Em janeiro de 2022 inicia-se a fiscalização do cumprimento da Lei Geral de Proteção de Dados (LGPD), nos termos do Decreto CD/ANPD Nº 1/21 editado pela Autoridade Nacional de Proteção de Dados (ANPD), o qual instituiu o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados (ANPD)
Seu objetivo é estabelecer os procedimentos ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela ANPD.
Os processos de fiscalização e administrativo sancionador no âmbito da ANPD tiveram sua aplicação iniciada em janeiro de 2022. Abaixo se encontram as principais disposições do Decreto CD/ANPD Nº 1/21.
1. Disposições Gerais
1.1. Aplicabilidade
As disposições do Regulamento se aplicam:
I. aos agentes de tratamento;
II. às pessoas naturais ou jurídicas, de direito público ou privado; e
III. demais interessados no tratamento de dados pessoais, nos termos do Regulamento.
1.2. Prazos
Os prazos definidos no Regulamento começam a fluir a partir da ciência oficial e são contados em dias úteis, excluído o dia do começo e incluído o dia de vencimento.
O prazo para a prática de ato será prorrogado para o primeiro dia útil seguinte, caso:
I. no dia de seu vencimento não haja expediente na sede da ANPD ou este for encerrado antes do horário; e
II. seja comprovada indisponibilidade do sistema eletrônico de peticionamento (i) por período superior a três horas, ininterruptas ou não, se ocorrida entre 6h00 e 23h00; ou (ii) caso a indisponibilidade ocorra entre 23h00 e 24h00.
1.3. Sigilo
Cabe ao agente regulado solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial.
1.4. Meio de comunicação
Preferencialmente, por meio eletrônico, em regra, adotado pela ANPD. Excepcionalmente, a ANPD poderá expedir comunicação por suporte físico, ou por qualquer outro recurso que assegure a certeza da ciência do interessado.
1.5. Deveres dos agentes regulados
Os agentes regulados, assim considerados agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais, submetem-se à fiscalização da ANPD e têm os seguintes deveres:
I. fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;
II. permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;
III. possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;
IV. submeter-se a auditorias realizadas ou determinadas pela ANPD;
V. manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e
VI. disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.
2. Processo de fiscalização
O processo de fiscalização compreende as atividades de monitoramento, orientação e prevenção adotadas pela ANPD.
No exercício de sua competência fiscalizatória, a ANPD poderá atuar:
I. de ofício;
II. em decorrência de programas periódicos de fiscalização;
III. de forma coordenada com órgãos e entidades públicos; ou
IV. em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.
Atividade de monitoramento: destina-se ao levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD com o fim de assegurar o regular funcionamento do ambiente regulado. O Relatório de Ciclo de Monitoramento e o Mapa de Temas Prioritários são instrumentos de monitoramento.
O Relatório de Ciclo de Monitoramento:
I. avaliará as atividades de fiscalização realizadas no ciclo de monitoramento, inclusive dos temas prioritários, apresentando indicadores e resultados;
II. direcionará a estratégia de atuação orientativa, preventiva e repressiva e as medidas a serem adotadas, inclusive ao longo do ciclo seguinte; e
III. consolidará as informações obtidas a partir de requerimentos e comunicações de incidentes, bem como de outras fontes de insumos recebidos pela Coordenação-Geral de Fiscalização.
O Relatório de Ciclo de Monitoramento será submetido à deliberação do Conselho Diretor ao final do ciclo e poderá indicar outras necessidades de atuação da ANPD, além de suas competências fiscalizatória e sancionadora.
O Mapa de Temas Prioritários será bianual e estabelecerá os temas prioritários que serão considerados pela ANPD para fins de estudo e planejamento da atividade de fiscalização no período. A Coordenação-Geral de Fiscalização elaborará o Mapa de
Temas Prioritários com o apoio das demais áreas técnicas da ANPD e o submeterá à aprovação do Conselho Diretor.
Atividade de orientação: caracteriza-se pela atuação baseada na economicidade e na utilização de métodos e ferramentas que almejam a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais, como:
I. elaboração e disponibilização de guias de boas práticas e de modelos de documentos para serem utilizados por agentes de tratamento;
II. sugestão aos agentes regulados da realização de treinamentos e cursos;
III. elaboração e disponibilização de ferramentas de autoavaliação de conformidade e de avaliação de riscos a serem utilizadas pelos agentes de tratamento;
IV. reconhecimento e divulgação das regras de boas práticas e de governança; e
V. recomendação de (i) utilização de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais (ii) implementação de Programa de Governança em Privacidade; e (iii) observância de códigos de conduta e de boas práticas estabelecidas por organismos de certificação ou outra entidade responsável.
Atividade de prevenção: consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade ou a evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento. São consideradas medidas preventivas:
I. divulgação de informações;
II. aviso;
III. solicitação de regularização ou informe; e
IV. plano de conformidade.
3. Processo Administrativo Sancionador
A atividade repressiva caracteriza-se pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no artigo 52 da LGPD, por meio de processo administrativo sancionador.
O processo administrativo sancionador destina-se à apuração de infrações à legislação de proteção de dados de competência da ANPD, nos termos do artigo 55-J, IV, da LGPD, podendo ser instaurado:
I. de ofício pela Coordenação-Geral de Fiscalização;
II. em decorrência do processo de monitoramento; ou
III. diante de requerimento em que a Coordenação-Geral de Fiscalização, após efetuar a análise de admissibilidade, deliberar pela abertura imediata de processo sancionador.
Não cabe recurso administrativo contra o despacho de instauração do processo administrativo sancionador.
3.1. Fases do processo administrativo sancionador
Procedimento preparatório
Pode-se efetuar averiguações preliminares, quando os indícios da prática de infração não forem suficientes para a instauração imediata de processo administrativo sancionador.
O procedimento preparatório poderá tramitar em sigilo, no interesse das investigações, a critério da Coordenação-Geral de Fiscalização.
Concluída a fase de procedimento preparatório, pode-se arquivar ou instaurar processo administrativo sancionador. Além disso, o processo administrativo sancionador poderá ser instaurado de imediato, independentemente de outras fases, em razão da gravidade e na natureza das infrações
O interessado poderá apresentar à Coordenação-Geral de Fiscalização proposta de celebração de termo de ajustamento de conduta (TAC).
Instauração e Instrução
Em caso de decisão de lavratura do auto de infração, a Coordenação-Geral de Fiscalização intimará o agente de tratamento interessado para apresentar defesa no prazo mínimo de 10 dias úteis, na forma indicada na intimação.
A ANPD poderá realizar diligências e juntar novas provas aos autos, independentemente de prazo de defesa do autuado. O autuado poderá juntar as provas que julgar necessárias à sua defesa.
Cabe ao autuado a prova dos fatos que alegar, sem prejuízo do dever atribuído ao órgão competente para instrução.
A ANPD poderá admitir a utilização de prova produzida em outro processo administrativo ou judicial, inclusive por autoridade de outros países, assim como poderá solicitar ou admitir a participação de interessado com representatividade adequada na condição de terceiro interessado.
É facultado prazo de dez dias úteis para manifestação do autuado antes da elaboração do Relatório de instrução, se entre a defesa e a instrução processual foram produzidas novas provas.
Transcorrido o prazo de defesa, será elaborado Relatório de instrução e o processo será concluso à Coordenação de Fiscalização para decisão.
Decisão
Finda a instrução processual, a Coordenação-Geral de Fiscalização proferirá a decisão de primeira instância, motivada e indicando a sanção de acordo com a LGPD.
Caso a decisão de primeira instância decrete a aplicação de sanção administrativa, a intimação também determinará o comprimento de sanção pelo autuado e o respectivo prazo para a execução.
É possível a reunião para julgamento conjunto dos processos que possam gerar riscos de prolação de decisões conflitantes ou contraditórias caso decididos separadamente, mesmos sem conexão entre eles, seja na fase de decisão em primeira instancia ou recursal.
Recurso
O Autuado deverá cumprir a decisão de primeira instância que conterá os gatos e os fundamentos jurídicos, bem como aplicará a respectiva sanção, quando cabível, seguindo os parâmetros e critérios definidos no § 1º do art. 52 da LGPD e na regulamentação expedida pela ANPD, ou interpor recurso administrativo no prazo de 10 dias uteis, contados da intimação da decisão.
O recurso não será conhecido quando interposto: (i) fora do prazo; (ii) por quem não seja legitimado; (iii) após exaurida a esfera administrativa; (iv) por ausência de interesse recursal; e (v) contra atos de mero expediente ou preparatórios de decisões, bem como em face de análises técnicas e pareceres ou decisões irrecorríveis.
Os processos administrativos que resultem sanções poderão ser revistos, a qualquer tempo, a pedido ou de ofício, quando surgirem fatos novos ou circunstâncias relevantes suscetíveis de justificar a inadequação da sanção aplicada.
Caso sua empresa não esteja adaptada e conforme à LGPD, recomenda-se que sejam tomadas todas as medidas necessárias e adequadas o mais breve possível de acordo com o porte e perfil. A equipe de FreitasLeite encontra-se à disposição para auxiliar no que for necessário.
Para maiores informações sobre o assunto, favor consultar Leopoldo Pagotto, sócio responsável pela área de compliance e anticorrupção ([email protected]).
