No dia 27 de janeiro, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou, por meio da Portaria nº 11/2021, sua agenda regulatória para o biênio 2021-2022. As atividades selecionadas demonstram as prioridades do órgão neste momento de início de trabalho.

O estabelecimento de normativos para aplicação das sanções administrativas foi uma dessas escolhas prioritárias, com início da agenda regulatória no primeiro semestre de 2021. As sanções, previstas na LGPD (Lei Geral de Proteção de Dados Pessoais) e de competência exclusiva da ANPD, só poderão ser aplicadas a partir de 1º de agosto, em atendimento à Lei 14.010/2020.

Para que isso seja possível, cabe à Autoridade dar aplicação efetiva a elas, definindo os procedimentos que deverão ser adotados, em observância ao devido processo legal e ao direito de defesa. Competirá à ANPD estabelecer, após consulta pública, as metodologias que serão usadas para calcular o valor-base da multa, assegurando publicação prévia, formas e dosimetria objetivas, bem como fundamentação detalhada de todos os elementos e critérios para se definir uma sanção.

Também nos primeiros seis meses deste ano

Outras cinco atividades terão sua agenda regulatória iniciada nos primeiros seis meses de 2021. São elas:

– Regimento interno da ANPD;
– Planejamento estratégico da ANPD;
– Comunicação de incidentes e especificação do prazo de notificação;
– Relatório de Impacto à Proteção de Dados Pessoais;
– Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos.

De acordo com o artigo 48 da LGPD, o controlador deverá comunicar à ANPD e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Muito embora a lei estabeleça critérios mínimos, é preciso que a Autoridade regulamente alguns itens, como prazo de notificação, e defina o formulário, bem como a melhor forma de encaminhamento das informações.

No congresso on-line promovido pela Opice Blum Academy (OBAC) no Dia Internacional de Proteção de Dados Pessoais, o diretor da ANPD Artur Sabbat disse que o prazo razoável para notificação do incidente de segurança deve permitir à organização estudar o que ocorreu para, se for realmente o caso, fazer a comunicação à ANPD e ao titular de dados pessoais com o mínimo de embasamento. O atropelamento dessas etapas, ainda de acordo com Sabbat, pode comprometer a imagem da organização de forma desnecessária – sem que houvesse motivo para isso.

Sobre as regras de proteção de dados e da privacidade para PMEs, startups e pessoas físicas que tratam dados pessoais com fins econômicos, os diretores da ANPD já se posicionaram, em diversas oportunidades, a respeito da necessidade de considerar as particularidades desses negócios, a fim de não criar onerosidade excessiva. A LGPD prevê regulamentação diferenciada para microempresas e empresas de pequeno porte, com a edição de normativo sobre o assunto, conforme artigo 55-J.

Tomada de subsídios
Ainda em relação a essa questão, que contempla, como vimos, as startups, a ANPD divulgou nota técnica, convidando a sociedade a participar por meio da tomada de subsídios. Trata-se de instrumento pelo qual a ANPD busca, de acordo com as palavras utilizadas pela própria Autoridade, “obter subsídios, informações e dados relevantes dos agentes econômicos, consumidores e demais interessados da sociedade, de forma a identificar e aprimorar os aspectos relevantes à matéria em questão.”

O objetivo da tomada de subsídio, ainda segundo a ANPD, é coletar informações e estudos que subsidiem a definição de conceitos como: (i) microempresas e empresas de pequeno porte; (ii) iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação; e (iii) pessoas físicas que tratam dados pessoais com fins econômicos, de modo que sejam os mais adequados para a regulação setorial de proteção e privacidade de dados.

Depois da análise dessas contribuições, a ANPD vai elaborar e submeter à consulta pública uma minuta com a proposta de regulamentação das PMEs, startups e pessoas físicas que tratam dados pessoais com fins econômicos. A minuta será acompanhada do Relatório de Análise de Impacto Regulatório.

Uma das principais dúvidas é se haverá obrigação de contratação de DPO (Data Protection Officer) ou Encarregado de Proteção de Dados por parte desses agentes econômicos.

A questão, conforme veremos no próximo tópico, será endereçada somente no primeiro semestre de 2022, ocasião em que a ANPD, nos termos do artigo 41, parágrafo 3º, da LGPD, estabelecerá normas complementares sobre a definição e as atribuições do Encarregado, inclusive hipóteses de dispensa da sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Primeiro semestre de 2022
Para o primeiro semestre do ano que vem, as seguintes atividades serão iniciadas:

– Direitos dos titulares de dados pessoais;
– DPO ou Encarregado de Proteção de Dados Pessoais;
– Transferência Internacional de Dados Pessoais.

A diretora da ANPD Miriam Wimmer, no mesmo congresso organizado pela OBAC, reconheceu a importância da Transferência Internacional de Dados Pessoais. Segundo ela, os indivíduos não percebem o quanto seus dados circulam internacionalmente, em servidores espalhados em diversos países, e esse processo é tão comum que ocorre mesmo que estejamos falando com outros brasileiros.

Destacou, ainda, a necessidade de a Autoridade padronizar as cláusulas contratuais, envolvendo transferência internacional de dados, de acordo com o artigo 35 da LGPD, para que as organizações possam utilizá-las. Afirmou, por fim, que tais cláusulas não serão idênticas às europeias.

Segundo semestre de 2022
As hipóteses legais de tratamento de dados pessoais ficaram para o segundo semestre do ano que vem. A atividade prevista é elaborar documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no artigo 7º, mas não restritas a ele.

Sobre o papel educativo da Autoridade, Wimmer destacou que há muitas dúvidas em relação às bases legais. Por isso, para ela, há necessidade de que a ANPD trabalhe em guias, orientações, ou seja, documentos que informem, que esclareçam, como um guia de boas práticas em bases legais, com base na experiência internacional.

O que ficou de fora dessa agenda inicial?
A ANPD optou por deixar mais para frente a regulamentação ou orientação sobre os seguintes assuntos:

– Prazos para atendimento de alguns dos requerimentos dos titulares;
– Padrões para portabilidade de dados;
– Esclarecimento sobre as hipóteses de aplicação do Legítimo Interesse;
– Padrões e técnicas de anonimização e pseudonimização de dados pessoais.

Articulação com outros órgãos
A ANPD, como órgão central de interpretação da LGPD e do estabelecimento de diretrizes para sua implementação, tem, ainda, o papel de fazer a articulação com outros órgãos e entidades com competências sancionatórias e normativas ligadas à proteção de dados pessoais. Sem tal articulação, há risco de aplicação cumulativa de punição administrativa decorrente de um único fato, especialmente em setores econômicos muito regulados ou sujeitos à proteção consumerista.

Sobre isso, Wimmer reconheceu que não é desejável que cada Procon e cada Ministério Público possam ter interpretação diferente sobre temas complexos da LGPD. “Teremos relação com esses diferentes órgãos com competências correlatas. Um dos objetivos será fechar acordos de interpretação técnica. Quem está na ponta, como Procon e MP, pode ajudar a ANPD na sua atuação, mas é preciso que exista a consolidação do entendimento em relação a algumas questões”, disse.