Autoridade Nacional de Proteção de Dados – ANPD

O que é a Autoridade Nacional de Proteção de Dados – ANPD ?

A Autoridade Nacional de Proteção de Dados – ANPD, é um órgão da Administração Pública Federal, integrante da Presidência da República e possui atribuições relacionadas à privacidade e proteção de dados pessoais, sobretudo, sendo a Agência responsável pela fiscalização do cumprimento da Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais ou LGPD.

A ANPD foi criada pela Medida Provisória (MP) nº 869 em 27 de dezembro de 2018. Originalmente, a criação da ANPD estava prevista no texto original da LGPD – Lei Geral de Proteção de Dados Pessoais, tendo sido anteriormente vetada pelo ex-presidente Michel Temer, sob alegação de possuir “vício de origem“, já que o texto determinava que o órgão faria parte do Poder Legislativo, que não pode dispor sobre a organização do Estado, sendo essa uma prerrogativa do Poder Executivo.

Assim, a MP 869 de 2018, que alterou a LGPD – Lei Geral de Proteção de Dados Pessoais reinseriu a criação da ANPD – Autoridade Nacional de Proteção de Dados, tendo sido aprovada no Plenário da Câmara dos Deputados no dia 28 de maio de 2019.

A criação de uma autoridade nacional independente para fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais – LGPD contribui, ainda mais, para que o Brasil figure no rol de mais de 120 países que possuem lei específica para a proteção de dados pessoais, estando, portanto, em consonância com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR – General Data Protection Regulation), o que torna o país capacitado para o transacionamento de dados pessoais com os países da União Europeia.

Segundo a Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais – LGPD:

Art. 5º Para os fins desta Lei, considera-se:

XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Atribuições da Autoridade Nacional de Proteção de Dados – ANPD

Nos termos da Lei nº 13.853/2019, que acrescentou o art. 55-J à Lei Geral de Proteção de Dados Pessoais – LGPD, são atribuições da Autoridade Nacional de Proteção de Dados – ANPD:

• Zelar pela proteção dos dados pessoais, nos termos da legislação;
• Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei;
• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
• Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
• Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
• Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança
• Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
• Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
• Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
• Solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;
• Elaborar relatórios de gestão anuais acerca de suas atividades;
• Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
• Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
• Arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
• Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
• Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
• Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
• Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos da LGPD e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
• Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
• Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
• Comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
• Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
• Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

Ainda, nos termos da Lei Geral de Proteção de Dados Pessoais – LGPD, a Autoridade Nacional de Proteção de Dados Pessoais – ANPD é responsável pela aplicação de sanções administrativas pelo descumprimento da LGPD.

A sanções aplicáveis pela ANPD estão previstas no art. 52 da LGPD – Lei Geral de Proteção de Dados Pessoais, são elas:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária, observado o limite total a que se refere o inciso acima;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;

Por óbvio, o parágrafo 1º do art. 52 da LGPD prevê que a aplicação de qualquer das sanções previstas na legislação de proteção de dados somente serão aplicadas após procedimento administrativo que possibilite e oportunize o contraditório e a ampla defesa das Empresas, “de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios”:

• A gravidade e a natureza das infrações e dos direitos pessoais afetados;
• A boa-fé do infrator;
• A vantagem auferida ou pretendida pelo infrator;
• A condição econômica do infrator;
• A reincidência;
• O grau do dano;
• A cooperação do infrator;
• A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
• A adoção de política de boas práticas e governança;
• A pronta adoção de medidas corretivas;
• A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Daí a importância da adequação à Lei Geral de Proteção de Dados Pessoais – LGPD.

E aí, sua empresa já está adequada à Lei Geral de Proteção de Dados Pessoais – LGPD?

O Melo Moreira Advogados pode te ajudar, entre em contato.