Resolução CD/ANPD nº 1, de 28 de outubro de 2021
O Conselho Diretor da Autoridade Nacional de Proteção de Dados (“ANPD”) aprovou, no dia 28 de outubro de 2021, o “Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD”, que detalha os procedimentos necessários para a aplicação de multas e sanções administrativas, àqueles que infringirem às normas previstas na Lei Geral de Proteção de Dados (LGPD), que incluem: advertência, multa simples, multas diárias e até a proibição total do exercício das atividades relacionadas ao tratamento de dados pessoais.
O Regulamento possui 71 artigos e trata dos deveres dos agentes regulados e de disposições processuais, além de dispor sobre o processo de fiscalização que compreende as atividades de monitoramento, orientação e atuação preventiva, dentre outros temas.
Referida regulamentação da ANPD ainda estabelece obrigações que as empresas devem cumprir, tais como: (i) estarem preparadas para o fornecimento de informações que permitam avaliar as atividades de tratamento de dados pessoais realizadas; (ii) permitir o acesso às instalações, equipamentos e sistemas; (iii) informar sobre o inventário de TI e demais sistemas utilizados para os tratamentos de dados; (iv) submeter-se a auditorias; (v) comprovar a manutenção de informações durante os prazos legais e (vi) disponibilizar um representante apto a apoiar a atividade de fiscalização, com conhecimento e autonomia para prestar todas as informações pertinentes. O rol, portanto, é exemplificativo e não taxativo.
Cabe, ainda, ao agente solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou industrial.
Além dos agentes regulados, o Regulamento é aplicável aos titulares de dados (pessoas naturais ou jurídicas); aqueles que têm direitos ou interesses em eventual decisão da ANPD; organizações e associações representativas (no tocante a direitos e interesses coletivos); pessoas ou associações legalmente constituídas, incluindo as instituições acadêmicas (no tocante a direitos e interesses difusos), conforme previsto no artigo 13 do Regulamento.
Cumpre destacar que a atividade fiscalizatória da ANPD tem por objetivo orientar, prevenir e reprimir as infrações à LGPD e, conforme o artigo 16 do Regulamento, poderá ser:
I – de ofício;
II – em decorrência de programas periódicos de fiscalização;
III – de forma coordenada com órgãos e entidades públicos; ou
IV – em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.
Com relação a atividade de monitoramento, deverá ser elaborado, anualmente, o Relatório de Ciclo de Monitoramento, que corresponde a um “instrumento de avaliação, prestação de contas e planejamento da atividade de fiscalização da ANPD”. O primeiro Ciclo de Monitoramento terá início em janeiro de 2022. Deverá ser implementado, ainda, o Mapa de Temas Prioritários, que será bianual e “estabelecerá os temas prioritários que serão considerados pela Autoridade para fins de estudo e planejamento da atividade de fiscalização no período”.
Cumpre destacar que o relatório de análise de ciclo de monitoramento orientará a estratégia de atuação preventiva e repressiva e as medidas a serem adotadas, inclusive ao longo do ciclo seguinte. Já o mapa de temas prioritários consolidará os assuntos que serão considerados pela ANPD para fins de estudo e planejamento da atividade de fiscalização em determinado período.
Com relação à atividade repressiva, o artigo 37 do Regulamento prevê que “o processo administrativo sancionador se destina à apuração de infrações à legislação de proteção de dados de competência da ANPD” e poderá ser instaurado, sem possibilidade de recurso, (i) de ofício; (ii) em decorrência de processo de monitoramento; e (iii) diante de requerimento em que a Coordenação-Geral de Fiscalização deliberar pela abertura imediata de processo sancionador.
O procedimento administrativo definido na Resolução 1/2021 será composto de quatro fases: (i) a instauração, de ofício ou provocada (por denúncia, inclusive anônima); (ii) a instrução, na qual o autuado apresentará sua defesa e provas para embasar seus argumentos em até 10 (dez) dias úteis; (iii) a decisão; e (iv) recurso ao Conselho Diretor da ANPD, no prazo de 10 (dez) dias úteis, com efeito suspensivo, limitado ao dispositivo da decisão devolvido via recursal, que possibilitará o juízo de reconsideração.
No entanto, quando os indícios da prática de infração não forem suficientes para a instauração imediata de processo administrativo sancionador, a Coordenação-Geral poderá efetuar averiguações preliminares, que poderão tramitar em sigilo e, ao final, serem arquivadas ou darem origem ao processo administrativo.
Vale destacar que a empresa autuada poderá apresentar Termo de Ajuste de Conduta (TAC) à ANPD que, uma vez aprovado, suspenderá o andamento do processo administrativo sancionador, podendo até mesmo arquivá-lo após o cumprimento integral das obrigações acordadas no documento.
O acusado terá direito ao contraditório e ampla defesa, bem como chance de recorrer das decisões, e, mesmo em caso de condenação final, com trânsito em julgado, é importante ressaltar que os processos administrativos “poderão ser revistos, a qualquer tempo, a pedido ou de ofício, quando surgirem fatos novos ou circunstâncias relevantes suscetíveis de justificar a inadequação da sanção aplicada”.
Com relação aos prazos e atos administrativos, um aspecto de destaque do Regulamento consiste na contagem dos prazos relativos aos atos do processo administrativo de competência exclusiva da ANPD. O artigo 8º do normativo prevê que “os prazos começam a correr a partir da ciência oficial e são contados em dias úteis, excluído o dia do começo e incluído o dia de vencimento”.
Ainda, conforme o Regulamento, “os atos administrativos serão realizados, preferencialmente, por meio eletrônico. Como exceção, a ANPD “poderá expedir comunicação por suporte físico, ou por qualquer outro recurso que assegure a certeza da ciência do interessado”.
Com relação a orientação e a prevenção, cumpre destacar que caberá à Autoridade Nacional de Proteção de Dados promover medidas para a criação de uma conscientização geral do tema de proteção de dados que visa atingir os agentes de tratamento, os titulares de dados pessoais e os demais integrantes ou interessados no tratamento de dados pessoais.
Além do Regulamento de Fiscalização e Aplicação de Sanções Administrativas, a ANPD ainda submeterá à consulta pública norma específica para discutir as formas e as dosimetrias para o cálculo do valor-base das sanções de multa, com o objetivo de regulamentar todos os seus elementos.
Portanto, a tendência que estamos observando é a de que a ANPD valorizará as empresas que vem implementando os seus programas de governança e de proteção de dados, especialmente no momento de definir as sanções a serem aplicadas no caso de infração das normas de proteção de dados. Cumpre destacar ainda, que a ANPD, especialmente nesse momento inicial de estruturação do órgão, tem valorizado o caráter pedagógico da norma para incentivar e orientar as empresas a fomentarem em suas organizações a cultura de proteção de dados pessoais.
—
Advogada autora do comentário: Natália Pimenta Brito de Lima
Fonte: RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021
—
Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.
If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.