A agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD) foi publicada no Diário Oficial da União (DOU) desta terça-feira, 8, com uma série de prioridades para execução no biênio 2023-2024.
Multas, direitos de titulares, comunicação de incidentes, transferência internacional de dados, relatórios de impacto, DPOs e o detalhamento de hipóteses legais são alguns dos temas que puxam a lista. Estes e demais itens (no total de 12) compõem o que a ANPD chama de fase 1 – ou aspectos prioritários cujos processos regulatórios já foram iniciados na agenda regulatória de 2021-2022.
A fase 2 (com processos com início previsto em até um ano) concentra outras matérias, como compartilhamento de dados pelo Poder Público, tratamento de dados de crianças e adolescentes, diretrizes para a Política Nacional de Proteção de Dados e Privacidade e a regulamentação de critérios para reconhecimento de regras de boas práticas e de governança.
Na fase 3, a previsão é de início dos trabalhos em até um ano e meio, com destaque para o tema inteligência artificial. Já na fase 4, cujos processos devem ser iniciados em até dois anos, estão a definição de regras para termos de ajustamento de conduta (TAC) ao lado da ANPD.
Recentemente, a autoridade brasileira para proteção de dados pessoais ganhou status de autarquia, o que deve garantir independência na atuação do órgão que fiscaliza a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD). Veja abaixo a íntegra da agenda regulatória da ANPD no biênio 2023-2024:
FASE 1
Regulamento de Dosimetria e Aplicação de Sanções Administrativas | A LGPD determina que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na lei. |
Direitos dos titulares de dados pessoais | A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23. |
Comunicação de incidentes e especificação do prazo de notificação | De acordo com o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações. |
Transferência Internacional de Dados Pessoais | O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto. |
Relatório de Impacto à Proteção de Dados Pessoais | De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais. |
Encarregado de proteção de dados pessoais | Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. |
Hipóteses legais de tratamento de dados pessoais | Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele. |
Definição de alto risco e larga escala | Obrigação legal disposta no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, dispôs sobre os critérios para definição do tratamento de alto risco ao titular de dados. |
Dados Pessoais Sensíveis – Organizações religiosas | Documento com finalidade de disseminar as medidas básicas para adequação ao disposto na LGPD pelas organizações religiosas. |
Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa | Documento com finalidade de fornecer aos agentes de tratamento recomendações e orientações que possam incentivar a adoção de boas práticas e respaldar o tratamento de dados pessoais realizado para fins acadêmicos e de estudos e pesquisas de forma compatível com a LGPD. |
Anonimização e pseudonimização | Documento com objetivo de orientar e esclarecer a utilização das técnicas de anonimização e de pseudonimização previstos na LGPD. |
Regulamentação do disposto no art. 62 da LGPD | O art. 62 da LGPD determina a edição de regulamento específico pela ANPD para acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004. |
FASE 2
Compartilhamento de dados pelo Poder Público | O capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A lei determina que a ANPD disponha sobre as formas de publicidade das operações de tratamento, bem como que contratos e convênios estabelecidos entre o Poder Público e entidades privadas que tenham acesso a dados pessoais constantes de bases de dados deverão ser comunicadas à ANPD. Estudo objetiva a operacionalização dos art. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei. |
Tratamento de dados pessoais de crianças e adolescentes | A ANPD elaborou Estudo Preliminar sobre o tema, o qual teve por objetivo analisar as possíveis hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. No entanto, o estudo não teve pretensão de ser exaustivo, em razão de limitações de escopo e de tempo, que buscou promover a discussão pública e coletar contribuições da sociedade, a fim de, em um momento posterior, estabelecer interpretações e orientações mais conclusivas. Cumpre enfatizar que não foram consideradas as possíveis técnicas para aferição do consentimento ou para a aferição de idade de usuários de aplicações de internet. Além disso, observa-se necessidade de analisar os impactos de plataformas e jogos digitais na Internet na proteção de dados de crianças e de adolescentes. Embora relevantes para o tratamento de dados pessoais de crianças e adolescentes, a discussão sobre esses temas correlatos demanda uma abordagem mais ampla, levando em consideração outros contextos e aspectos técnicos e jurídicos. |
Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade | Em atenção a determinação legal disposta no art. 55-J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as demais políticas públicas publicadas, como por exemplo, Estratégia Digital, Plano Nacional de IoT, dentre outros. |
Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança | O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional. |
FASE 3
Dados Pessoais Sensíveis – Dados biométricos | A coleta da biometria é de fundamental importância para se evitar fraudes e uma salvaguarda relevante para a segurança do titular. A despeito da importância do assunto, a LGPD não supriu integralmente a necessidade de disciplina do tema. Neste sentido, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo sobre os contextos nos quais a coleta de dados sensíveis seria legítima. |
Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança) | Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei. |
Inteligência artificial | Para além da determinação legal de regulamentar o disposto na LGPD, em especial o disposto no art. 20 da Lei, que trata do direito do titular de solicitar revisão de decisões automatizadas, a ANPD pode endereçar melhor o tema por meio de documentos orientativos, como guias e estudos técnicos, uma vez que o assunto está sendo bastante utilizado pelos agentes de tratamento, frente à vulnerabilidade do titular que não possui conhecimento avançado sobre o tema. Torna-se fundamental que a ANPD estude e acompanhe o tema sob a perspectiva da proteção de dados pessoais e, em particular, da aplicação da LGPD. Tais diretrizes servirão de base para o desenvolvimento de outras regras que venham a ser necessárias para a disciplina de sistema de IA. |
FASE 4
Termo de Ajustamento de Conduta – TAC | Em atenção ao disposto no art. 55-J, XVII da LGPD e no art. 44 da Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, o Termo de Ajustamento de Conduta – TAC é instrumento que compõe o Processo de Fiscalização e o Processo Administrativo Sancionador da ANPD, possibilitando ao agente interessado a apresentação de proposta de acordo como alternativa ao regular andamento do processo sancionador. |