Opinião

Seis coisas que você precisa saber sobre a norma de fiscalização da ANPD

No dia 28 de maio, a Autoridade Nacional de Proteção de Dados (ANPD) publicou para consulta pública sua Norma de Fiscalização. O documento procura normatizar, ou seja, reunir esclarecimentos para a aplicação das sanções previstas pelos artigos 52 e seguintes da lei, no que se refere às tão temidas multas da LGPD.

Vale a pena destacar o fato de a Autoridade submeter um documento dessa natureza à consulta pública. É uma atitude que particularmente me agrada muito, pois demonstra uma abertura em ouvir a iniciativa privada, os titulares, a sociedade civil em geral antes de qualquer decisão final e isso já cria uma boa expectativa sobre como será conduzida a sua gestão. Ponto para a ANPD!

Para além disso, é positivo identificar que um dos valores definidos foi o de promover “processos transparentes e justos, com regras claras sobre direitos e obrigações”. Acredito que todo profissional de privacidade temia – em alguma medida – que a ANPD se convertesse em uma “máquina de emitir multas”, até pelas dificuldades orçamentárias causadas por sua forma de constituição, mas, de fato, não parece ser esse o cenário.

Esse é um documento que merece ser lido na íntegra, especialmente pelos profissionais da área, mas destaco aqui seis aspectos que considero mais relevantes e de interesse geral.

Primeiro: o artigo 5º definiu os deveres dos administrados e, pensando na operação da LGPD nas empresas (que é o que nos move todos os dias), há um rol bem específico de tarefas que não se pode perder de vista nem por um momento:


I – Fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;

II – Permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;

III – Possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;

IV – Submeter-se a auditorias realizadas ou determinadas pela ANPD;

V – Manter os documentos físicos e digitais, os dados e as informações durante os prazos estabelecidos na legislação e na regulamentação específica bem como durante toda a tramitação de processos administrativos que sejam necessários; e

VI – Disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.

O artigo 5º representa a materialização daquela máxima que norteia todo o trabalho, “não basta estar em compliance, é preciso estar bem documentado”.

Segundo: até onde a ANPD poderá ir? É interessante notar que a Autoridade poderá requisitar até mesmo o acesso às instalações, equipamentos, sistemas etc. – não se limitando apenas ao mero pedido de evidências.

Nesse sentido, vale destacar o do artigo 14, que define que a atividade preventiva consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visem reconduzir o agente de tratamento à plena conformidade, bem como evitar ou remediar situações que possam acarretar risco ou danos aos titulares de dados pessoais e a outros agentes de tratamento.

A normativa está bem direcionada nessa intenção de educar, orientar, construir soluções e medidas em conjunto e, ao que parece, a ANPD está bastante interessada na criação de uma cultura de privacidade, muito mais do que na mera aplicação de sanções.

Terceiro: o artigo 17, para mim, é a confirmação do que tenho conversado com clientes em todos os projetos ao tratar da enorme importância de estar no caminho e poder comprovar o passo a passo dessa jornada. Diz a autoridade que o risco regulatório será diferenciado em função do comportamento dos agentes de tratamento, de modo a alocar recursos e adotar ações compatíveis com esse risco. Isso nos leva ao próximo item.

Quarto: a Autoridade irá classificar os agentes de tratamento tendo como base suas condutas em quatro faixas (art. 30):

I – Faixa I: agentes de tratamento para os quais não haverá, de imediato, adoção de medidas;

II – Faixa II: agentes de tratamento para os quais a ANPD encaminhará relatório notificando sobre os temas objeto de denúncia ou de reclamação de titulares de dados para que possam adotar ações corretivas;

III – Faixa III: agentes de tratamento para os quais a ANPD adotará medidas orientadoras ou preventivas; e

IV – Faixa IV: agentes de tratamento para os quais a ANPD adotará medidas preventivas ou repressivas.

Segundo o texto, as medidas repressivas serão tomadas quando os agentes permanecerem por dois ciclos consecutivos na última faixa. Ou seja, tudo parece indicar um processo que se inicia por medidas educativas e corretivas para, só depois de muita insistência na irregularidade, um agente de tratamento chegar a ser penalizado.

Quinto: ao definir como será a sua atividade preventiva, a normativa informa quatro modalidades de medidas: divulgação de informações, aviso, solicitação de regularização e plano de conformidade. A norma também esclarece toda a instrumentalidade do processo administrativo sancionador, que basicamente será composto de instauração, instrução, decisão e recurso.

Sexto: a possibilidade do arrependimento, quando o agente de tratamento pode suspender a conduta investigada e reparar os eventuais danos para ter seu processo arquivado e propor um Termo de Ajustamento de Conduta para encerrar um processo.

O processo permite recurso e as multas aplicadas, quando não pagas, sujeitarão os agentes de tratamento a inscrição no CADIN e encaminhamento do processo a Advocacia Geral da União para inscrição na dívida ativa.

Mais do que nunca o que tiramos dessa normativa é a necessidade inadiável de iniciar a jornada de adequação enquanto agentes de tratamento.

A Autoridade sinaliza claramente que o comportamento das empresas será levado em consideração. Por isso, iniciar a jornada de cultura de privacidade certamente ajudará em uma eventual análise pela Autoridade e pode ser o diferencial entre uma medida educativa e a aplicação de uma penalidade.

A íntegra do documento pode ser obtida pelo link:

https://www.gov.br/participamaisbrasil/norma-de-fiscalizacao-da-anpd
e contribuições ao teor do documento podem ser recebidas e consultadas mediante login no portal.

*Simone Santinato é DPO da Etek NovaRed

Botão Voltar ao topo