Lira Operations
versão em português
principal » Articles & Notes » Article » Latin Lawyer Regulators: uma visão geral sobre a Agência Nacional de Proteção de Dados

Latin Lawyer Regulators: uma visão geral sobre a Agência Nacional de Proteção de Dados

Publicado em: 08/12/2022

NOME DO REGULADOR:
Autoridade Nacional de Proteção de Dados (ANPD)

LOCALIZAÇÃO:
Brasília, Distrito Federal, Brasil

PÁGINAS ÚTEIS NO SITE DO REGULADOR:
https://www.gov.br/anpd/pt-br
https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/competencias-da-anpd
https://www.gov.br/anpd/pt-br/centrais-de-conteudo/legislacao

INDIVÍDUOS CHAVE:
https://www.gov.br/anpd/pt-br/composicao-1/conselho-diretor-1/titulares-da-unidade
https://www.gov.br/anpd/pt-br/composicao-1/copy_of_conselho-diretor-1/titulares-da-unidade

Supervisão Regulatória (POLÍTICA, SOCIAL, LEGAL):
O exponencial aumento dos usos de tecnologias e ampliação do uso de nossos dados em diferentes esferas, tornando-os cada vez mais expostos à malfeitos, ilustra a crescente preocupação global no que tange à nossa privacidade e liberdade de exercer pleno controle de nossos dados.

Esta preocupação está tanto para a geração de controles por todos aqueles que acessam os dados, quanto para o despertar dos titulares em relação aos seus direitos, proporcionando uma maior vigília sobre o que lhes é solicitado e qual a finalidade que está informação deve cumprir.

Em 1981, o Conselho Europeu já demonstrava preocupação surgindo então a primeira convenção sobre o tema: Convenção para a Proteção Pessoal em relação ao Tratamento Automatizado de Dados de Caráter Pessoal. Anos mais tarde, em 1995, União Europeia fortaleceria a proteção de dados pessoais através de sua Diretiva 95/46/CE.

Já no Brasil, em 1988, a sua Constituição previu - no artigo 5º, o qual delibera acerca das declarações de direitos fundamentais - o direito à proteção da privacidade, ainda que a quantidade de dados trafegados àquela época fosse irrelevante se comparada a que vislumbramos hoje, 34 anos depois - seja em razão do aumento de processos informatizados ou da facilitação do acesso à internet.

Com crescimento da transitabilidade de dados no âmbito virtual, episódios emblemáticos ocorreram e aceleraram a regulamentação do tema, como em 2013, com a divulgação de detalhes dos programas de vigilância do governo americano – Nation Security Agency (NSA) - que construíra sistemas de monitoramento de dados quando um site americano é acessado, como Google ou Facebook, por exemplo. Ou ainda, o caso da empresa Cambridge Analytics que, em 2018 e através de teste psicológico, coletava informações pessoais muito preciosas para diversas finalidades, inclusive política, que já teve seu uso noticiado em importantes campanhas, como nos Estados Unidos.

Nessa esteira e em busca da segurança virtual, em 2012, a União Europeia começou a idealizar um projeto específico para proteção de dados e identidade de seus cidadãos, o qual seria aprovado em 2016 e iniciaria a vigência em 2018 - revogando a então Diretiva Europeia 95/46/CE. Tal projeto não só trouxe consigo as melhores práticas de proteção de dados pessoais, mas também inspirou legislações correlatas mundo afora, como a legislação brasileira: Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n º 13.709/2018.

Num breve resumo, a LGPD - aprovada em 2018 e, de maneira escalonada, integralmente vigente a partir de agosto de 2021 – representa marco histórico na regulamentação sobre o tratamento de dados pessoais no Brasil, ou seja, como empresas privadas ou instituições públicas coletam, armazenam e disponibilizam dados dos usuários, em meios físicos ou plataformas digitais.

Dessa forma, com intuito de garantir a adequada observância da lei, sediada em Brasília, Distrito Federal, Brasil, foi criada a Autoridade Nacional de Proteção de Dados (ANPD) que, dentre suas competências, destacam-se:

  • elaboração de diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • fiscalização e aplicação de sanções em caso de tratamento de dados realizado em descumprimento à legislação;
  • promoção de conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança para população;
  • edição de regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD.

OBRIGAÇÕES DE RELATÓRIO E DIVULGAÇÃO:
Nesse contexto, é de fundamental apontar a relevância da implementação dos procedimentos de adequação das atividades empresarias à LGPD e aos regulamentos da ANPD, pois parte essencial desta adequação é a definição dos procedimentos a serem adotados em caso de vazamento de dados, especialmente dados pessoais sensíveis - ou seja, dados íntimos da personalidade de um indivíduo como origem racial ou étnica, convicção religiosa, opinião política, além de dados de crianças e adolescentes – e que tragam risco ou dano relevante aos titulares tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade.

É sabido que mesmo com uma adequação correta, o risco de um vazamento nunca poderá ser 100% descartado, é algo inerente aos demais riscos de uma atividade empresarial, por isso um procedimento assertivo de comunicação deste vazamento à ANDP poderá contribuir significativamente para primeiro conter nos danos dele decorrentes e, segundo, mitigar os efeitos que este fato causará à organização, evitando multas e suspensões, até mesmo advertências, demonstrando transparência e boa-fé, preservando a organização em eventuais fiscalizações.

SANÇÕES MONETÁRIAS E COMPORTAMENTO RECENTE:
Quanto às sanções de cunho pecuniário, observa-se na LGPD que a multa pode alcançar o percentual de 2% do faturamento da organização, limitada ao montante de R$ 50 milhões por infração – importante destacar-se que a lei disciplina o limite por infração. As regulamentações da ANPD tem tomado forma, mas nada indica até o momento uma interpretação diversa, ou seja, caso uma empresa não adeque-se corretamente à legislação, estará sujeita e penalidades que podem superar esta quantia, se repetidamente descumprir suas responsabilidades e infringir o direitos dos titulares dos dados pessoais tratados em sua organização.

Recentemente, em agosto deste ano, a ANPD abriu uma consulta pública ao teor de seu regulamento que disciplinará acerca da dosimetria e aplicação de suas sanções. Este regulamento dispõe também sobre juízo de admissibilidade de eventuais recursos e o curso de suas tramitações.

Em 15/09/2022, encerrou-se a consulta que contou com 2.504 contribuições e agora o texto seguirá sua tramitação até sua entrada em vigência, que embora poderá conter ajustes, este conteúdo disponibilizado em consulta pública contém importante indicativo de como serão tratadas as penalidades pela ANPD.

No tocante às penalidades são definidos os conceitos de infração e infração permanente, assim como de medidas corretivas, reincidências, específica e genérica, dentre outros importantes para o entendimento das penalidades e sua dosimetria.

Um dos principais temas do regulamento está no artigo 3º do anexo que contempla a dosimetria e aplicação das sanções administrativas, no qual define quais as penalidades a que se sujeitarão os infratores:

  • Advertência;
  • Multa simples;
  • Multa diária;
  • Publicização da Infração;
  • Bloqueio dos dados pessoais a que se refere a infração;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Este rol de infrações e sua própria sequencia demonstram o caminho que a ANPD percorrerá ao impor sanções às organizações – o artigo §1º deste artigo disciplina, inclusive, que para as sanções mais prejudiciais à organização, que embora não diretamente pecuniárias, são as punições que podem influenciar diretamente em seu negócio, que são as suspensões e proibição do tratamento de dados, somente podem ser aplicadas após já ser sido imposta anteriormente ao menos uma das demais sanções, dispostas nos incisos de I a VI.

Na sequência do regulamento, o artigo 8º também disciplina o classificação de gravidade das infrações, entre leve, média, e grave, disciplinando os critérios para sua determinação.

Fundamental se destacar, que assim como previsto no ordenamento jurídico brasileiro, o artigo 4º deste anexo também garante o direito à ampla defesa e prevê a aplicação da penalidade após todo o trâmite do procedimento administrativo e mediante decisão fundamentada da autoridade responsável.

Em linha com o já fora comentado anteriormente, o artigo 7º do anexo define quais os pontos que dever ser considerados na aplicação da penalidade, dentre eles a boa-fé do infrator, reforçando a importância do processo de adequação à lei e, dentre os demais itens, acreditamos haver alguns que destacam-se – a cooperação do infrator, a adoção de boas práticas e governança, e a pronta adoção de medidas corretivas.

Em suma, fica clara a importância da adequação das atividades empresariais à Lei Geral de Proteção de Dados brasileira e a adoção das práticas recomendadas pela Autoridade Nacional de Proteção de Dados garantir a segurança tanto de suas operações, quando dos dados pessoais tratados em sua atividade.

PODERES DE SANÇÃO NÃO MONETÁRIA E COMPORTAMENTO:
Esclarecendo a questão da fiscalização e eventuais sanções, conforme trazido anteriormente, a vigência da lei foi realizada de forma escalonada, de modo que as sanções administrativas passaram a valer a partir de agosto de 2021. Nesse sentido, embora em 2021 tenha sido comunicados ou instaurados 176 procedimentos para apuração de "incidentes de segurança", cabe a ANPD avaliar se tais incidentes teriam ocorrido na vigência da lei ou não, o que acarretaria a isenção de sanções. Todavia, é fundamental observar que a LGPD traz consigo sanções administrativas, de caráter admoestativo, restritivo de atividade e pecuniário - com multas de até R$ 50 milhões reais por infração, como dito no item anterior, que poderão ser aplicadas pela ANPD após procedimento administrativo que possibilite a ampla defesa.

Assim, embora a ANPD, por ora, não tenha aplicado qualquer sanção, especialmente a pecuniária – principalmente, pelo fato de, embora já tendo sido submetida ao crivo de uma consulta pública, ainda não estar vigente seu regulamento quanto a metodologia e dosimetria das infrações – é possível observar que o Poder Judiciário já tem trazido a LGPD como fundamento para suas decisões seja em primeira ou segunda instância, como no âmbito trabalhista. Na ocasião, o Tribunal Regional do Trabalho da 2ª Região manteve a dispensa por justa causa de um atendente de telemarketing que enviou para seu e-mail pessoal lista de dados sigilosos e destacou a relevância da LGPD e reafirmou a responsabilização civil daqueles que manejam tais dados.

Não obstante, é possível vivenciar decisão do Supremo Tribunal Federal (STF) que determina que o Poder Executivo aplique a LGPD em decreto que trata do compartilhamento de dados pessoais entre órgãos federais. Tal decreto pretende reunir informações já existentes e pulverizadas em diversos órgãos da administração pública, como nome, CPF, estado civil, título de eleitor, vínculos empregatícios e dados de identificação biométrica, como as digitais, a retina ou o formato da face.

DESENVOLVIMENTOS RECENTES E PRÓXIMOS:
Numa visão macro, o que se capta é a publicação de uma lei que traz consigo as melhores práticas de proteção de dados pessoais além de pontos fundamentais para nortear uma sociedade prestes a se adaptar às regras recém-nascidas do mundo virtual já conhecido e maduro. Contudo, inúmeros detalhes ainda permanecem em aberto uma vez que cabe a ANPD a sua regulamentação detalhada de modo que garantirá a integral clareza do caminho a se seguir, do início ao fim.

O mais recente avanço foi a consulta pública tratada neste artigo, que mostra a evolução do processo de maturação da Autoridade responsável pelos controles decorrentes desta Lei, indicando que em breve já o país vivenciará uma coordenação organizada desta proteção e reforçando o alerta para as organizações que ainda não tem seus procedimentos adequados, ficando claro que a omissão quanto à estes temas, dificultará severamente as chances de limitar e mitigar os riscos decorrentes de penalidades desta legislação.

DESAFIOS:
Diante da recente vigência da Lei, observa-se que um dos principais desafios da ANPD é equilibrar a balança entre excesso de sanções aplicadas e disseminar a cultura educativo diante do despreparo nacional. Nesse sentido, muito foi debatido quanto postergar os efeitos da lei, uma vez que todo debate e vigência se deram durante um período pandêmico em que as empresas, além de suas obrigações financeiras já conhecidas ainda teriam que investir na implementação da LGPD.

Fica claro que o desafio da ANPD será grande, mas este equilíbrio será importante para conscientizar os cidadãos sobre seus direitos e as organizações quanto às suas responsabilidades, criar um ambiente hostil entre estes lado será apenas benéfico à um descontrole da segurança dos dados tratos no país, beneficiando malfeitores, que hoje já obtém significativo lucro com transações não autorizadas destes dados.

INTERAGINDO COM O REGULADOR:
Além das corriqueiras consultas, as empresas, através de seu encarregado, devem comunicar incidente de vazamento de dados que, eventualmente, possa ocorrer – pois, além da comunicação demonstrar transparência e boa-fé e será considerada em eventual fiscalização, também permite a ANPD adotar medidas de contenção.

No mais, é imprescindível que a empresa eleja um DPO (Data Protection Officer) - profissional que é encarregado de cuidar das questões referentes à proteção dos dados da organização e de seus clientes – que será o ponto focal para comunicações, como por exemplo incidente de vazamento de dados junto à ANPD. Para isso, há a necessidade de se realizar um pré-cadastro no site da ANPD com devido preenchimento de formulários, assinaturas de declarações e envio de documentos pessoais.

Assim como outros aspectos ainda em desenvolvimento, os cadastros atualmente disponíveis são para pessoas naturais, que posteriormente poderão ser vinculadas aos cadastros empresariais, uma vez que os mesmos sejam disponibilizados pela ANPD.

NOTAS PARA INVESTIDORES ESTRANGEIROS:
Por todo contexto mundial e aumento do tráfego dos dados em meio digital, torna-se cada vez mais necessário a observância de normas que garantam o compliance e adequado tratamento de dados, especialmente dados pessoais e dados pessoais sensíveis. Por isso, as recentes preocupações e olhares atentos às políticas e adequações quanto ao ESG (Environmental, social and Governance), agora tem uma importante adição, que pode ser tratada dentro do próprio ESG, no tópico de governança, que é a proteção de dados pessoais, que será um pilar significativo na atração de investimentos, demonstrando o grau de segurança de suas operações, mesmo para aquelas que não tem em seu objeto o tratamento de dados em si, uma vez que este cuidado deve ser igualmente direcionado à todas as entidades empresariais, que em maior ou menor grau impreterivelmente terão dentro de seus processos algum tratamento de dados.

Uma vez que os regulamentos da ANPD estejam em pleno vigor, a adequação das operações à LGPD e a capacidade de demonstrar estes controles serão determinantes para a atração de investimentos e mesmo de expansão das atividades para outros países, especialmente em organizações controladas, direta, ou indiretamente por organizações europeias, sendo esta capacidade de controle dos dados um diferencial competitivo em mercados sujeitos à aplicação da GDPR também.

OUTROS REGULADORES:
https://gdpr-info.eu/

Acesse o artigo em inglês: https://latinlawyer.com/insight/ll-regulators/regulators/organization-profile/brazil-national-data-protection-authority

Nós usamos cookies e para melhorar a sua experiência em nossos serviços, personalizar publicidade e recomendar conteúdo de seu interesse. Ao continuar navegando, você concorda com nossa Política de Privacidade
Fechar