Recentemente a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador (Resolução CD/ANPD nº1/2021) que determina os ritos e diretrizes a serem seguidos pela ANPD e pelos agentes de tratamento de dados durante as atividades de fiscalização e eventuais procedimentos sancionadores.

Assim como a LGPD (Lei nº 13.709/2018), o novo regulamento é aplicável tanto aos titulares de dados, quantos aos agentes de tratamento de dados pessoais, sejam eles pessoas físicas ou jurídicas, direito público ou privado, bem como a terceiros interessados no tratamento dos dados pessoais, os quais são denominados “agentes regulados” de acordo com o art. 4º, inciso I, do Regulamento.

Aos agentes regulados, um dos pontos de maior atenção à Resolução se encontra em seu Art. 5º, onde estão definidos os deveres que todos aqueles que realizam o tratamento de dados pessoais devem estar aptos a cumprir.

Tais deveres vão desde o fornecimento de cópias de documentos e informações relevantes para a avaliação das atividades de tratamento de dados, disponibilização de representante apto a auxiliar a atuação da ANPD durante determinada atividade procedimental, até a participação de auditorias e permissão de acesso à áreas, sistemas, equipamentos e qualquer outro objeto ou meio utilizado no tratamento de dados.

Importante destacar que, conforme previsto no Art. 5º, §2º do Regulamento, cabe aos agentes regulados solicitarem sigilo à ANPD sobre eventuais informações acerca de suas estratégias empresariais, contábeis, operacionais e econômico-financeiras que, eventualmente, forem compartilhadas durante a execução de atividade fiscalizatória ou procedimental, quando representarem segredo comercial ou industrial.

Com relação a função fiscalizatória da ANPD, a Resolução define que ela se estabelecerá sobre quatro atividades pilares, quais sejam: (i) atividades de monitoramento, objetivando harmonia do ambiente regulado por meio do levantamento de informações necessárias para embasar as decisões tomadas para a ANPD; (ii) atividades de orientação, destinadas à promoção da conscientização dos agentes regulados e dos titulares de dados; (iii) atividades de prevenção visando a atuação, preferencialmente, conjunta e dialogada entre os agentes regulados e a ANPD a fim de preventivamente reconduzir tais agentes à plena conformidade com a lei; e (iv) atividades de repreensão, as quais se darão por meio do processo administrativo sancionador.

Todas essas quatro espécies de atividades podem ser realizadas por iniciativa própria da ANPD, não necessitando de prévio requerimento, ou ainda em razão de programas periódicos de fiscalização, de forma coordenada conjuntamente com outros órgãos ou entidades públicas ou em cooperação com autoridades de proteção de dados de outros países.

No que tange às atividades de orientação, interessante destacar que dentre as medidas passíveis a serem propostas aos agentes regulados está a recomendação da implementação de programas de governança e adequação em privacidade de dados, que possui indicação prévia do mínimo necessário a ser demonstrado nas alíneas do Art. 50, §2º, inciso I da LGPD. 

Por sua vez, a atividade de repreensão é a que da origem ao processo administrativo sancionador, ou seja, diferentemente das demais, apenas a repressiva possibilitará a aplicação das penalidades dispostas no art. 52 da LGPD aos agentes regulados.

Tais penalidades só poderão ser aplicadas aos agentes regulados que eventualmente violarem alguma norma referente à legislação de proteção de dados, após a tramitação de um processo administrativo instaurado pela ANPD, preservado o direito à ampla defesa e contraditório durante todo o processo.

Interessante pontuar que, antes da instauração do processo administrativo sancionador, a ANPD, por meio de sua Coordenação-Geral de Fiscalização, poderá por iniciativa própria ou mediante requerimento, realizar um procedimento preparatório a fim de sanar preliminarmente suas dúvidas acerca dos indícios que indicam a efetiva violação da proteção de dados investigada.

O Regulamento esclarece ainda que a realização do procedimento preparatório é algo facultado à ANPD, não sendo procedimento obrigatório para a instauração do processo administrativo sancionador.

Uma vez iniciado o processo, além do agente poder exercer sua defesa, ainda há a possibilidade de apresentar uma proposta de celebração de termo de ajustamento de conduta que, uma vez aprovada pelo Conselho Diretor da ANPD, suspenderá o andamento do processo administrativo até a finalização do completo cumprimento do termo de ajustamento.

Caso não ocorra a celebração de termo de ajustamento ou, em caso positivo, mas este seja descumprido, o processo administrativo caminhará regularmente e, ao final, a Coordenação-Geral de Fiscalização proferirá sua decisão, aplicando ou não penalidade.

Sendo aplicada qualquer penalidade, o agente regulado poderá interpor recurso administrativo que será remetido, inicialmente, à Coordenação-Geral de Fiscalização para que esta possa reconsiderar sua decisão; caso a decisão seja mantida, o recurso será encaminhado para a apreciação do Conselho Diretor.

Oportuno salientar que, mesmo os processos administrativos que resultem em sanção podem ser revistos posteriormente se surgirem novos fatos ou circunstâncias que justifiquem a inadequação da penalidade aplicada.

Por fim, é importante destacar que o primeiro ciclo de monitoramento da ANPD se iniciará no mês de janeiro de 2022, com a finalidade de analisar a conformidade dos agentes regulados às legislações de proteção de dados, identificando eventuais riscos e promovendo a prevenção de violações por meio da conscientização acerca da importância da proteção de dados.

_______________________

Este material foi elaborado para fins de informação e debate e não deve ser considerado uma opinião legal para qualquer operação ou negócio específico.

Maria Carla Araujo Rodrigues (maria.carla@gomesaltimari.com.br)

Rafaella Antonietti Mendonça (rafaella@gomesaltimari.com.br)