Clicky

OPINIÃO

Seis coisas que você precisa saber sobre a norma de fiscalização da ANPD

Por Simone Santinato*
16/06/2021 ... Convergência Digital

No dia 28 de maio, a Autoridade Nacional de Proteção de Dados (ANPD) publicou para consulta pública sua Norma de Fiscalização. O documento procura normatizar, ou seja, reunir esclarecimentos para a aplicação das sanções previstas pelos artigos 52 e seguintes da lei, no que se refere às tão temidas multas da LGPD.

Vale a pena destacar o fato de a Autoridade submeter um documento dessa natureza à consulta pública. É uma atitude que particularmente me agrada muito, pois demonstra uma abertura em ouvir a iniciativa privada, os titulares, a sociedade civil em geral antes de qualquer decisão final e isso já cria uma boa expectativa sobre como será conduzida a sua gestão. Ponto para a ANPD!

Para além disso, é positivo identificar que um dos valores definidos foi o de promover "processos transparentes e justos, com regras claras sobre direitos e obrigações". Acredito que todo profissional de privacidade temia - em alguma medida - que a ANPD se convertesse em uma "máquina de emitir multas", até pelas dificuldades orçamentárias causadas por sua forma de constituição, mas, de fato, não parece ser esse o cenário.

Esse é um documento que merece ser lido na íntegra, especialmente pelos profissionais da área, mas destaco aqui seis aspectos que considero mais relevantes e de interesse geral.

Primeiro: o artigo 5º definiu os deveres dos administrados e, pensando na operação da LGPD nas empresas (que é o que nos move todos os dias), há um rol bem específico de tarefas que não se pode perder de vista nem por um momento:

I - Fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;

II - Permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;

III - Possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;

IV - Submeter-se a auditorias realizadas ou determinadas pela ANPD;

V - Manter os documentos físicos e digitais, os dados e as informações durante os prazos estabelecidos na legislação e na regulamentação específica bem como durante toda a tramitação de processos administrativos que sejam necessários; e

VI - Disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.

O artigo 5º representa a materialização daquela máxima que norteia todo o trabalho, "não basta estar em compliance, é preciso estar bem documentado".

Segundo: até onde a ANPD poderá ir? É interessante notar que a Autoridade poderá requisitar até mesmo o acesso às instalações, equipamentos, sistemas etc. - não se limitando apenas ao mero pedido de evidências.

Nesse sentido, vale destacar o do artigo 14, que define que a atividade preventiva consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visem reconduzir o agente de tratamento à plena conformidade, bem como evitar ou remediar situações que possam acarretar risco ou danos aos titulares de dados pessoais e a outros agentes de tratamento.

A normativa está bem direcionada nessa intenção de educar, orientar, construir soluções e medidas em conjunto e, ao que parece, a ANPD está bastante interessada na criação de uma cultura de privacidade, muito mais do que na mera aplicação de sanções.

Terceiro: o artigo 17, para mim, é a confirmação do que tenho conversado com clientes em todos os projetos ao tratar da enorme importância de estar no caminho e poder comprovar o passo a passo dessa jornada. Diz a autoridade que o risco regulatório será diferenciado em função do comportamento dos agentes de tratamento, de modo a alocar recursos e adotar ações compatíveis com esse risco. Isso nos leva ao próximo item.

Quarto: a Autoridade irá classificar os agentes de tratamento tendo como base suas condutas em quatro faixas (art. 30):

I - Faixa I: agentes de tratamento para os quais não haverá, de imediato, adoção de medidas;

II - Faixa II: agentes de tratamento para os quais a ANPD encaminhará relatório notificando sobre os temas objeto de denúncia ou de reclamação de titulares de dados para que possam adotar ações corretivas;

III - Faixa III: agentes de tratamento para os quais a ANPD adotará medidas orientadoras ou preventivas; e

IV - Faixa IV: agentes de tratamento para os quais a ANPD adotará medidas preventivas ou repressivas.

Segundo o texto, as medidas repressivas serão tomadas quando os agentes permanecerem por dois ciclos consecutivos na última faixa. Ou seja, tudo parece indicar um processo que se inicia por medidas educativas e corretivas para, só depois de muita insistência na irregularidade, um agente de tratamento chegar a ser penalizado.

Quinto: ao definir como será a sua atividade preventiva, a normativa informa quatro modalidades de medidas: divulgação de informações, aviso, solicitação de regularização e plano de conformidade. A norma também esclarece toda a instrumentalidade do processo administrativo sancionador, que basicamente será composto de instauração, instrução, decisão e recurso.

Sexto: a possibilidade do arrependimento, quando o agente de tratamento pode suspender a conduta investigada e reparar os eventuais danos para ter seu processo arquivado e propor um Termo de Ajustamento de Conduta para encerrar um processo.

O processo permite recurso e as multas aplicadas, quando não pagas, sujeitarão os agentes de tratamento a inscrição no CADIN e encaminhamento do processo a Advocacia Geral da União para inscrição na dívida ativa.

Mais do que nunca o que tiramos dessa normativa é a necessidade inadiável de iniciar a jornada de adequação enquanto agentes de tratamento.

A Autoridade sinaliza claramente que o comportamento das empresas será levado em consideração. Por isso, iniciar a jornada de cultura de privacidade certamente ajudará em uma eventual análise pela Autoridade e pode ser o diferencial entre uma medida educativa e a aplicação de uma penalidade.

A íntegra do documento pode ser obtida pelo link:

https://www.gov.br/participamaisbrasil/norma-de-fiscalizacao-da-anpd
e contribuições ao teor do documento podem ser recebidas e consultadas mediante login no portal.

*Simone Santinato é DPO da Etek NovaRed


Carreira
IGTI abre inscrições para mais de 40 tipos de bootcamps em TI

Entre os cursos disponíveis estão Inteligência Artificial, Cybersecurity, programação iniciante, entre outros. As aulas são 100% online e o aluno paga apenas uma taxa de matrícula no valor de R$ 150.00. Não há mensalidade. Cursos duram dois meses e meio e têm 148 horas de conteúdo.



  • Copyright © 2005-2021 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G