ANPD aprova regulamento para procedimentos de fiscalização e aplicação de sanções administrativas

report_resolução_anpd_Report

O Conselho Diretor da Autoridade Nacional de Proteção de Dados aprovou, no dia 28 de outubro de 2021, o “Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no Âmbito da ANPD”, publicado no dia seguinte por meio da Resolução CD/ANPD nº 1, já em vigor, que detalha os procedimentos necessários para a aplicação de multas e sanções administrativas.

O Regulamento é aplicável aos titulares de dados; agentes de tratamento; às pessoas naturais ou jurídicas, de direito público ou privado; bem como aos demais interessados no tratamento de dados pessoais, conforme previsto no artigo 13 do normativo. Ainda segundo o documento, “a fiscalização compreende as atividades de monitoramento, orientação e atuação preventiva” da ANPD, enquanto “a aplicação de sanção ocorrerá em conformidade com a regulamentação específica, por meio de processo administrativo sancionador”.

Cabe ressaltar que as sanções administrativas previstas na LGPD (Lei Geral de Proteção de Dados), de competência exclusiva da ANPD, entraram em vigor em 1º de agosto de 2021, e variam de advertência à multa no valor de até 2% do faturamento anual da empresa, limitada a R$ 50 milhões por infração.

Fiscalização

A atividade fiscalizatória da ANPD tem por objetivo orientar, prevenir e reprimir as infrações à LGPD e, conforme o artigo 16 do Regulamento, poderá ser:

I – de ofício;

II – em decorrência de programas periódicos de fiscalização;

III – de forma coordenada com órgãos e entidades públicos; ou

IV – em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

Ainda, o processo de fiscalização da ANPD deverá, entre outras premissas: (i) ser alinhado com o planejamento estratégico, com os instrumentos de monitoramento das atividades de tratamento de dados e com a Política Nacional de Proteção de Dados Pessoais e da Privacidade; (ii) priorizar a atuação baseada em evidências e riscos regulatórios, com foco e orientação para o resultado; (iii) estimular a promoção da cultura de proteção de dados pessoais; (iv) incentivar a responsabilização e a prestação de contas pelos agentes de tratamento; e (v) prever mecanismos de transparência, de retroalimentação e de autorregulação.

Os agentes regulados submetidos à fiscalização da ANPD têm, entre outros, os seguintes deveres:

I – fornecer cópia de documentos para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;

II – permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;

III – possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição;

IV – submeter-se a auditorias pela ANPD;

V – disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados.

Cabe, ainda, ao agente regulado solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou a industrial.

Monitoramento

O Regulamento prevê também a atividade de monitoramento da ANPD, realizada por meio da Coordenação-Geral de Fiscalização, desde que observados os limites previstos nos artigos 3º e 4º da LGPD, para, entre outras atribuições: (i) planejar e subsidiar a atuação fiscalizatória com informações relevantes; e (ii) considerar o risco regulatório em função do comportamento dos agentes de tratamento, de modo a alocar recursos e adotar ações compatíveis com o risco.

Como reforço a essa prática, deverá ser elaborado, anualmente, o Relatório de Ciclo de Monitoramento, que corresponde a um “instrumento de avaliação, prestação de contas e planejamento da atividade de fiscalização da ANPD”. O primeiro Ciclo de Monitoramento terá início em janeiro de 2022. Deverá ser implementado, ainda, o Mapa de Temas Prioritários, que será bianual e “estabelecerá os temas prioritários que serão considerados pela Autoridade para fins de estudo e planejamento da atividade de fiscalização no período”.

Esse último documento utilizará como critérios o risco, a gravidade, atualidade e  relevância e deverá englobar: (i) a memória do processo decisório do qual decorreu a seleção e priorização dos temas, inclusive as metodologias de priorização empregadas; (ii) os objetivos a serem alcançados e os parâmetros ou indicadores usados para medir a consecução desses objetivos, quando cabível; (iii) o cronograma de sua execução; e (iv) a indicação da necessidade de interação com outros entes ou órgãos da administração pública, bem como com autoridades de proteção de dados de outros países.

Atividade repressiva

O artigo 37 do Regulamento prevê que “o processo administrativo sancionador destina-se à apuração de infrações à legislação de proteção de dados de competência da ANPD” e poderá ser instaurado, sem possibilidade de recurso, (i) de ofício; (ii) em decorrência de processo de monitoramento; e (iii) diante de requerimento em que a Coordenação-Geral de Fiscalização deliberar pela abertura imediata de processo sancionador.

No entanto, quando os indícios da prática de infração não forem suficientes para a instauração imediata de processo administrativo sancionador, a Coordenação-Geral poderá efetuar averiguações preliminares, que poderão tramitar em sigilo e, ao final, serem arquivadas ou darem origem ao processo administrativo. Após instaurado o processo, o interessado poderá apresentar proposta de celebração de termo de ajustamento de conduta, que, se assinada, põe fim ao procedimento.

Se instaurado, o processo administrativo garantirá ao acusado o contraditório e a ampla defesa, sendo direito da ANPD “realizar diligências e juntar novas provas aos autos, independentemente do prazo de defesa do autuado, visando à celeridade processual e à mitigação de riscos”. Ao final da instrução processual, a Coordenação-Geral de Fiscalização vai proferir a decisão de primeira instância, cujo resumo será publicado no Diário Oficial da União.

O acusado terá chance de recorrer das decisões, em diferentes instâncias, e, mesmo em caso de condenação final, com trânsito em julgado, é importante ressaltar que os processos administrativos “poderão ser revistos, a qualquer tempo, a pedido ou de ofício, quando surgirem fatos novos ou circunstâncias relevantes suscetíveis de justificar a inadequação da sanção aplicada”.

Prazos e atos administrativos

Um aspecto de destaque da Resolução CD/ANPD nº 1 consiste na contagem dos prazos relativos aos atos do processo administrativo de competência exclusiva da ANPD. O artigo 8 do normativo prevê que “os prazos começam a correr a partir da ciência oficial e são contados em dias úteis, excluído o dia do começo e incluído o dia de vencimento”. Ainda, os parágrafos 1º e 2º determinam que o prazo poderá ser prorrogado ao primeiro dia útil subsequente, caso no dia de seu vencimento não haja expediente na sede da ANPD ou este for encerrado antes do horário, bem como por indisponibilidade do sistema de eletrônico de peticionamento.

Ainda, conforme o Regulamento, “os atos administrativos serão realizados, preferencialmente, por meio eletrônico, (…) podendo ocorrer, inclusive, mediante videoconferência ou outro recurso tecnológico de transmissão de sons e imagens em tempo real”. Como exceção, a Autoridade “poderá expedir comunicação por suporte físico, ou por qualquer outro recurso que assegure a certeza da ciência do interessado”.

Orientação e prevenção

Cumpre destacar que caberá à Autoridade Nacional de Proteção de Dados promover medidas visando à orientação, à conscientização e à educação dos agentes de tratamento, dos titulares de dados pessoais e dos demais integrantes ou interessados no tratamento de dados pessoais.

Entre as principais medidas estão: (i) elaboração e disponibilização de guias de boas práticas e de modelos de documentos para serem utilizados por agentes de tratamento; (ii) recomendação de utilização de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais e da implementação de Programa de Governança em Privacidade; e (iii) reconhecimento e divulgação das regras de boas práticas e de governança.

Caberá também à ANPD “reconduzir o agente de tratamento à plena conformidade ou evitar ou remediar situações que acarretem risco ou dano aos titulares de dados pessoais” por meio de divulgação de informações; aviso; solicitação de regularização ou informe; e plano de conformidade.

Por fim, além do Regulamento de Fiscalização e Aplicação de Sanções Administrativas, já em vigor, a ANPD ainda submeterá à consulta pública norma específica que deverá apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, com fundamentação detalhada de todos os seus elementos.

Para outras informações, nossas equipes permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp