apresentar defesa no prazo máximo de dez dias, na forma indicada pela intimação.

Na defesa, o autuado deverá esclarecer, por exemplo, o fato de ser ou não o agente de tratamento responsável pelos dados que são objeto do processo administrativo sancionador; se já foram tomadas providências em relação aos fatos descritos no auto de infração e quais foram elas ou indicar as razões de fato ou de direito que impedem a adoção imediata dessas providências.

Há ainda, na minuta da resolução, outras disposições sobre as etapas do processo administrativo sancionador, incluindo aquelas relacionadas à fase de recurso.

Contagem dos prazos

Os prazos definidos na referida proposta são contados em dias úteis, excluído o dia útil da intimação ou da notificação e incluído o dia de vencimento.

Por meio eletrônico, consideram-se efetuadas a intimação e a notificação na data em que o usuário realizar a consulta ao documento correspondente ou, caso não realizada a consulta, dez dias após o envio da intimação.