Legale n. 841 ― ANPD publica Agenda Regulatória 2023-2024 para conferir maior publicidade à evolução do processo regulatório; Dia 28 de janeiro: «Dia Internacional da Proteção de Dados Pessoais».
Por Matheus Koseki.
Atualizado em 30 de Janeiro.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou sua agenda regulatória para o biênio 2023-2024, segundo sua Assessoria de Comunicação, para conferir maior previsibilidade e transparência à sua implementação.
Dar publicidade à sua agenda não é algo excepcional; na verdade é uma obrigação da ANPD o fazê-lo, em cumprimento a um princípio básico da Administração Pública. O ponto, aqui, é como a ANPD ordenou sua lista de atividades e como estabeleceu suas prioridades.
Regulamentar a dosimetria e aplicação das sanções é prioridade zero
A agenda estabelece o compromisso público com um total de 20 temas que correspondem a 20 frentes de trabalho agrupadas em 4 fases ou etapas sucessivas, ao longo de 4 semestres.
E o primeiro item da primeira fase é justamente a regulamentação da aplicação das sanções administrativas, o que inclui, necessariamente, a regulamentação da «dosimetria». Em outras palavras, regulamentar o processo de aplicação das sanções e como estabelecer a proporção entre as infrações e as sanções, com base nos parâmetros objetivos estabelecidos pela Lei Geral de Proteção de Dados Pessoais (LGPD).
Vencida essa etapa, a expectativa é que a imposição das sanções se torne aplicável já na sequência.
Infrações versus sanções: como a ANPD vai estabelecer a proporção entre a gravidade das faltas e a intensidade das sanções
Se tornaram relativamente conhecidas as possíveis sanções aplicáveis desde a publicação da Lei Geral de Proteção de Dados Pessoais, a Lei 13.709 (2018).
O artigo 52 da LGPD estabelece que a aplicação das sanções deve ser gradativa, isolada ou cumulativa, de uma simples advertência, com indicação de prazo para adoção de medidas corretivas, até a aplicação de multa no limite de 2% do faturamento (excluídos os tributos), limitada ao total de 50 milhões de reais por infração.
Entre as advertências e a aplicação das multas, outras sanções podem ser aplicadas: multas diárias; publicização da infração; bloqueio dos dados pessoais a que se refere a infração, até a sua regularização; e eliminação dos dados pessoais a que se refere a infração; suspensão do funcionamento do banco de dados a que se refere a infração, até a regularização da atividade; suspensão do exercício da atividade; e até a proibição parcial ou total do exercício da atividade relacionada ao tratamento de dados. (Artigo 52 da LGPD).
A regulamentação da dosimetria, ― a proporcionalidade entre a gravidade da falta e a intensidade da sanção ―, com base nos parâmetros estabelecidos pela LGPD, deverá se basear necessariamente (a) na gravidade e na natureza das infrações e dos direitos pessoais afetados; (b) na boa-fé do infrator; (c) na vantagem auferida ou pretendida pelo infrator; (d) na sua condição econômica; (e) se é o caso de reincidência; (f) o grau do dano causado; (g) o quanto o infrator cooperou para a infração; (h) se houve a adoção de medidas efetivas para o tratamento seguro dos dados pessoais e a implantação de um plano para minimizar eventuais danos; (i) se houve a adoção de política de boas práticas e governança; (j) e se houve a adoção de medidas corretivas assim que a irregularidade foi identificada. (Novamente, artigo 52 da LGPD).
O que vai acontecer agora?
Nossa equipe tem acompanhado cuidadosamente a Agenda Regulatória da ANPD e, de fato, falta bem pouco para que o regulamento a respeito da dosimetria e da aplicação das sanções se torne efetivamente aplicável.
É possível dizer isso porque todas as etapas que antecedem a deliberação final do Conselho Diretor da ANPD e a publicação dessa regulamentação específica (sanção e dosimetria) já foram vencidas.
O tema da aplicação das sanções já foi objeto de uma comissão de estudos (tomada de subsídios e análise de estudos e pesquisas); de uma consulta interna (entre os especialistas da própria ANPD, incluindo seus consultores); de uma ampla consulta pública, seguida de uma audiência pública; depois, de uma cuidadosa análise jurídica; e agora, ― finalmente ― resta apenas a deliberação do Conselho, a instância última da ANPD para validar a conclusão dos trabalhos e a redação final da regulamentação.
E o que vem logo depois disso?
Como vimos, o primeiro tema da primeira fase da Agenda Regulatória da ANPD para 2023-2024 é a regulamentação da dosimetria e aplicação de sanções administrativas. Em seguida, ainda nesta primeira fase, devem ser trabalhados os temas: direito dos titulares de dados; comunicação de incidentes e definição de prazo de notificação; transferência internacional de dados pessoais; relatórios de impacto à proteção de dados; sobre os encarregados de proteção de dados ― conhecidos por DPO ―; as hipóteses legais de tratamento de dados; a definição de alto risco e larga escala; o tratamento de dados pessoais sensíveis por organizações religiosas; o uso de dados pessoais para fins acadêmicos e realização de estudos por órgão de pesquisa; a anonimização e ‹pseudonimização› (pseudo-anonimização); e a regulamentação do tratamento de dados pela União para avaliação da educação nacional.
Todos esses temas já estão em andamento em diferentes fases e, embora sejam muitos, a ANPD prevê que vai concluí-los na primeira metade de 2023.
Para a segunda das quatro fases, os temas que devem ser regulamentados são o compartilhamento de dados pelo Poder Público; o tratamento de dados pessoais de crianças e adolescentes; as diretrizes para a política nacional de proteção
Os temas da fase três, estimados para o primeiro semestre de 2024, são o tratamento de dados pessoais sensíveis ― com foco nos dados biométricos ―; as medidas de segurança, técnicas e administrativas, incluindo os quesitos mínimos de segurança; e a inteligência artificial.
Na quarta fase, por fim, o tema é o Termo de Ajustamento de Conduta, conhecido como «TAC».
28 de janeiro:
Dia Internacional da Proteção de Dados Pessoais
Comemorado em 28 de janeiro, o Dia Internacional da Proteção de Dados é a celebração da Convenção 108, do Conselho da Europa para a Proteção das Pessoas Singulares referente ao Tratamento Automatizado de Dados Pessoais. Este foi o primeiro tratado global juridicamente vinculativo sobre proteção de dados assinado em 1981.
Mesmo após mais de 40 anos deste marco histórico, para muitos a ideia que se tem é que o tema é uma novidade. No Brasil, desde 2018, foi promulgada a Lei Geral de Proteção de Dados Pessoais (LGPD) para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Contudo, somente em setembro de 2020 ela entrou em vigor.
A LGPD se refere ao tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado, englobando um amplo conjunto de operações.
―
Conheça o nosso hub de compliance de proteção de dados pessoais e cibersegurança. >
―
Sócia da Área: Amanda Pesciutti Duarte >
―
Pessoas e Comunidade >
Conheça os nossos líderes >
Prêmios, Selos e Reconhecimentos >
Notícias: conteúdo de qualidade no nosso portal >
―
Tributário >
Corporativo >
Relações do Setor Automotivo >
Prevenção e Resolução de Conflitos >
Relações de Trabalho, Mobilidade Global e Gestão de Pessoas >
ESG, Ambiental e Sustentabilidade >
Inovação, Direito Digital e Cibersegurança >
Propriedade Intelectual >
Infraestrutura, Imobiliário e Construção Civil >
Direito Administrativo, Direito Público e Regulatório >
―
Nós temos um time incrível de especialistas em compliance de proteção de dados pessoais (Lei Geral de Proteção de Dados & General Data Protection Regulation), com habilidade em liderança de equipes multidisciplinares de adequação legal, tecnológica e de processos; mapeamento de pontos críticos (gap analysis); avaliação de riscos (assessment); elaboração de políticas e de documentos corporativos; implantação de medidas de controle e de monitoramento de incidentes; facilitação de workshops sobre boas práticas e medidas de proteção de dados; assessoria legal em casos de incidentes de segurança e elaboração de «Relatórios de Impacto à Proteção de Dados».
Nossas publicações ― «Legale», «Painel Tributário», «Temas Tributários» e «Notícias & Alertas» ― têm o objetivo de comunicar a perspectiva legal dos acontecimentos e prover contexto aos fatos jurídicos mais relevantes que podem influenciar companhias e organizações. Casos em concreto demandam atenção técnica personalizada sobre os fatos, e devem obter assessoria jurídica sob medida antes da adoção de qualquer providência legal ou paralegal. Se você, sua empresa ou o conselho de acionistas de sua organização precisam de aconselhamento, entre em contato com o advogado de sua confiança.
«Legale», «Painel Tributário», «Temas Tributários» e «Notícias & Alertas» são informativos periódicos e constituem uma prestação de serviços à comunidade empresarial sobre legislação, atualizações normativas e agenda tributária. Na forma de notas curtas, alertas ou artigos, os conteúdos podem dispor de links para websites oficiais, a fim de facilitar o acesso dos nossos seguidores e assinantes aos serviços e publicações referidos. Não nos responsabilizamos (e nem teria como!), entretanto, pela integridade destes websites governamentais, que podem apresentar problemas como indisponibilidade de acesso em razão de falhas em seus servidores, acidentes nos sistemas de rede, fragilidades em seus mecanismos de segurança, entre outros.
―
Fale com o Editor >
―
+55 19 3252-4324
Barão de Itapura, 2323
8° andar, Guanabara
Campinas, SP
Brasil
