A Autoridade Nacional de Proteção de Dados (ANPD) desempenha um papel fundamental na proteção da privacidade dos cidadãos em um cenário cada vez mais digital.
Neste blogpost, exploraremos como as diretrizes da ANPD são essenciais para manter a integridade e a segurança das informações pessoais e seu impacto em todo o ecossistema digital brasileiro.
O que faz a Autoridade Nacional de Proteção de Dados (ANPD)?
Responsável por orientar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD) no Brasil, a ANPD assegura que empresas e organizações adotem práticas adequadas no tratamento de dados pessoais, garantindo o equilíbrio entre segurança e inovação.
Além disso, a ANPD atua como um elo de confiança entre consumidores e organizações, educando e conscientizando sobre a importância da proteção de dados.
Qual é a Autoridade Nacional de Proteção de Dados (ANPD)?
Quando da promulgação da Lei Geral de Proteção de Dados, o legislador preocupou-se em criar dentro da sistemática de proteção de dados uma autarquia a quem caberia fiscalizar o cumprimento da norma que estava nascendo, a Autoridade Nacional de Proteção de Dados.
A LGPD descreveu a Autoridade Nacional de Proteção de Dados, ou ANPD, como o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
À Autoridade Nacional foram conferidos papeis e responsabilidades que vão desde o acompanhamento da implementação da cultura de proteção de dados pessoais no Brasil até a fiscalização das empresas e órgãos públicos a respeito do cumprimento da LGPD, inclusive acompanhando vazamento de dados.
Dentro desta perspectiva, a ANPD, pode editar normas técnicas sobre o tratamento de dados pessoais no Brasil, pode solicitar documentos e evidências, pode participar dos atendimentos aos titulares de dados, bem como deve receber e acompanhar a ocorrência de incidentes com dados pessoais.
Se você tem dúvidas sobre como a ANPD, entre em contato.
Por que o Brasil precisa de uma autoridade nacional de proteção de dados pessoais?
Fazendo uma breve analogia, a ANPD está para a LGPD, assim como a ANEEL está para o setor energético e a ANATEL está para os serviços de telefonia.
Portanto, o Brasil precisa de uma autoridade nacional de proteção de dados pessoais para acompanhar as diretrizes da proteção de dados, bem como para fiscalizar se a Lei está sendo cumprida.
Além disso, a ANPD possui diversas outras funções descritas na Lei Geral de Proteção de Dados, em seu art. 55-J, tais como:
– elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
– fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação;
– promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
– promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
– estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais;
– promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
– ouvir os agentes de tratamento e a sociedade civil em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
– celebrar compromissos com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos;
– comunicar às autoridades competentes as infrações penais das quais tiver conhecimento
O que a ANPD fiscaliza?
A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) fiscaliza o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD). Neste sentido, fiscaliza a forma como empresas, órgãos públicos e terceiro setor realizam o tratamento de dados pessoais no Brasil.
Em seu artigo 55-J, a LGPD designa inúmeras atribuições à Autoridade Nacional de Proteção de Dados Pessoais, a saber:
Art. 55-J. Compete à ANPD
I – zelar pela proteção dos dados pessoais, nos termos da legislação;
II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
III – elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
XI – solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
XII – elaborar relatórios de gestão anuais acerca de suas atividades;
XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
XVII – celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclararem startups ou empresas de inovação, possam adequar-se a esta Lei;
XIX – garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
XX – deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
XXI – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
XXII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
XXIII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
XXIV – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
Portanto, além de fiscalizar o cumprimento da Lei Geral de Proteção de Dados pela empresas, órgãos públicos e terceiro setor no Brasil, a Autoridade Nacional de Proteção de Dados possui diversas outras atribuições relacionadas ao tratamento de dados pessoais.
Conhecer o papel da ANPD e suas atribuições é papel do Encarregado de Dados, que os agentes de tratamento precisam nomear para tratar da proteção de dados dentro das organizações.
A contratação de um Encarregado de Dados as a service pode representar economia e efetividade na sua empresa. Conheça mais sobre este nosso trabalho.
O que a ANPD pode fazer?
A ANPD, além de poder realizar todas as atividades previstas no artigo 55-J da Lei Deral de Proteção de Dados, pode firmar convênios e estabelecer parcerias com outros órgãos com a finalidade de fiscalizar o cumprimento da Lei Geral de Proteção de Dados.
Dentro desta perspectiva, em razão da estreita relação de seu objeto de fiscalização e os direitos difusos e os direitos fundamentais, temos que um grande parceiro da Autoridade Nacional no acompanhamento da aplicação da LGPD é o Ministério Público.
Além disso, dentro da esfera de proteção relacionada aos direitos difusos, podemos encontrar outros órgãos como sindicatos, associações e os Procons.
Em Março de 2021, o Presidente da ANPD firmou Convênio com a Secretaria Nacional do Consumidor (SENACON/MJSP) prevendo a cooperação desta Secretaria para a fiscalização e fomento da proteção dos dados pessoais dos consumidores.
Há também compromissos firmados com o Conselho Nacional de Justiça para a sua correta aplicação nos Tribunais brasileiros.
Dentro da própria instituição Autoridade Nacional de Proteção de Dados, existe um conselho nacional de proteção de dados pessoais e da privacidade, denominado Conselho Nacional de Proteção de Dados Pessoais.
Esse Conselho é composto por representantes de várias instituições, como Poder Executivo Federal, Senado Federal, Câmara dos Deputados, Ministério Público, Comitê Gestor da Internet no Brasil, entidades da sociedade civil, da comunidade científica, de entidades sindicais e de entidades empresariais.
O Procon da sua cidade já fez algum tipo de ação relacionada à Lei Geral de Proteção de Dados? Essas ações são bens comuns e podem gerar autuações se a sua empresa não estiver adequada à LGPD. Não corra riscos.
Quando a ANPD deve ser acionada?
A ANPD deve ser acionada sempre que for constatado o desrespeito de uma organização às normas da LGPD, seja por um tratamento irregular de dados, seja pelo não atendimento de um direito do titular de dados.
Para estarem em conformidade com a LGPD e não precisarem passar por uma investigação pela ANPD, os agentes de tratamento precisam observar os Princípios previstos na legislação, os direitos dos titulares, bem como a implementação de boas práticas em seus processos.
Os princípios previstos no artigo 6º da LGPD são a essência de uma boa implementação. Ao observarem os princípios, que a lei também se preocupou em conceituar, os agentes de tratamento, estão atendendo ao espírito da lei, portanto, estão adequados.
São 10 os princípios mencionados e conceituados na LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção e não discriminação.
A recomendação é de que estes princípios sejam incorporados às rotinas administrativas do agente regulado, com a promoção de uma verdadeira mudança cultural nas equipes.
Nestes princípios estão alicerçados também os direitos dos titulares de dados, que estão a seguir listados:
- confirmação da existência de tratamento;
- de acesso aos dados;
- de correção de dados incompletos, inexatos ou desatualizados;
- de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
- de portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- de eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei;
- de informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- de revogação do consentimento;
- de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional; e, por fim,
- De opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
Para que tudo isso funcione em conformidade com a Lei, o recomendado é que os agentes de tratamento implementem medidas técnico-administrativas de segurança em seus processos, bem como estabeleçam mecanismos para atendimento dos titulares.
Dentre as medidas que devem ser implementadas, sugerimos o incremento na segurança da informação em bancos de dados físicos e digitais, bem como a elaboração de políticas internas, que estabeleçam regras de conduta com relação aos dados acessados pelos colaboradores.
Além disso, é importante ter planos formalizados com processos de atendimento aos direitos dos titulares de dados e documentos que evidenciem e mensuram os riscos existentes nas atividades realizadas e medidas de mitigação dos impactos destes riscos.
Por fim, não tenha dúvidas, se a ANPD for acionada para fiscalizar a sua empresa, a atuação de um profissional que seja realmente especialistas em Lei Geral de Proteção de Dados é indispensável.
Como acionar a ANPD?
A Lei Geral de Proteção de Dados prevê como um dos direitos do titular de dados pessoais o direito ao peticionamento em relação aos seus dados contra o controlador perante a autoridade nacional de proteção de dados.
Para tanto, no próprio site da Autoridade Nacional de Proteção de Dados, o titular de dados pode formular uma denúncia contra o agente de tratamento de dados que tenha dado causa a um incidente com os seus dados pessoais ou que tenha violado alguma das obrigações veiculadas na lei.
Para abrir o requerimento de denúncia, o titular de dados não precisa de um advogado, podendo acompanhar seu requerimento pelo próprio site da Autoridade Nacional de Proteção de Dados.
Além disso, o titular de dados pode buscar as vias judiciais para ver atendidos direitos ou reparados danos causados por organizações que violarem a Lei Geral de Proteção de Dados.
Alguns Tribunais de Justiça, inclusive, já possuem classificações de ações específicas para tratar de assuntos relacionados a danos relacionados ao mau tratamento de dados pessoais.
Não obstante, a ANPD pode ser acionada pelos órgãos de fiscalização dos direitos fundamentais que constarem uma violação à Lei Geral de Proteção de Dados.
Conforme já mencionamos, a ANPD já firmou diversos convênios com órgãos de fiscalização e proteção de setores da sociedade civil, possuindo braços fiscalizatórios bastante presentes em praticamente todos os setores.
Mas, mesmo que não haja um convênio firmado, a provocação da ANPD pode ser feita por órgão interessado ou organização da sociedade civil ligada ao titular de dados prejudicados, seja em uma esfera individual ou coletiva.
Independentemente da forma como acionada, se a ANPD for acionada para fiscalizar a sua empresa, a atuação de um profissional que seja realmente especialistas em Lei Geral de Proteção de Dados é indispensável.
Qual é a função do encarregado de dados, ou DPO?
O Encarregado de Dados ou DPO (Data Protection Officer) é o profissional, nomeado pelo Controlador de Dados, que deverá desempenhar dentro das organizações as atividades relacionadas no artigo 41 da LGPD.
Segundo estabelece a Lei Geral de Proteção de Dados, caberá ao Encarregado de Dados:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A Lei determina ainda que a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do controlador.
Qual a responsabilidade do DPO?
Apesar de a legislação não descrever critérios objetivos quanto às competências objetivas e subjetivas, da pessoa do Encarregado de Dados, em razão da natureza das atividades designadas no artigo 41, é essencial que este profissional tenha boa formação sobre a LGPD.
Isto porque é comum que as empresas, de forma equivocada e visando diminuir custos, designem um profissional interno do setor de TI ou mesmo o próprio Advogado já responsável por outras demandas para a função de Encarregado de Dados.
Porém, o trabalho do Encarregado é extremamente técnico e específico com relação ao que determina a LGPD. As suas atribuições vão desde acompanhar as medidas de segurança adotadas, até a realização de capacitação com os colaboradores.
Além disso, é necessário que o Encarregado de Dados tenha autonomia dentro da organização para melhor guiar e orientar o controlador de dados na construção de suas boas-práticas e até mesmo na fiscalização do cumprimento da Lei pelo controlador.
Neste sentido, recomendamos a contratação de um profissional com relação interpessoal, com conhecimentos técnicos específicos na área e que não esteja internamente subordinado à Diretoria da organização.
Boa alternativa para atendimento destas condições é a contratação de um Encarregado de Dados as a service que poderá atender ao controlador com o conhecimento e a imparcialidade necessários.
O que diz o artigo 42 da Lei Geral de Proteção de Dados Pessoais?
O artigo 42 trata da responsabilidade do agente de tratamento de der causa a danos morais ou patrimoniais, individuais ou coletivos, aos titulares de dados em razão do tratamento irregular de dados pessoais ou da não observância da LGPD.
Assim como diversas outras legislações que tratam de direitos difusos e coletivos, a LGPD não deixou de regular a responsabilidade civil do agente de tratamento com relação aos dados a que der causa.
Percebemos um estreito paralelo desta responsabilização com a do fornecedor para com o consumidor prevista no Código de Defesa do Consumidor, sendo que ambas derivam da responsabilidade civil prevista nos artigos 186, 187 e 927 do Código Civil Brasileiro.
Neste sentido, temos como conclusão que, independentemente das penalidades administrativas provenientes de um processo fiscalizatório pela ANPD, o agente de tratamento que causar danos ao titular de dados, poderá responder judicialmente pela reparação destes.
Os processos discutindo danos morais e patrimoniais relacionados à LGPD vem crescendo de modo exponencial no Brasil, portanto, deve ser uma preocupação para as organizações, pois podem representar grande massa contenciosa.
Em razão da especificidade da matéria, recomendamos também a contratação de advocacia especializada para patrocínio das defesas nestes processos, pois uma defesa bem construída, que desvincule o nexo causal entre o fato e o dano, são essenciais nestes casos.
