LGPD – Agenda Regulatória da Autoridade Nacional de Proteção de Dados (ANPD) 2021-2022
Em janeiro de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, pela Portaria nº 11/2021, a agenda regulatória referente ao biênio 2021-2022.
O objetivo do documento é definir as ações regulatórias prioritárias a serem implementadas durante o período de 2 anos, tornando público um cronograma das frentes de atuação da autoridade reguladora, no exercício de suas funções normativa, fiscalizadora e sancionadora.
Assim, o calendário da ANPD é dividido em 3 fases, organizadas com base no critério de prioridade.
A Fase 1 determina as iniciativas cujo processo regulamentador acontecerá em até 1 ano, com a previsão de início da regulamentação fica ainda para o 1º semestre/2021. É a fase que contém mais medidas a serem implementadas; algumas delas já vigentes, enquanto outras seguem em consulta pública ou em avaliação de impacto regulatório pela ANPD:
- Regimento Interno: através da Portaria nº 01/2021, estabeleceram-se a estrutura organizacional e as normas procedimentais da ANPD, além da edição de competências de seu principal órgão, o Conselho Diretor, e das atribuições das unidades administrativas. Destacam-se (a) a edição de regulamentos e procedimentos em proteção de dados pessoais, a exemplo da emissão de relatórios de impacto pelos agentes de tratamento; (b) a definição de padrões e técnicas de anonimização; (c) a delimitação dos padrões de interoperabilidade para fins de portabilidade e o tempo de retenção dos registros de operações de tratamento; e (d) o estabelecimento de standards mínimos para a adoção de medidas de segurança, técnicas e administrativas, bem como regras de governança no tratamento de dados pessoais.
- Planejamento Estratégico 2021-2023: cronograma com as principais ações e objetivos a serem concretizados, deixando claro o viés educacional da ANPD, não meramente regulatório e sancionatório. Assim, visa a promover a capacitação dos agentes de tratamento e da sociedade acerca de privacidade e proteção de dados.
- Definição de regramento simplificado para adequação de empresas de pequeno e médio porte, startups e pessoas físicas que tratam dados pessoais com fins econômicos: apesar de a previsão do cronograma para a regulamentação do tema ter início até o 1º semestre de 2021, ainda não houve publicação pela ANPD. A expectativa que se determine a dispensa da obrigação de registro das operações de tratamento e da emissão do Relatório de Impacto à Proteção de Dados Pessoais para essas organizações – visto que o ônus decorrente da adequação à LGPD poderia sobrecarregar os custos de operação, a ponto de inviabilizar suas atividades.
- Regulamentação sobre sanções administrativas: a ANPD será responsável por estipular as regras de fiscalização e aplicação de sanções administrativas, além da metodologia de cálculo para o valor-base, circunstâncias e condições para aplicação de multa pecuniária e demais punições.
- Edição de diretrizes para comunicação de incidentes de segurança: conforme previsão no artigo 48 da LGPD, fica a cargo da ANPD definir as diretrizes para os procedimentos de comunicação de incidentes de segurança com potenciais riscos ou danos relevantes, o prazo de notificação aos titulares, bem como o formato de encaminhamento das informações. De fato, no final de fevereiro, a ANPD publicou manual de peticionamento eletrônico para a referida finalidade, além de disponibilizar formulário padrão a ser utilizado pelos agentes de tratamento.
- Editar normas e procedimentos para elaboração de Relatório de Impacto à Proteção de Dados Pessoais: trata-se do exercício da competência da ANPD em normatizar os requisitos e critérios a serem seguidos nos Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), para os casos em que o tratamento representar alto risco à garantia de proteção de dados pessoais.
A Fase 2 (dois) consiste em iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 ano e 6 meses, a saber:
- Estabelecer normas complementares sobre a definição e as atribuições do encarregado de dados: trata-se da edição de normas complementares sobre a atuação do Encarregado da Proteção de Dados (DPO) e as hipóteses de dispensa da necessidade de sua indicação, conforme o porte da organização e a natureza de sua atividade – bem como os tipos de dados tratados, o grau de apetite a risco e o volume de operações de tratamento.
- Transferência Internacional de Dados Pessoais: definição dos critérios de reciprocidade/equivalência legislativa no grau de proteção de dados pessoais, a fim de se permitir seu compartilhamento com outros países ou organizações internacionais.
Por fim, a Fase 3 corresponde às iniciativas cujo início do processo regulamentador acontecerá em até 2 anos (previsão de início da regulamentação: 1º semestre/2023).
- Direitos dos titulares de dados pessoais: A LGPD estabeleceu os direitos dos titulares, entretanto, há diversos pontos que precisam de regulamentação, como o direito de portabilidade de dados entre plataformas de controladores. Tal ponto é de extrema relevância, visto que o Brasil está em processo de implementação do sistema financeiro aberto – que surge com as propostas de Open Banking e Open Insurance, que transacionarão grandes volumes de dados.
- Hipóteses legais de tratamento de dados pessoais: Acerca das hipóteses legais de tratamento de dados pessoais, espera-se que a ANPD emita um documento oficial com orientações ao público e agentes sobre as bases legais de aplicação da LGPD. Em relação ao legítimo interesse do controlador ou de terceiros, espera-se que se delimitem as hipóteses através de um rol exaustivo.
Destaca-se, ainda, a intenção de elaboração semestral do chamado relatório de acompanhamento das iniciativas presentes na agenda. A depender do resultado do último relatório de acompanhamento do ano de 2021, a ANPD avaliará a necessidade de readequação das iniciativas e metas constantes da agenda.
Portanto, as fases previstas no cronograma da ANPD priorizam determinadas ações para garantir a proteção de dados, bem como o estímulo sustentável à inovação, à digitalização e ao desenvolvimento econômico, aliando-os às garantias fundamentais dos titulares.