Foi publicada no último dia 29 de outubro de 2021 no Diário Oficial da União, a aprovação do regulamento do processo de Fiscalização e do Processo de Administração Sancionadora, pela Autoridade Nacional de Proteção de Dados (ANPD).
Dividido em quatro títulos, a resolução aborda as Disposições Gerais, desmembrados em 14 artigos, que abordam desde as disposições preliminares e definições, que são as seguintes:
I – Agentes regulados: agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais;
II – Autuado: agente regulado que, uma vez identificados indícios suficientes de conduta infrativa, tem instaurado processo administrativo sancionador contra si, por meio de auto de infração;
III – Denúncia: comunicação feita à ANPD por qualquer pessoa, natural ou jurídica, de suposta infração cometida contra a legislação de proteção de dados pessoais do País, que não seja uma petição de titular;
IV – Obstrução à atividade de fiscalização: ato, comissivo ou omissivo, direto ou indireto, da fiscalização ou de seus pressupostos, que impeça, dificulte ou embarace a atividade de fiscalização exercida pela ANPD, mediante o oferecimento de entrave à situação dos agentes, a recusa no atendimento, e o não envio ou envio intempestivo de quaisquer dados e informações pertinentes à obrigação do agente regulado;
V – Petição de titular: comunicação feita à ANPD pelo titular de dados pessoais de uma solicitação apresentada ao controlador e não solucionada no prazo estabelecido em regulamentação, nos termos do inciso V do art. 55-J da LGPD; e
VI – Requerimento: conjunto de tipos de comunicação, compreendendo a petição de titular e a denúncia.
deveres dos agentes regulados e as disposições processuais).
Seguido pelo dever dos Agentes Reguladores, que, além de fiscalizar possuem os seguintes deveres:
I – Fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;
II – Permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;
III – Possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;
IV – Submeter-se a auditorias realizadas ou determinadas pela ANPD;
V – Manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e
VI – Disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.
Posteriormente, foi apresentada a Disposição Processual, que se aplica às interações realizadas entre as unidades da ANPD e os Agentes Reguladores.
Em seguida, o título 2º busca envolver o tema Processual de Fiscalização, ramificado no artigo 15º ao 36º, iniciado a partir da disposição geral sobre o meio de fiscalizar, voltado ao objeto de atuação responsiva, seguido pela necessidade de uma atividade de monitoramento, tendendo pela necessidade da formação de um relatório do ciclo de monitoramento, sendo esse meio um instrumento avaliativo, prestador de contas e planejador das atividades fiscalizatórias da ANPD, que:
I – Avaliará as atividades de fiscalização realizadas no ciclo de monitoramento, inclusive dos temas prioritários, apresentando indicadores e resultados;
II – Direcionará a estratégia de atuação orientativa, preventiva e repressiva e as medidas a serem adotadas, inclusive ao longo do ciclo seguinte; e
III – Consolidará as informações obtidas a partir de requerimentos e comunicações de incidentes, bem como de outras fontes de insumos recebidos pela Coordenação–Geral de Fiscalização.
Mantendo-se na linha do meio de fiscalização o título reafirma a presença de uma Mapa de Temas Prioritários, que terá reformulação bianual e estabelecerá as prioridades que serão decididas pela ANPD. Os critérios utilizados pela Autoridade serão risco, gravidade, atualidade e relevância, englobando:
I – a memória do processo decisório do qual decorreu a seleção e priorização dos temas, inclusive as metodologias de priorização empregadas;
II – os objetivos a serem alcançados e os parâmetros ou indicadores usados para medir a consecução desses objetivos, quando cabível;
III – cronograma de sua execução; e
IV – a indicação da necessidade de interação com outros entes ou órgãos da administração pública, bem como com autoridades de proteção de dados de outros países.
Vale a citação de que o Recebimento de Requerimentos que será verificado pela:
I – a competência da ANPD para apreciar a matéria;
II – a identificação do requerente ou se cabível o anonimato na hipótese;
III – a legitimidade do requerente;
IV – a identificação do suposto agente de tratamento, quando for o caso; e
V – a descrição do fato certo.
Ademais, em mesmo título, entende-se que a atividade de orientação, auxiliará para que a ANPD promova medidas que visem orientar sobre a conscientização, educação dos agentes e/ou interessados nos cuidados dos dados pessoais, por meio da:
I – elaboração e disponibilização de guias de boas práticas e de modelos de documentos para serem utilizados por agentes de tratamento;
II – sugestão aos agentes regulados da realização de treinamentos e cursos;
III – elaboração e disponibilização de ferramentas de autoavaliação de conformidade e de avaliação de riscos a serem utilizadas pelos agentes de tratamento;
IV – reconhecimento e divulgação das regras de boas práticas e de governança; e
V – recomendação de:
- a) utilização de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais;
- b) implementação de Programa de Governança em Privacidade; e
- c) observância de códigos de conduta e de boas práticas estabelecidas por organismos de certificação ou outra entidade responsável.
E, por fim, é abordada no Título 2º a Atividade Preventiva, que tem como visão, reconduzir o agente ao tratamento que evite ou remedie, situações que gerariam riscos ao titular dos dados pessoais.
No título 3º, nos artigos 37 a 69, entende-se que por meio da atividade repressiva, quando voltada ao processo administrativo sancionador e suas faces, a apuração de infrações à legislação da proteção de dados pode ser instaurada das seguintes formas:
I – de ofício pela Coordenação-Geral de Fiscalização;
II – em decorrência do processo de monitoramento; ou
III – diante de requerimento em que a Coordenação-Geral de Fiscalização, após efetuar a análise de admissibilidade, deliberar pela abertura imediata de processo sancionador.
Sendo dividido em seções de procedimento preparatório, fases de instauração e instrução, fase de decisão pela coordenação-geral de fiscalização, fase de recurso, cumprimento de decisão e de inscrição na dívida ativa e de Revisão.
No mais, as disposições finais e transitórias deixam bem claro que o início de ciclo de monitoramento somente terá início a partir de janeiro do próximo ano.
Fonte: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-1-de-28-de-outubro-de-2021-355817513