Você com certeza já deve ter escutado a frase: “A verdade sempre aparece”!
A verdade sobre a proteção de dados pessoais de muitos negócios está cada vez mais perto de ser revelada. Será que a sua empresa está preparada?
Já pensou se a fiscalização da Autoridade Nacional de Proteção de Dados (ANPD) acontecesse hoje na sua empresa?
Vamos chamar essa situação de “hora da verdade”, você terá que demonstrar tudo o que fez para proteger os dados pessoais e deixar a sua empresa em conformidade com a Lei Geral de Proteção de Dados (LGPD) para a ANPD.
Afinal, não é novidade que as empresas que fazem tratamento de dados pessoais devem se adequar à LGPD, mas caso ainda tenha dúvidas ou dificuldades de como implementá-la, recomendamos urgentemente a leitura do artigo (LGPD: como implementar a Lei Geral de Proteção de Dados na sua empresa). Lembre-se de que a LGPD já está totalmente em vigor e a ANPD já regulamentou o Processo de Fiscalização e o Processo Administrativo Sancionador.
Sério, posso sofrer alguma consequência jurídica? Não faço ideia de como funciona o Processo de Fiscalização da ANPD.
Calma! A CHC Advocacia vai explicar tudo o que você precisa saber sobre o Processo de Fiscalização da ANPD, cujo primeiro ciclo de monitoramento terá início a partir de janeiro de 2022.
Lembra do filme da Mulher Maravilha? A heroína usa o laço da verdade para descobrir se o que estão falando é mentira ou verdade. Do mesmo modo, é o Processo de Fiscalização da ANPD, que busca saber a verdade sobre as empresas, se elas estão adequadas à LGPD, fazendo o levantamento de informações, dados relevantes, auditorias e outras medidas necessárias para zelar pelo cumprimento da lei.
Nas cenas do filme da Mulher Maravilha, quando era detectada qualquer mentira, as punições já eram aplicadas imediatamente, diferentemente do Processo de Fiscalização da ANPD, que compreende as atividades de monitoramento, orientação e atuação preventiva, ficando a aplicação das sanções apenas por meio do Processo Administrativo Sancionador, ambos estabelecidos no Regulamento CD/ANPD nº1 de 28 de outubro de 2021.
Antes de falarmos mais sobre o Processo de Fiscalização da ANPD, precisamos explicar alguns pontos fundamentais, tais como as definições, os deveres dos agentes regulados e as disposições processuais, para que você possa entender como funciona o Processo de Fiscalização estabelecido no Regulamento.
E claro, como de costume, trazemos um bônus especial que poderá te ajudar, e muito, a descobrir a verdade sobre a proteção de dados na sua empresa!
Vamos lá!
1 – Conheça as definições do Regulamento do Processo de Fiscalização da ANPD.
CHC, quais foram as definições criadas pelo Regulamento?
O Regulamento do Processo de Fiscalização apresenta algumas definições sobre agentes regulados, autuado, denúncia, obstrução à atividade de fiscalização, petição do titular e requerimento.
São considerados agentes regulados, os agentes de tratamento (controlador e operador) e demais integrantes ou interessados no tratamento de dados pessoais.
Já o termo autuado refere-se ao agente regulado que teve indícios suficientes de conduta infrativa, dando início ao Processo Administrativo Sancionador por meio de auto de infração.
A denúncia é a comunicação feita à ANPD por qualquer pessoa, natural ou jurídica, sobre a suposta infração cometida contra a LGPD, desde que não seja uma petição de titular.
A obstrução à atividade de fiscalização é o ato, comissivo ou omissivo, direto ou indireto, da fiscalização ou de seus pressupostos, que crie dificuldades, impedimentos ou embaraços à atividade de fiscalização exercida pela ANPD, provocando entraves aos agentes, recusa no atendimento, não envio das informações e dados solicitadas ou envio fora do prazo.
A petição de titular é a comunicação feita à ANPD pelo titular de dados pessoais de uma solicitação apresentada ao controlador e não solucionada no prazo da LGPD. Diferente do requerimento, que é o conjunto de tipos de comunicação, englobando tanto a petição de titular como a denúncia.
2 – Quais são os deveres dos agentes regulados?
CHC, quais são os deveres dos agentes regulados?
É preciso ter muita atenção em relação aos deveres dos agentes regulados submetidos à Fiscalização da ANPD, para evitar a obstrução à atividade de Fiscalização e complicações para a sua empresa. Então, confira os deveres dos agentes regulados:
O dever de fornecer a cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD.
Outra obrigação dos agentes regulados, é permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros.
Os agentes regulados devem possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações decorrentes destes instrumentos.
Além disso, existe o dever de submeter-se ao detector de verdade, digo, as auditorias realizadas ou determinadas pela Autoridade Nacional de Proteção de Dados.
Cabe aos agentes regulados, manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários.
O último dever refere-se a disponibilização, sempre que requisitada, de um representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos que forem necessários. O representante indicado, também poderá acompanhar a auditoria da ANPD, com exceção para os casos em que a prévia notificação ou o acompanhamento presencial seja incompatível com a natureza da apuração ou que seja sigiloso.
O Regulamento não determina expressamente que esse representante seja o Encarregado de Dados, uma vez que a própria ANPD poderá dispensar a necessidade do Encarregado para determinados agentes de tratamento em regulamentação específica. Mas, consideramos que é importante que o Encarregado faça o acompanhamento do Processo de Fiscalização da ANPD na empresa, inclusive, caso ele perceba a necessidade de um suporte especializado, procure por advogados para atuar durante a Fiscalização da ANPD.
Quer saber mais sobre a função do encarregado de dados? Contamos tudo nesse artigo Encarregado de Dados (DPO): a figura que a sua empresa necessita para alçar voos seguros! que já ajudou nossos leitores e pode ajudar você também. Sem juridiquês, do jeito que a gente gosta! #DireitoDescomplicado
Além disso, todos os documentos, dados e as informações requisitados, recebidos, obtidos e acessados pela ANPD, são aqueles considerados como necessários ao exercício efetivo das atribuições da autoridade, inclusive, os sigilosos.
Um aspecto importantíssimo, é que o agente regulado deverá solicitar à ANPD o sigilo das informações relativas à sua atividade empresarial, cuja divulgação possa representar violação a segredo comercial ou a industrial.
Lembre-se de que a Autoridade não possui um Polígrafo (Polígrafo = Detector de mentiras) e nem o laço da verdade da Mulher Maravilha para extrair a verdade e entender a realidade da empresa sobre as atividades de tratamento de dados pessoais, as medidas de segurança da informação adotadas e se está em conformidade com a LGPD. Por isso, a ANPD precisa analisar todos os documentos, sistemas e até mesmo os sigilosos, e o não cumprimento dos deveres estabelecidos aos agentes regulados poderá caracterizar obstrução à atividade de fiscalização.
3 – De olho nos prazos!
Como funciona a contagem dos prazos?
Atenção! Os prazos do processo de fiscalização da ANPD começam a correr a partir da ciência oficial e são contados em dias úteis, excluído o dia do começo e incluído o dia do vencimento. É possível a prorrogação do prazo nas seguintes situações:
Será prorrogado para o primeiro dia útil seguinte, caso o dia de seu vencimento não haja expediente na sede da ANPD ou este for encerrado antes do horário.
O prazo também será prorrogado da mesma forma, quando for comprovada indisponibilidade do sistema eletrônico do peticionamento, por período superior a três horas, ininterruptas ou não, se ocorrida entre 6h00 e 23h00, ou caso a indisponibilidade ocorra entre 23h00 e 24h00.
CHC, como é feita a comunicação dos atos?
Os atos administrativos serão comunicados por intimação que deverá conter alguns elementos obrigatórios:
- Identificação do intimado;
- Finalidade da intimação e a informação de continuidade do processo independentemente do seu comparecimento;
- A data, a hora e o local, ou o prazo para tomada da providência, quando houver;
- Informação se o intimado deve comparecer pessoalmente, fazer-se representar, manifestar-se ou apresentar defesa ou recurso no processo ou, ainda, cumprir diligência;
- A indicação dos fatos e fundamentos legais pertinentes.
O Regulamento é claro em estabelecer que os meios de prática dos atos administrativos serão realizados, preferencialmente, por meio eletrônico e, excepcionalmente, a comunicação poderá ser por suporte físico ou por qualquer outro recurso que assegure a certeza da ciência do interessado.
A ciência oficial das comunicações acontecerá com a intimação, por meio eletrônico, na data em que o usuário realizar a consulta ao documento correspondente ou, caso não realizada a consulta, dez dias úteis após o envio da intimação.
É possível que a ciência oficial aconteça por outros meios, como por via postal, pessoalmente (representante ou preposto), quando a parte comparecer pessoalmente, por edital, por outro meio, que assegure a certeza da ciência do interessado e por mecanismos de cooperação internacional.
Atenção, o interessado deve informar, na primeira oportunidade que se manifestar no processo, o endereço eletrônico válido em que receberá as comunicações.
4 – Interessados: Quem são eles?
Afinal, quem são os interessados?
São considerados interessados as pessoas naturais ou jurídicas, que deram início ao processo como titulares de direitos, com interesses individuais ou no exercício do direito de representação. Aqueles que, sem terem iniciado, têm direitos ou interesses que possam ser afetados pela decisão a ser adotada.
As organizações e associações representativas, assim como também, as pessoas ou as associações legalmente constituídas quanto a direitos ou interesses difusos, incluindo as instituições acadêmicas, também são interessadas conforme o Regulamento.
O Processo de Fiscalização poderá ter atendimento prioritário de acordo com as hipóteses previstas em lei, quando requerida pelo interessado e comprovado o atendimento dos requisitos para a tramitação prioritária.
5 – Saiba tudo sobre o Processo de Fiscalização da ANPD!
CHC, como funciona o Processo de Fiscalização da ANPD?
Você conhece a série F.B.I? A série mostra os agentes do F.B.I em processos de investigação tentando apurar a verdade por trás dos acontecimentos, para que as regras de segurança sejam respeitadas e seja garantida a proteção do país.
De modo ”semelhante”, o Processo de Fiscalização da ANPD busca descobrir a verdade sobre o cumprimento das normas de proteção de dados pessoais pelas empresas, por meio de uma atuação responsiva, com adoção de atividades de monitoramento, orientação e prevenção, ficando a atividade repressiva apenas para o processo administrativo sancionador, tudo isso para que a LGPD seja respeitada no país.
O monitoramento destina-se ao levantamento de informações e dados relevantes para ajudar na tomada de decisões pela ANPD, assegurando o regular funcionamento do ambiente regulado.
Em relação à orientação, esta atividade se caracteriza pela atuação baseada na economicidade e na utilização de métodos e ferramentas que buscam promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais.
Já a atividade preventiva consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade ou a evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento.
Quais são os meios de atuação da fiscalização?
A Autoridade no exercício de sua competência fiscalizatória poderá atuar de ofício, em decorrência de programas periódicos de fiscalização, de forma coordenada com órgãos e entidades públicos ou em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.
A fiscalização da ANPD promoverá o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, de forma a disseminar boas práticas, nos termos da LGPD, junto aos titulares de dados e aos agentes de tratamento.
5.1 – Quais são as 10 premissas da Fiscalização?
Conheça as 10 Premissas da Fiscalização da ANPD, que vão guiar toda a atividade de fiscalização da Autoridade, devendo cada premissa ser respeitada e observada durante todo o exercício das etapas de monitoramento, orientação e prevenção.
5.2 – O que é Atividade de Monitoramento?
O monitoramento é realizado pela Coordenação-Geral de Fiscalização com a finalidade de planejar e subsidiar a atuação fiscalizatória com informações relevantes, analisar a conformidade dos agentes de tratamento no tocante à proteção de dados pessoais, considerar o risco regulatório em função do comportamento dos agentes de tratamento, de modo a alocar recursos e adotar ações compatíveis com o risco, prevenir práticas irregulares e fomentar a cultura de proteção de dados pessoais e, por fim, atuar na busca da correção de práticas irregulares e da reparação ou minimização de eventuais danos.
Atenção! O primeiro ciclo de monitoramento começa a partir de janeiro de 2022, todos os ciclos serão anuais, podendo ser estabelecido prazo superior por decisão do Conselho Diretor.
O monitoramento possui 2 instrumentos, o Relatório de Ciclo de Monitoramento e o Mapa de Temas Prioritários.
O Relatório de Ciclo de Monitoramento é o instrumento de avaliação, prestação de contas e planejamento da atividade de fiscalização da ANPD. Este documento avaliará as atividades de fiscalização realizadas no ciclo de monitoramento, inclusive dos temas prioritários, apresentando indicadores e resultados, bem como, direcionará a estratégia de atuação orientativa, preventiva e repressiva e as medidas a serem adotadas, sendo todas as informações obtidas consolidadas.
Já o Mapa de Temas Prioritários será bianual e estabelecerá os temas prioritários que serão considerados pela ANPD para fins de estudo e planejamento da atividade de fiscalização no período. Este documento utilizará como critérios o risco, a gravidade, a atualidade e a relevância e englobará:
- A memória do processo decisório do qual decorreu a seleção e priorização dos temas, inclusive as metodologias de priorização empregadas;
- Os objetivos a serem alcançados e os parâmetros ou indicadores usados para medir a consecução desses objetivos, quando cabível;
- Cronograma de sua execução; e
- A indicação da necessidade de interação com outros entes ou órgãos da administração pública, bem como com autoridades de proteção de dados de outros países.
Como é feito o Recebimento de Requerimentos?
A ANPD estabelecerá e divulgará os meios para recebimento dos requerimentos e estes serão admitidos pela Coordenação-Geral de Fiscalização, que verificará: a competência da ANPD para apreciar a matéria, a identificação do requerente ou se cabível o anonimato, a legitimidade do requerente, a identificação do suposto agente de tratamento, e a descrição do fato certo.
Além dos requisitos mencionados, a petição de titular deverá ser acompanhada de comprovação de que foi previamente submetida ao controlador e não solucionada no prazo estabelecido em regulamentação, admitida a autodeclaração do titular quando não for possível apresentar outro meio de prova.
É possível que ANPD receba alguma denúncia anônima?
Sim, mas a denúncia anônima será recebida e processada quando for verificada a verossimilhança das alegações nela constantes e não for necessária a identificação do denunciante para a apuração dos fatos apresentados.
Além disso, em caso de apresentação de denúncia, a identificação do requerente poderá ser considerada informação pessoal protegida com restrição de acesso.
Em regra, os requerimentos serão analisados de forma agregada e as eventuais providências deles decorrentes serão adotadas de forma padronizada. Mas, a Coordenação-Geral de Fiscalização poderá, excepcionalmente, determinar a análise individualizada de requerimento considerando as circunstâncias relevantes do caso e a repercussão sobre interesses coletivos e difusos.
5.3 – O que é Atividade de Orientação?
Como funciona a Atividade de Orientação?
Nessa etapa do processo de fiscalização, a ANPD promoverá medidas visando à orientação, à conscientização e à educação dos agentes de tratamento, dos titulares de dados pessoais e dos demais integrantes ou interessados no tratamento de dados pessoais.
Calma, precisamos deixar claro que as medidas aplicadas ao longo da atividade de orientação não constituem sanção ao agente regulado, são consideradas medidas de orientação, como por exemplo a elaboração e disponibilização de guias de boas práticas e modelos de documentos para serem utilizados por agentes de tratamento, sugestão de cursos e treinamentos, ferramentas para autoavaliação de conformidade e de riscos e regras de boas práticas e de governança.
É também considerada medida de orientação, recomendações sobre a utilização de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais, Programa de Governança em Privacidade, bem como, os códigos de conduta e de boas práticas.
Além disso, outras medidas que não estão no Regulamento poderão ser indicadas pela ANPD, já as medidas sugeridas pelos agentes regulados ou suas associações representativas serão analisadas pela Autoridade.
5.4 – O que é Atividade Preventiva?
CHC, o que é Atividade Preventiva?
A atividade preventiva visa reconduzir o agente de tratamento à plena conformidade ou evitar ou remediar situações que acarretem risco ou dano aos titulares de dados pessoais.
É importante esclarecer que as medidas aplicadas durante a atividade preventiva não são consideradas sanções ao agente regulado, ou seja, tanto as medidas de orientação como as medidas preventivas não constituem punições aos agentes regulados.
São medidas preventivas: a divulgação de informações; o aviso; a solicitação de regularização ou informe; e plano de conformidade, bem como outras medidas poderão ser adotadas.
Em relação a Divulgação de Informações, a ANPD poderá divulgar informações e dados setoriais agregados e de desempenho em seu site como medida preventiva, bem como a taxa de resolução de problemas e pedidos de titulares atendidos.
Quanto ao Aviso, este conterá a descrição da situação e informações suficientes para que o agente de tratamento tenha como identificar as providências necessárias.
Já a Solicitação de Regularização e do Informe destinam-se a situações em que a regularização deva ocorrer em prazo determinado e cuja complexidade não justifique a elaboração de plano de conformidade. E, o Informe será usado quando ocorrer infração em decorrência do tratamento de dados pessoais por órgãos públicos.
Atenção, a solicitação de regularização ou o informe conterá a descrição da situação e informações suficientes para que o agente de tratamento tenha como identificar as providências necessárias, devendo comprovar a regularização dentro do prazo determinado. Caso o agente de tratamento perceba que precisará de mais tempo, este poderá solicitar a prorrogação do prazo, uma única vez e por igual período, devendo apresentar suas justificativas para o pedido.
E, se o agente regulado não atender a solicitação de regularização ou do informe?
A situação de não atendimento da solicitação de regularização ou do informe enseja a progressão da atuação da ANPD para, a seu critério, adotar outras medidas preventivas ou para a atuação repressiva, nesse último caso, será considerado agravante dando início ao Processo Administrativo Sancionador.
CHC, o que deve conter no Plano de Conformidade?
O Plano de Conformidade deverá conter, no mínimo, o objeto, prazos, ações previstas para reversão da situação identificada, critérios de acompanhamento e trajetória de alcance dos resultados esperados.
Lembrando que o plano de conformidade não exime o agente de tratamento do cumprimento das obrigações previstas na regulamentação. Além disso, caberá ao agente de tratamento comprovar o atendimento ao resultado esperado, bem como as medidas adotadas para reversão da situação dentro do prazo estabelecido.
Atenção! O não cumprimento do plano de conformidade enseja a progressão da ANPD para a atuação repressiva, com a adoção das medidas compatíveis, e será considerado agravante caso seja instaurado o Processo Administrativo Sancionador.
E, como funciona o Processo Administrativo Sancionador? São cenas para o próximo episódio, digo artigo.
Se você ficou com alguma dúvida sobre o assunto, a CHC Advocacia pode te ajudar nesse e em vários outros temas de seu interesse! Inscreva-se no nosso 🎬 Canal do Youtube e visite nosso perfil no 📸 Instagram, garantimos que você vai compreender o Direito com informação de qualidade e uma pitada de bom humor. 🎧 Ouça ainda os episódios do Podcast JusTaPop, a sua conexão com o #DireitoDescomplicado.
Quer mais? Convidamos você a fazer parte da nossa Comunidade no 📲 Telegram, lá você receberá na palma da sua mão nossos materiais, dicas práticas e ainda terá acesso aos conteúdos exclusivos para os inscritos no canal.