O Conselho Diretor da ANPD aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, que tem por objetivo estabelecer os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador a ser realizado pela Autoridade de Proteção de Dados.
Essa normativa foi produzida após a oitiva da sociedade civil.
Leia a respeito:
Pois bem: a fiscalização por parte da ANPD compreende as atividades de monitoramento, orientação e atuação preventiva. A aplicação de sanção ocorrerá em conformidade com a regulamentação específica por meio de processo administrativo sancionador também previsto neste Regulamento.
Neste texto apresentaremos como a ANPD vai planejar e subsidiar a atuação fiscalizatória; analisar a conformidade dos agentes de tratamento; considerar o risco regulatório em função do comportamento dos agentes de tratamento de forma a alocar recursos e adotar ações compatíveis com o risco; prevenir práticas irregulares; fomentar a cultura de proteção de dados pessoais e atuar na busca da correção de práticas irregulares e da reparação ou minimização de eventuais danos.
A expectativa da ANPD com a publicação do Regulamento é estimular a promoção da cultura de proteção de dados pessoais; a ideia amplamente divulgada é de uma atuação responsiva e não sancionatória.
O Regulamento do Processo de Fiscalização
É preciso definir que as disposições do Regulamento aplicam-se aos titulares de dados, aos agentes de tratamento, pessoas naturais ou jurídicas, de direito público ou privado, e demais interessados no tratamento de dados pessoais, sendo a lei que regula o processo administrativo no âmbito da Administração Pública Federal a ele aplicada subsidiariamente.
A fiscalização da ANPD vai compreender as atividades de monitoramento, orientação e atuação preventiva e a aplicação de qualquer sanção só ocorrerá em conformidade com a regulamentação específica, por meio de processo administrativo sancionador, também definido no Regulamento.
Sua finalidade será orientar, prevenir e reprimir as infrações à LGPD, atuando primordialmente para a proteção dos direitos dos titulares de dados.
Conceitos importantes no processo administrativo da ANPD
Agentes regulados são os agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais e autuado é aquele agente regulado que, uma vez identificados indícios suficientes de infração, tem instaurado processo administrativo sancionador contra si, por meio de auto de infração.
A denúncia é uma comunicação feita à ANPD por qualquer pessoa, natural ou jurídica, de suposta infração cometida contra a LGPD e, no caso, também temos a figura da obstrução à atividade de fiscalização, que pode ser um ato comissivo ou omissivo, direto ou indireto, da fiscalização ou de seus pressupostos, que impeça, dificulte ou embarace a atividade de fiscalização exercida pela ANPD.
A petição de titular é a comunicação feita à ANPD pelo titular de dados pessoais de uma solicitação apresentada ao controlador e não solucionada no prazo estabelecido em regulamentação e o requerimento é o conjunto de tipos de comunicação, compreendendo a petição de titular e a denúncia.
Deveres dos agentes regulados
Os agentes regulados têm os deveres primordiais de:
fornecer cópia de documentos (físicos ou digitais), dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais;
permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;
possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;
submeter-se a auditorias realizadas ou determinadas pela ANPD;
manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e
disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.
No caso de uma investigação, o agente regulado pode solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou a industrial. O regulamento deixa claro que o pedido de sigilo de informações por parte da ANPD é um ônus do agente regulado, ou seja, não é uma obrigação da autoridade reguladora.
Um representante do agente regulado pode acompanhar a auditoria da ANPD, a menos que exista uma prévia notificação o impedindo; isso, claro, se o acompanhamento presencial for incompatível com a natureza da apuração.
Por fim, temos a figura da ‘obstrução à atividade de fiscalização’ quando caracterizado o não cumprimento dos deveres por parte do agente regulado. Nessa hipótese, o infrator fica sujeito às medidas cabíveis na lei.
A fiscalização e o objeto da atuação responsiva
A ANPD pretende adotar atividades de monitoramento, de orientação e de prevenção no processo de fiscalização e só então vai iniciar a atividade repressiva.
A atividade de monitoramento destina-se ao levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD com o fim de assegurar o regular funcionamento do ambiente regulado. Ela se caracteriza pela atuação baseada na economicidade e na utilização de métodos e ferramentas que almejam a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais.
A meta é uma atividade basicamente preventiva, atuando na construção conjunta e dialogada de soluções e medidas para reconduzir o agente de tratamento à plena conformidade, evitando ou remediando situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento.
A atividade repressiva, por sua vez, se caracteriza pela atuação coercitiva da ANPD, justamente para interromper situações de dano ou risco e reconduzir a uma plena conformidade. Isso, claro, com a punição dos responsáveis pela aplicação das sanções previstas no artigo 52 da LGPD.
A ANPD poderá atuar:
de ofício;
em decorrência de programas periódicos de fiscalização;
de forma coordenada com órgãos e entidades públicos; ou
em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.
Atuação responsiva como princípio
Acima de tudo, a atuação responsiva, adotando medidas proporcionais ao risco identificado e à postura dos agentes regulados, sempre integrada e coordenada com órgãos e entidades da administração pública, é uma meta da ANPD.
Para tanto, ela vai se alinhar com o planejamento estratégico, com os instrumentos de monitoramento das atividades de tratamento de dados e com a Política Nacional de Proteção de Dados Pessoais e da Privacidade.
Haverá um estímulo à conciliação direta entre as partes e a priorização da resolução do problema e da reparação de danos pelo controlador; estímulo à promoção da cultura de proteção de dados pessoais e previsão de mecanismos de transparência, de retroalimentação e de autorregulação.
E assim o pretende a Autoridade como alternativa ao modelo regulatório baseado essencialmente em punições, que, quando exclusivamente adotado, encontra algumas limitações, já que não apresenta incentivos para que o regulado cumpra voluntariamente os requisitos postos pelo regulador.
Atividade de orientação
Uma das atividades da ANPD será a de promover orientação, conscientização e educação dos agentes de tratamento, dos titulares de dados pessoais e dos demais integrantes ou interessados no tratamento de dados pessoais.
Essas medidas não constituem nenhuma sanção ao agente regulado. O que a ANPD pretende é, em maior medida, disponibilizar guias de boas práticas e de modelos de documentos para serem utilizados por agentes de tratamento; sugerir aos agentes regulados treinamentos e cursos; disponibilizar ferramentas de autoavaliação de conformidade e de avaliação de riscos a serem utilizadas pelos agentes de tratamento, além de divulgar regras de boas práticas e de governança.
Atividade preventiva
A atividade preventiva se presta a reconduzir o agente de tratamento à plena conformidade, evita ou remedia situações que acarretem risco ou dano aos titulares de dados pessoais. Também não constitui sanção e pode ser classificada como:
divulgação de informações;
aviso;
solicitação de regularização ou informe; e
plano de conformidade.
Ou seja, a ANPD pode divulgar informações e dados de desempenho em seu site como medida preventiva, como a taxa de resolução de problemas e pedidos de titulares atendidos.
Poderá agir também mediante um aviso, que conterá a descrição da situação e informações suficientes para que o agente de tratamento tenha como identificar as providências necessárias.
A solicitação de regularização e do informe, por sua vez, destinam-se a situações em que a regularização deva ocorrer em prazo determinado e cuja complexidade não justifique (ainda) a elaboração do plano de conformidade. O informe é específico para quando ocorrer infração em decorrência do tratamento de dados pessoais por órgãos públicos.
No caso do plano de conformidade, é uma forma de atividade preventiva realizada pela ANPD que vai entregar ao agente de tratamento um objeto; prazos; ações previstas para reversão da situação identificada; critérios de acompanhamento e a trajetória de alcance dos resultados esperados. O seu não cumprimento enseja a progressão para a atuação repressiva, tema sobre o qual publicaremos em breve.
Por fim, por agora, vamos lembrar que a resolução CD/ANPD nº 1, de 28 de outubro de 2021 e que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD, entrou em vigor na data de sua publicação e o primeiro ciclo de monitoramento, que é o instrumento de organização da atividade de fiscalização da ANPD, terá início a partir de janeiro de 2022.
Gostou do texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber notícias sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.
Temos cursos regulares já consagrados e também modelamos cursos in company sobre temas gerais ou específicos relacionados ao Direito da Educação Superior. Conheça nossas opções e participe de nossos eventos.
Comments