A newsletter do time de Proteção de Dados e Privacidade traz as principais notícias envolvendo a atuação da Autoridade Nacional de Proteção de Dados (“ANPD”) durante o primeiro semestre de 2023. Apresentamos um resumo das movimentações da ANPD que impactam a rotina dos profissionais da área e o gerenciamento dos programas de privacidade em suas respectivas organizações. Nesta newsletter você vai encontrar:

  1. Regulamento de Dosimetria e Aplicação de Sanções Administrativas é aprovado pela ANPD
  2. Agenda de Avaliação de Resultados Regulatórios da ANPD é aprovada
  3. Lista de processos de sancionatórios em andamento é divulgada pela ANPD
  4. Enunciado sobre o tratamento de dados pessoais de crianças e adolescentes é editado pela ANPD
  5. Lista de processos de fiscalização em andamento é divulgada pela ANPD
  6. Modelo de registro simplificado de operações com dados pessoais para Agentes de Tratamento de Pequeno Porte (ATPP) é divulgado pela ANPD
  7. ANPD recolhe contribuições para elaboração do Regulamento de Comunicação de Incidente de Segurança
  8. Guia Orientativo sobre Tratamento de Dados Pessoais para Fins Acadêmicos é divulgado pela ANPD

1. Regulamento de Dosimetria e Aplicação de Sanções Administrativas é aprovado pela ANPD

Em 27 de fevereiro de 2023, a ANPD publicou a Resolução CD/ANPD nº 4/2023, apresentando o aguardado Regulamento de Dosimetria e Aplicação de Sanções Administrativas, além de apresentar alterações ao Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador.

A regulamentação aborda a aplicação das disposições previstas nos artigos 52 e 53 da Lei Federal nº 13.709/18 (Lei Geral de Proteção de Dados ou LGPD), que estabelecem as sanções administrativas que poderão ser aplicadas pela ANPD após o processo fiscalizatório e sancionador em razão da desconformidade com a LGPD.

A regulamentação tem como propósito principal proporcionar segurança jurídica durante os processos de fiscalização, garantindo a aplicação adequada do devido processo legal e ampla defesa, além da manutenção de uma relação proporcional entre a infração cometida e a sanção imposta ao agente de tratamento.

Abaixo, apresentamos os principais pontos do Regulamento de Dosimetria e Aplicação de Sanções Administrativas e as alterações ao Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador.

1.1 Regulamento de Dosimetria e Aplicação de Sanções Administrativas

Com a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, a ANPD estabeleceu em que circunstâncias as sanções descritas na LGPD serão aplicadas.

Tipos de infração: a ANPD dividiu as infrações em leves, médias e graves, estabelecendo critérios objetivos para a caracterização de cada tipo de infração, além de informar para quais tipos de infração cada sanção poderá ser aplicada.

Para determinadas sanções, a ANPD definiu o tipo de infração para a qual a sanção será aplicada, a saber:

  • Advertência, que será aplicada aos casos em que (i) a infração for leve ou média e não caracterizar reincidência específica; ou (ii) houver necessidade de imposição de medidas corretivas;
  • Multa simples, que será aplicada nos casos em que (i) o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável; (ii) a infração for classificada como grave; ou (iii) pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.

O Regulamento apresenta as circunstâncias atenuantes e agravantes que serão observadas durante processo sancionador pela ANPD, nos termos dos art. 12 e 13 do Regulamento. O prazo definido para pagamento da sanção de multa deverá ocorrer em até 20 (vinte) dias úteis contados a partir da ciência da decisão de aplicação da sanção, excetuado os agentes de tratamento de pequeno porte, que terão prazo de 40 (quarenta) dias.

Definição do valor da multa: a ANPD estabeleceu no Regulamento a forma de definição do valor-base da multa simples, para cada infração cometida, tendo em consideração os elementos apresentados na metodologia incluída no Apêndice ao Regulamento, a saber: (i) a classificação da infração (se leve, média ou grave); (ii) o faturamento do infrator no último exercício disponível anterior à aplicação da sanção; e (iii) o grau do dano.

Reincidência: São previstas duas situações de reincidência: a genérica ou específica.

  • reincidência genérica ocorrerá quando o agente cometer outra infração, ainda que não relacionada a mesma disposição legal ou regulamentar, pelo período de 5 (cinco) anos contados do trânsito em julgado do processo administrativo sancionador até a nova infração;
  • reincidência específica ocorrerá quando o mesmo agente desrespeitar a mesma disposição legal ou regulamentar no período de 5 (cinco) anos contados do trânsito em julgado do processo administrativo sancionador até a data da nova infração.

O artigo 12 do Regulamento ainda prevê os percentuais que poderão ser acrescidos na multa simples no caso das circunstâncias agravantes a seguir indicadas:

  • 10% para cada caso de reincidência específica, até o limite de 40%;
  • 5% para cada caso de reincidência genérica, até o limite de 20%;
  • 20% para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador, até o limite de 80%;
  • 30% para cada medida corretiva descumprida, até o limite de 90%.

1.2 Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador

As seguintes alterações foram realizadas no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador (Resolução CD/ANPD nº 1/2021):

  • Descumprimento das medidas preventivas: No caso de descumprimento das medidas preventivas previstas na Regulamento, a ANPD poderá (i) adotar outras medidas ou agir de modo mais repressivo, com a adoção de medidas compatíveis; (ii) considerar como circunstância agravante o descumprimento da medida preventiva.
  • Fase de decisão pela Coordenação-Geral de Fiscalização: Na decisão de primeira instância, quando for imposta obrigação de fazer ou não fazer ao infrator, a decisão deverá conter: (i) prazo de execução, as condições de aferição pela ANPD, ou de demonstração do cumprimento das medidas impostas; (ii) o valor da multa simples ou diária, bem como prazo para pagamento.
  • Admissibilidade recursal: A Coordenação-Geral de Fiscalização realizará a análise dos pressupostos gerais de admissibilidade recursal, da concessão do efeito suspensivo e do mérito do pedido antes de realizar a remessa do processo ao Conselho Diretor.

2. Agenda de Avaliação de Resultados Regulatórios da ANPD é aprovada

Em 14 de março de 2023, a ANPD publicou a Agenda de Avaliação de Resultados Regulatórios (Agenda), que prevê o cronograma para início da avaliação da efetividade e efeitos regulatórios de normas publicadas pela Autoridade, quais sejam Resoluções CD/ANPD nº 1 (Processo de Fiscalização e Processo Administrativo Sancionador) e nº 4 (Dosimetria e Aplicação de Sanções Administrativas).

Com base nos parâmetros estabelecidos no Decreto Federal nº 10.411/20, a Agenda estabeleceu o início dos trabalhos a partir de maio de 2023 e a conclusão da análise no ano de 2026.

Conforme divulgado no site da ANPD, a Avaliação de Resultados Regulatórios (ARR) é um instrumento adequado para viabilizar o aprimoramento contínuo das atividades regulatórias da ANPD e avaliar o desempenho dos dois regulamentos que a ANPD considera ter maior impacto para a sociedade. Além da permitir a mensuração dos desempenhos, resultados e efeitos na sociedade, a ARR apoiará na avaliação dos instrumentos regulatórios e na análise dos objetivos pretendidos com a regulamentação.

Para fins de governança, trata-se de uma medida relevante para fortalecer a prestação de contas, a transparência e o impacto na sociedade.

3. Lista de processos de sancionatórios em andamento é divulgada pela ANPD

Em 23 de março de 2023, a ANPD divulgou uma lista sobre 8 (oito) processos administrativos sancionatórios instaurados pela Coordenação-Geral de Fiscalização (CGF) da ANPD, que se encontram na fase instrutória.

Os documentos incluídos nos processos sancionadores pendentes de decisão estão com acesso restrito à ANPD e às respectivas partes dos processos.

A ANPD divulgará as informações sobre as sanções aplicadas apenas após a conclusão de investigação confirmando a conduta do agente infrator, sendo resguardados os direitos de ampla defesa e do contraditório. Para fins de divulgação, a CGF e a Assessoria de Comunicação criarão uma página específica no site da ANPD para a consulta de qualquer pessoa.

4. Enunciado sobre o tratamento de dados pessoais de crianças e adolescentes é editado pela ANPD

Em 24 de maio de 2023, a ANPD publicou o Enunciado CD/ANPD nº 1/2023, que pretende estabelecer a interpretação padronizada sobre a aplicação de hipóteses legais no tratamento de dados de crianças e adolescentes.

De acordo com o Enunciado, o tratamento de dados pessoais de crianças e adolescentes poderá ocorrer com base em todas as hipóteses legais previstas na LGPD, incluindo em caso de consentimento fornecido pelo titular, para fins de cumprimento de obrigação legal, para a proteção à vida ou para atendimento de interesse legítimo do controlador.

Ainda, de acordo com o art. 14 da LGPD, em qualquer caso de tratamento de dados de crianças ou adolescentes, o melhor interesse da criança e do adolescente deverá prevalecer, exigindo avaliação cautelosa por parte do controlador.

Desta forma, fica esclarecido que os dados pessoais de crianças e adolescentes poderão ser tratados com base em quaisquer hipóteses legais estabelecidas na LGPD. Entretanto, quando baseado no consentimento, deverá ser observada a forma prescrita na LGPD, ou seja, obtido de forma específica e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

5. Lista de processos de fiscalização em andamento é divulgada pela ANPD

Em 31 de maio de 2023, a ANPD divulgou uma lista contendo 16 (dezesseis) processos envolvendo 27 (vinte e sete) instituições que estão sendo investigadas quanto a sua adequação à LGPD pela ANPD. A divulgação da lista dos processos de fiscalização tem como finalidade dar transparência das atividades da ANPD para a sociedade.

O objetivo do processo de fiscalização é avaliar o cumprimento das obrigações previstas pela LGPD. Durante esse processo, a ANPD poderá propor medidas preventivas para que o agente se adeque às disposições legais, bem como poderá realizar auditorias, solicitar informações específicas e detalhadas sobre o tratamento de dados pessoais, com o objetivo em garantir a conformidade com a legislação.

A lista com os processos de fiscalização, bem como o escopo das análises em andamento pela ANPD podem ser encontrados clicando neste link. Os processos de fiscalização, segundo a ANPD, possuem documentos preparatórios, estando seu inteiro teor com acesso restrito à ANPD e às partes dos processos.

6. Modelo de registro simplificado de operações com dados pessoais para Agentes de Tratamento de Pequeno Porte (ATPP) é divulgado pela ANPD

Em 14 de junho de 2023, a ANPD divulgou o modelo de registro simplificado de operações com dados pessoais (Registro) para Agentes de Tratamento de Pequeno Porte (ATPP).

O modelo simplificado foi elaborado pela ANPD levando em conta apenas os campos considerados essenciais, a saber: informações de contato da instituição; categorias de titulares de dados pessoais; dados pessoais; compartilhamento de dados; medidas de segurança; período de armazenamento dos dados pessoais; processo, finalidade e hipótese legal; e observações.

O intuito do documento é o cumprimento do art. 9º do Regulamento de Aplicação da LGPD para ATPP,  que estabelece a elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada. O modelo do Registro pode ser encontrado no link.

7. ANPD recolhe contribuições para elaboração do Regulamento de Comunicação de Incidente de Segurança

Em 15 de junho, finalizou-se o prazo para envio de contribuições para a consulta pública sobre o Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais (Regulamento), tema previsto na Agenda Regulatória 2023-2024 da ANPD.

Além disso, em 23 de maio de 2023, a ANPD realizou Consulta Pública (Consulta) com o objetivo de debater a proposta de Regulamento em que recebeu manifestações, comentários e sugestões acerca do tema do público geral. A sessão foi transmitida pelo canal no Youtube da ANPD e pode ser encontrada clicando neste link.

Em complemento, a ANPD também publicou o Relatório de Análise de Impacto (Relatório) para a construção do Modelo Regulatório para Comunicação e Tratamento de Incidentes de Segurança e o voto proferido pelo Diretor Relator acerca do tema discutido.

O Relatório tem como objetivo “regulamentar o dispositivo legal de notificação de incidentes de segurança, nos termos do art. 48 da LGPD, de modo a definir o prazo razoável em que deverá ser realizada, quais incidentes são passíveis de acarretarem risco ou dano relevante aos titulares de dados pessoais e qual será o tratamento das notificações recebidas pela ANPD” e “facilitar a identificação dos incidentes de segurança que necessariamente deverão ser comunicados à autoridade, conferir segurança jurídica com a fixação de prazo para notificação e a delimitação clara, objetiva e transparente dos ritos e critérios a serem adotados pela ANPD quanto à análise das notificações recebidas”.

No Relatório, a ANPD apresenta diversas experiências internacionais e modelos que poderiam ser adotados pelo Brasil para a definição:

  • (i) dos critérios para definição de incidentes que possam acarretar riscos ou danos relevantes aos titulares;
  • (ii) de prazos para comunicação de incidentes de segurança;
  • e (iii) tratamento dos incidentes notificados à ANPD.

8. Guia Orientativo sobre Tratamento de Dados Pessoais para Fins Acadêmicos é divulgado pela ANPD

Em 26 de junho de 2023, a ANPD publicou o Guia Orientativo sobre Tratamento de Dados Pessoais para Fins Acadêmicos. O objetivo do Guia é esclarecer as dúvidas sobre as hipóteses legais que autorizam o tratamento de dados pessoais e a disponibilização de acesso ou compartilhamento de dados pessoais para a realização de estudos e pesquisas, que podem surgir a partir da redação das disposições da LGPD.

Além disso, o Guia traz exemplos práticos como o uso compartilhado de dados entre Secretarias de Saúde e órgãos de pesquisa, o tratamento de dados pessoais realizados por instituições de ensino, casos de uso de dados pessoais por centros de pesquisas criados pelo Ministério Público em Estados da federação, entre outros.

De acordo com a LGPD, é possível que o tratamento de dados pessoais para fins de realização de estudos e pesquisas por agentes de tratamento não qualificados como órgãos de pesquisa ocorra de forma lícita, desde que o tratamento esteja enquadrado em uma das hipóteses legais estabelecidas pela LGPD.

Um dos objetivos do Guia é conferir mais segurança jurídica e regulatória no tratamento de dados pessoais para fins acadêmicos e na realização de estudos e pesquisas, reforçando a necessidade de o agente de tratamento seguir padrões éticos e o princípio da boa-fé como um meio de realizar o tratamento de dados pessoais para tal finalidade.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.