Regulamentação de critérios para fiscalização e penalidades da LGPD permite atuação sancionadora da ANPD

Regulamentação de critérios para fiscalização e penalidades da LGPD permite atuação sancionadora da ANPD

Resolução prevê condições para abertura de processo administrativo sancionador. Dosimetria de multas será estipulada em norma posterior

Camila Chizzotti*

06 de novembro de 2021 | 07h00

Camila Chizzotti. FOTO: DIVULGAÇÃO

O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) aprovou, no dia 28 de outubro de 2021, o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no Âmbito da ANPD (Resolução CD/ANPD nº 1). Trata-se de um marco de extrema importância, pois a aplicação das sanções administrativas previstas na LGPD, de competência exclusiva da ANPD, entrou em vigor em 1º de agosto deste ano. Entretanto, de modo a garantir segurança jurídica aos administrados, a ANPD apenas poderia iniciar a sua atuação sancionadora após a aprovação deste regulamento, o qual estabelece os procedimentos necessários para a fiscalização, as regras a serem observadas nas etapas do processo administrativo sancionador e os direitos dos administrados. 

O referido diploma se aplica aos titulares de dados; aos agentes de tratamento; às pessoas naturais ou jurídicas, de direito público ou privado; bem como aos demais interessados no tratamento de dados pessoais, conforme previsto no artigo 13 da LGPD.

O Regulamento estabelece o mecanismo de fiscalização que o órgão pretende adotar, com previsão de ações de monitoramento, orientação e atuação preventiva da ANPD, seguindo a lógica da regulação responsiva, enquanto que a aplicação das sanções ocorrerá em conformidade com a regulamentação específica, por meio de processo administrativo sancionador. 

Dentre os deveres que os agentes regulados devem observar destacam-se: i) fornecer cópia de documentos para a avaliação das atividades de tratamento de dados pessoais; ii) permitir o acesso às instalações, equipamentos, aplicativos, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros; iii) possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição; iv) submeter-se a auditorias pela ANPD; v) disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados.

O processo de fiscalização da ANPD deverá observar premissas, tais como: (i) alinhamento com o planejamento estratégico, com os instrumentos de monitoramento das atividades de tratamento de dados e com a Política Nacional de Proteção de Dados Pessoais e da Privacidade; (ii) priorização da atuação baseada em evidências e riscos regulatórios, com foco e orientação para o resultado; (iii) estímulo à promoção da cultura de proteção de dados pessoais; (iv) incentivo à responsabilização e a prestação de contas pelos agentes de tratamento; e (v) previsão de mecanismos de transparência, de retroalimentação e de autorregulação.

O regulamento estabelece também as regras e metodologia para o monitoramento das atividades de tratamento pela ANPD, por meio da Coordenação-Geral de Fiscalização, e o primeiro ciclo está previsto para se iniciar a partir de janeiro de 2022. O intuito é analisar a conformidade dos agentes, considerar o risco regulatório, adotar ações compatíveis com o risco em função do comportamento dos agentes de tratamento, de modo a alocar recursos e priorizar ações, prevenir práticas irregulares e fomentar a cultura de proteção desses dados. Deverá ser implementado, ainda, o Mapa de Temas Prioritários, com periodicidade bianual, e que  “estabelecerá os temas prioritários que serão considerados pela Autoridade para fins de estudo e planejamento da atividade de fiscalização no período”, levando em consideração os critérios de risco, gravidade, atualidade e relevância. 

A partir do artigo 37, estão previstas atividades repressivas (aplicação das sanções) a serem conduzidas pela ANPD, destacando-se que “o processo administrativo sancionador destina-se à apuração de infrações à legislação de proteção de dados de competência da ANPD” e poderá ser instaurado, sem possibilidade de recurso: de ofício; em decorrência de processo de monitoramento; e diante de requerimento em que a Coordenação-Geral de Fiscalização deliberar pela abertura imediata de processo sancionador”. Ainda, após instaurado o processo, o interessado poderá apresentar proposta de celebração de termo de ajustamento de conduta, que, se assinada, encerra o procedimento. 

O processo administrativo garantirá ao acusado o contraditório e ampla defesa, sendo que transcorrido o prazo de defesa (prazo máximo de 10 dias úteis), será elaborado o relatório de instrução, e em seguida será proferida a decisão de primeira instância da Coordenação-Geral de Fiscalização. 

O acusado será intimado para cumprir a decisão de primeira instância ou interpor recurso administrativo ao Conselho Diretor, como instância administrativa máxima. Vale ressaltar, que os processos administrativos “poderão ser revistos, a qualquer tempo, a pedido ou de ofício, quando surgirem fatos novos ou circunstâncias relevantes suscetíveis de justificar a inadequação da sanção aplicada”, inclusive nos casos em que houver condenação final com trânsito em julgado. 

Por meio do regulamento e em linha com o que já tem sido preconizado pelo órgão desde a sua instituição, a ANPD também se compromete a promover medidas de orientação, conscientização e educação dos agentes de tratamento, dos titulares de dados pessoais e dos demais integrantes ou interessados no tema, tais como: (i) elaboração e disponibilização de guias de boas práticas e de modelos de documentos; (ii) recomendação de utilização de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais e da implementação de Programa de Governança em Privacidade; e (iii) reconhecimento e divulgação de regras de boas práticas e de governança.

Por fim, ainda não se encontram previstos os detalhes das formas e dosimetria para o cálculo do valor-base para aplicação das sanções de multa no regulamento, o que será estabelecido em uma norma específica que ainda será publicada pela ANPD. 

*Camila Chizzotti é sócia da área de compliance do escritório Ogawa, Lazzerotti e Baraldi Advogados

Comentários

Os comentários são exclusivos para assinantes do Estadão.