A Autoridade Nacional de Proteção de Dados é o órgão da administração pública, vinculado à Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD) em todo o território nacional.
A ANPD foi criada em 2018 pela Medida Provisória nº 869 e tem suas atribuições previstas na própria LGPD. Seu principal órgão interno é o Conselho Diretor, composto por 5 diretores, do qual partiu a Resolução que aprovou o Regulamento em análise.
Atuação fiscalizatória
De início, vale destacar que o Conselho Diretor da ANPD optou pela abordagem da regulação responsiva para a atuação fiscalizatória do órgão, adotando medidas proporcionais ao risco identificado e à postura do agente regulado.
Além de elencar, em seu artigo 17, as premissas da atuação fiscalizatória da ANPD, o Regulamento também dispõe, no artigo 16, que no exercício dessa competência, a autoridade poderá atuar (I) de ofício; (II) em decorrência de programas periódicos de fiscalização; (III) de forma coordenada com órgãos e entidades públicos; ou (IV) em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.
O Regulamento deixa claro que a fiscalização desempenhada pela ANPD compreenderá 3 tipos de atividades distintas, cada qual com finalidades específicas. Veja:
1) Monitoramento: destina-se ao levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD, com o fim de assegurar o regular funcionamento do ambiente. O ciclo de monitoramento será anual e o primeiro começou em janeiro de 2022.
2) Orientação: consiste em orientar, conscientizar e educar os agentes de tratamento e dos titulares de dados pessoais, bem como interessados, acerca das regras e boas práticas para tratamento de dados pessoais. Para tanto, a ANPD poderá utilizar-se de guias orientativos, modelos de documentos, treinamentos, mecanismos de autoavaliação, ferramentas de averiguação de riscos, entre outras estratégias.
3) Atuação Preventiva: por meio de uma construção conjunta e dialogada, a ANPD visa estabelecer soluções e medidas capazes de reconduzir o agente de tratamento à plena conformidade ou evitar/remediar situações que possam acarretar risco ou danos aos titulares de dados pessoais e a outros agentes de tratamento.
Atuação sancionadora e repressiva
Nos termos do Regulamento, a atividade repressiva caracteriza-se pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no artigo 52 da LGPD.
Essa atividade será desempenhada de acordo com o Processo Administrativo Sancionador, que estabelece as “regras do jogo” que a ANPD deve observar para aplicar uma medida sancionatória a determinado agente. Ao mesmo tempo, essas regras estabelecem os direitos dos agentes, principalmente o de poder defender-se e contestar os fatos que lhe forem imputados.
Como o próprio nome indica, trata-se de um processo que ocorre na esfera administrativa, isto é, inicia e termina no âmbito da estrutura interna da ANPD, não envolvendo o Poder Judiciário.
A finalidade do Processo Administrativo Sancionador é apurar infrações à legislação de proteção de dados de competência da ANPD, o que se fará por meio das seguintes etapas:
1) Instauração de processo
A instauração (início) do processo pode se dar de ofício pela Coordenação-Geral de Fiscalização, como decorrência da atividade de monitoramento ou por requerimento.
Quando os indícios da prática de infração não forem suficientes para a instauração imediata de processo administrativo sancionador, a ANPD poderá efetuar, sigilosamente ou não, averiguações preliminares e diligências para o esclarecimento da demanda.
A instauração se concretizará com a lavratura de auto de infração.
2) Instrução
Como o próprio Regulamento estabelece, aplicam-se subsidiariamente as normas dispostas na Lei nº 9.784/99, que regula o processo administrativo no âmbito da Administração Pública Federal.
²Em caso de eventual abuso ou irregularidade no processo administrativo, nada impede que qualquer das partes leve a questão para apreciação da autoridade judiciária competente, por meio de ação cabível para tanto.
Lavrado o auto de infração, o autuado será intimado para apresentar defesa no prazo máximo de dez dias. Independentemente desse prazo, a ANPD poderá realizar diligências e juntar novas provas aos autos, visando à celeridade processual e à mitigação de riscos.
3) Decisão
Ao fim da fase de instrução, a Coordenação-Geral de Fiscalização decidirá o processo. O resumo dessa decisão será publicado no Diário Oficial da União.
4) Recurso
Caso o agente de tratamento não concorde com a decisão, poderá interpor recurso administrativo para o Conselho Diretor para que o processo seja reapreciado e julgado coletivamente.
5) Cumprimento da decisão
Após o julgamento do recurso, caso a decisão mantenha-se desfavorável ao agente, a Coordenação-Geral de Fiscalização acompanhará e garantirá seu cumprimento, adotando as medidas cabíveis para tanto, como a inscrição no Cadastro Informativo de Créditos não Quitados do Setor Público Federal (Cadin) e na Dívida Ativa da União no caso de eventual sanção pecuniária que não for adimplida até a data de vencimento.
6) Revisão
Caso o processo administrativo tenha resultado na aplicação de penalidades e se tome contato com fatos novos ou circunstâncias relevantes que acarretem a inadequação da sanção aplicada, o processo poderá ser revisto, a qualquer tempo, mediante pedido ou de ofício pela autoridade.
É possível fazer acordo?
Sim, nos termos dos artigos 43 e 44 do Regulamento, o interessado poderá propor a celebração de Termo de Ajustamento de Conduta (TAC) à Coordenação-Geral de Fiscalização, que o encaminhará para deliberação do Conselho Diretor. Caso o Conselho Diretor delibere positivamente, ocorrerá a assinatura do TAC. Esse ato suspende eventual processo administrativo sancionador em curso e, após o cumprimento integral do acordo, o extingue.
Como se preparar para esse novo momento?
O Regulamento lista em seu artigo 5º os deveres de colaboração dos agentes regulados com o processo de fiscalização da ANPD, envolvendo, por exemplo, o fornecimento de cópia de documentos, dados e informações relevantes para avaliação das atividades de tratamento, a permissão de acesso a instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos da organização e a sujeição a auditorias.
Neste cenário, é essencial estruturar um sólido programa de governança em privacidade e proteção de dados, para poder apresentar evidências concretas de conformidade à LGPD diante de eventual fiscalização por parte da ANPD. Que esse novo momento de maior atuação regulatória seja um estímulo para reforçar o empenho em prol do bom andamento dos projeto de adequação à LGPD.
Colocamo-nos à disposição para atender eventuais dúvidas acerca das disposições do Regulamento.
Giordano Gorham Miolo e Ana Claudia Bonassi Machado – Escritório Parceiro da Bortolotto & Advogados Associados.
