A Lei Geral de Proteção de Dados Pessoais (LGPD) emerge em um contexto de avanço da tecnologia da informação e da sua aplicação em diversas áreas. Assim, o Projeto de Lei foi pensado para regulamentar especialmente a proteção à individualidade e à privacidade das pessoas, sem impedir a livre iniciativa comercial e de comunicação. A lei foi discutida por quase quatro anos e em 2018 passou a integrar o ordenamento jurídico brasileiro.
A LGPD aplica-se a qualquer operação de tratamento de dados realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional. A entidade responsável por aplicar os regramentos estabelecidos é a Autoridade Nacional de Proteção de Dados – ANPD.
Nesse documento, estão alguns conceitos relevantes para a discussão sobre acesso a dados pessoais.
Sanções Administrativas
As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os critérios estabelecidos em lei.
Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total citado no item anterior;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções previstas não substituem a aplicação de sanções administrativas, civis ou penais do código de proteção do consumidor e em legislação específica. O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos.
A suspensão parcial, suspensão do exercício da atividade de tratamento e proibição total ou parcial serão aplicadas somente após já ter sido imposta ao menos 1 (uma) das sanções seguintes sanções: multa simples, multa diária, publicização da infração, bloqueio de dados ou eliminação de dados. Em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD
A Autoridade Nacional de Proteção de Dados (ANPD) é órgão da administração pública federal, integrante da Presidência da República, que possui autonomia técnica e decisória. No exercício das competências, deverá zelar pela preservação do segredo empresarial e do sigilo das informações.
Atualmente a natureza jurídica da ANPD é transitória e poderá ser transformada (pelo Poder Executivo) em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República
Dentre as competências da autoridade, cabe destaque para:
- zelar pela proteção dos dados pessoais, nos termos da legislação;
- zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos estabelecidos na LGPD;
- elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
- promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
- editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGP;
- celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos;
- editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
- deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos.
Composição da ANPD
Conselho Diretor
É o órgão máximo de direção composto por cinco diretores, incluído o Diretor-Presidente. Os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal. Os membros somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar.
O mandato dos membros do Conselho Diretor será de 4 (quatro) anos. Os mandatos dos primeiros membros do Conselho Diretor nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e de 6 (seis) anos, conforme estabelecido no ato de nomeação. Na hipótese de vacância do cargo no curso do mandato de membro do Conselho Diretor, o prazo remanescente será completado pelo sucessor.
A composição do órgão pode ser acessada nesse link.
CONSELHO NACIONAL DE PROTEÇÃO DE DADOS – CNPD
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é órgão consultivo da ANPD, que tem a competência para:
- propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
- elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- sugerir ações a serem realizadas pela ANPD;
- elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
- disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.
Composição
Os membros do CNPD serão designados por ato do Presidente da República – permitida a delegação –, sendo composto de 23 (vinte e três) representantes, titulares e suplentes, sendo:
- 5 (cinco) do Poder Executivo federal;*
- 1 (um) do Senado Federal;*
- 1 (um) da Câmara dos Deputados;*
- 1 (um) do Conselho Nacional de Justiça;*
- 1 (um) do Conselho Nacional do Ministério Público;*
- 1 (um) do Comitê Gestor da Internet no Brasil;*
- 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais; **
- 3 (três) de instituições científicas, tecnológicas e de inovação; **
- 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo; **
- 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; ** e
- 2 (dois) de entidades representativas do setor laboral. **
* indicados pelos titulares dos respectivos órgãos e entidades
** indicados na forma de regulamento, não podendo ser membros do Comitê Gestor da Internet no Brasil, com mandato de dois anos (permitida uma recondução).
A atual composição do conselho pode ser acessada nesse link.
Ao Presidente do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade incumbe convocar, coordenar e dirigir as reuniões do Conselho, além de poder convidar representantes de outros órgãos e entidades da administração pública federal para participar delas, sem direito a voto.
Quanto às suas reuniões, o Conselho irá se reunir, em caráter ordinário, três vezes ao ano e em caráter extraordinário sempre que convocado por seu Presidente. O quórum de reunião é de dezesseis membros e quórum de aprovação é de maioria simples. A pauta das reuniões será divulgada com antecedência de, no mínimo, uma semana.
O CNPD poderá editar regimento interno para detalhar as normas complementares, devendo ser aprovado pela maioria absoluta dos membros.
Regulamentação
Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.
O processo de regulamentação inclui os procedimentos para elaboração, revisão, implementação, monitoramento e avaliação de regulamentação, norteado pelos fundamentos da disciplina da proteção de dados pessoais e pelas diretrizes de: haver compatibilidade com o Planejamento Estratégico da ANPD; simplificação e celeridade administrativas; melhoria da qualidade regulatória; consolidação e simplificação do arcabouço normativo; planejamento e transparência da atuação da ANPD; proteção dos dados do titular; aprimoramento do ambiente de negócios, viabilizando o desenvolvimento econômico e tecnológico e a inovação; e fortalecimento da participação social.
O processo de regulamentação contempla as seguintes etapas:
Importante mencionar que a Agenda Regulatória cobrirá um período de dois anos e estabelecerá as metas e os prazos a serem observados em cada Projeto de Regulamentação. A elaboração da Agenda Regulatória observará as disposições e os objetivos do Planejamento Estratégico e levará em consideração a Política Nacional de Proteção de Dados Pessoais e da Privacidade e outros normativos legais. A descrição das atividades do processo de regulamentação no âmbito da ANPD está disponível na íntegra da Portaria 16/2021.
A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, de acordo com a LGPD.
A aplicação das sanções compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação.
COMITÊ DE GOVERNANÇA DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
O Comitê de Governança, Riscos e Controles (Comitê de Governança) da ANPD é composto por Diretor-Presidente da ANPD (que o presidirá) e Diretores do Conselho Diretor da ANPD, no qual cada integrante poderá um suplente para substituí-lo em casos de impedimentos. A Secretaria-Executiva do Comitê de Governança será exercida pela Secretaria-Geral da ANPD.
O Comitê de Governança é responsável por definir estratégias institucionais e diretrizes estratégicas transversais relativas a:
- governança pública;
- gestão de riscos, transparência e integridade na ANPD;
- planejamento;
- mecanismos de controle interno; e
- eficiência na gestão administrativa.
O Comitê de Governança se reunirá mensalmente em caráter ordinário. O quórum para realização da reunião é de dois terços dos representantes, e o de deliberação é de maioria simples, com voto de qualidade de seu Presidente. As atas e suas resoluções deverão ser publicadas no site da ANPD, ressalvado o conteúdo sujeito a sigilo.
Próximos Passos
Desde a sua criação a ANPD já promoveu algumas ações, dentre elas a publicação do seu Regimento Interno e do seu Planejamento Estratégico. Dentre os atos em elaboração, estão a resolução que regulamenta a proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos; o estabelecimento de normativos para aplicação de sanções administrativas da LGPD; e o Relatório de Impacto à Proteção de Dados Pessoais.
Até o fim de 2022 a autoridade deverá trabalhar na publicação da resolução que trata dos Direitos dos titulares de dados pessoais; na comunicação de incidentes e especificação do prazo de notificação; nas atribuições do encarregado de proteção de dados pessoais; na transferência Internacional de Dados Pessoais; e em um Guia de Boas Práticas sobre as “Hipóteses legais de tratamento de dados pessoais”.
Também há perspectivas de minuta de texto para que a autoridade se torne uma autarquia sob regime especial. A ANPD e o Ministério da Economia já estão trabalhando nessa pauta, como foi registrado na agenda de autoridades e já ratificado por diretores da ANPD em eventos.
O Poder Executivo tem até 2 anos após a entrada em vigor da estrutura regimental da ANPD para propor essa alteração, conforme disposto pelo Decreto 10.474/2020. Ele foi publicado em 27 de agosto de 2020, porém só entrou em vigor no dia 06 de novembro de 2020 com nomeação do Diretor-Presidente da Autoridade Nacional de Proteção de Dados.
Nesse sentido, essa alteração deverá sofrer resistência no Congresso Nacional (CN), já que os parlamentares demonstraram apoio a independência da autoridade, durante a votação da Proposta e Emenda à Constituição (PEC) 17/2019 na Câmara dos Deputados. Essa PEC propõe a inclusão da proteção de dados pessoais entre os direitos e garantias fundamentais e fixa a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. A matéria já foi aprovada pela Câmara dos Deputados e aguarda deliberação pelo Senado Federal.
Referências:
Lei Geral de Proteção de Dados (link)
Decreto da Estrutura Regimental (link)
Regimento Interno da ANPD (link)
Comitê de Governança da Autoridade Nacional de Proteção de Dados (link)
Processo de regulamentação da ANPD (link)
Agenda regulatória 2021-2020 (link)
Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado (link)
Planejamento Estratégico 2021-2023 (link)
Artigo atualizado em 16/09/2021.
Elaborado pela Equipe da Umbelino Lôbo: Walysson Barros, Assessor
