ANPD: confira a Agenda Regulatória e os 10 itens prioritários

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão do governo federal responsável por fiscalizar e aplicar sanções em caso de descumprimento à legislação relacionada ao tratamento de dados. Após o início de suas atividades em 2020, no início de 2021 foi divulgada a Agenda Regulatória, ou seja, um cronograma com as ações planejadas para os próximos meses.

Nesse documento, foram reunidas as medidas consideradas prioritárias até o segundo semestre de 2022 e servirão de base para a criação da Política Nacional de Proteção de Dados Pessoais e da Privacidade. A Agenda Regulatória da ANPD foi dividida em três fases:

• Fase 1: iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 ano;
• Fase 2: iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 ano e 6 meses;
• Fase 3: iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 2 anos.

Desde a aprovação da Lei Geral de Proteção de Dados (LGPD), as empresas e órgãos públicos que lidam com o tratamento de dados pessoais aguardam a regulamentação da LGPD, já iniciada pela ANPD para guiar a interpretação e aplicação da lei em todo o território nacional. 

Com a publicação do planejamento para os próximos anos, a expectativa é criar um cenário de maior previsibilidade, de modo a facilitar a criação e estruturação de estratégias de adequação à lei em conjunto com o órgão regulador. 

A agenda prevê relatórios semestrais de acompanhamento das iniciativas regulamentares produzidas pela Coordenação Geral de Normatização. 

Neste primeiro momento, o documento contém os dez temas prioritários para a área de proteção de dados, informando também uma previsão para o início da atividade regulatória relacionada a cada um. São eles:

1. Publicação do primeiro Regimento Interno da ANPD (fase 1);
2. Publicação do Planejamento Estratégico de 2021-2023, contendo os objetivos a serem alcançados pela ANPD, os seus respectivos prazos e as ações estratégicas vinculadas (fase 1);
3. Publicação de uma resolução para a proteção de dados e da privacidade voltada a pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos (fase 1);
4. Criação de uma resolução com os direitos dos titulares de dados pessoais, pois a LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação que tratará desses direitos, como os artigos 9º, 18, 20 e 23 (fase 3);
5. Resolução com o estabelecimento de normativos para a aplicação do art. 52 e seguintes da LGPD, criando metodologias que orientarão o cálculo do valor-base das sanções de multa. A regulamentação também estabelecerá as circunstâncias e as condições para a adoção de multa (fase 1);
6. Resolução para orientar a comunicação de incidentes e especificação do prazo de notificação, já que, de acordo com o art. 48 da LGPD, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens (como o prazo) e defina o formulário e a melhor forma de encaminhamento das informações (fase 1);
7. Publicação de resolução com o Relatório de Impacto à Proteção de Dados Pessoais. De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe à ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais (fase 1);
8. Definição sobre o Encarregado de proteção de dados pessoais, pois nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados (fase 2);
9. Resolução para regulamentar a Transferência Internacional de Dados Pessoais. O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto (fase 2);
10. Guia de boas práticas com as hipóteses legais de tratamento de dados pessoais, orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele (fase 3).

De acordo com o relatório do órgão para o 1º semestre de 2021, todos os projetos previstos para o período foram formalmente iniciados e estão em andamento, com a realização de consultas públicas e a participação da sociedade civil.

A ANPD também é o órgão responsável pela aplicação das sanções administrativas previstas na LGPD e que entraram em vigor em agosto de 2021.

Para evitar as multas, advertências e outras sanções, as empresas devem se preparar e contar com um escritório de advocacia capacitado para prestar assessoria jurídica na área. Entre em contato conosco e conheça nossas soluções.