Posted by & filed under Não categorizado.

Apesar de ainda sob análise do Senado a Medida Provisória nº 1.182/2023, o Ministério da Fazenda publicou, em 27 de outubro de 2023, a Portaria nº 1.330, fixando regras complementares e antecipando parte da regulamentação para empresas que desejam operar no mercado de apostas de quota fixa, conhecidas como “bets“. A regulamentação tem como enfoque assegurar a proteção dos consumidores, garantir os direitos fundamentais, promover a segurança dos dados e incentivar o jogo responsável.

A Portaria previu a possibilidade de empresas demonstrarem seu interesse antecipadamente, o que lhes garantiria prioridade na ulterior análise dos pedidos de autorização para explorar comercialmente as apostas de quota fixa. A autorização de pessoas jurídicas para exploração comercial da modalidade lotérica denominada aposta de quota fixa deverá ser antecedida de: habilitação jurídica; regularidade fiscal e trabalhista; qualificação econômico-financeira; e qualificação técnica.

A área técnica competente do Ministério da Fazenda expedirá regulamentação específica contendo os requisitos, as condições e os procedimentos para obtenção da outorga desta autorização, ficando reafirmada a necessidade de manutenção de call centers pelas casas de aposta para atendimento aos apostadores.

A regulamentação estabelece que atletas profissionais, membros de comissões técnicas, árbitros ou dirigentes de equipes esportivas brasileiras não poderão receber autorizações. No entanto, empresas estrangeiras terão a possibilidade de explorar as apostas de quota fixa mediante a criação de subsidiárias no Brasil sem limitações de origem.

A proteção de dados e a prevenção de práticas ilegais, como a lavagem de dinheiro, foram ressaltadas como prioridades fundamentais. Os operadores terão a obrigação de obter permissão expressa para utilizar dados pessoais dos usuários nos moldes da LGPD, garantindo a confiabilidade do sistema.

A Portaria enfatiza, ainda, a importância do jogo responsável, com medidas para prevenir o vício em jogos e o endividamento dos apostadores. Proíbe-se apostas para menores de 18 anos e torna-se obrigatória a identificação dos apostadores, com a implementação de mecanismos de controle pessoal. O operador de apostas deverá dispor de mecanismos e sistemas internos de controle que permitam ao apostador estabelecer: limite diário de tempo de jogo ou aposta; limite máximo de perda; período de pausa; e autoexclusão.

A entrada imediata em vigor desta Portaria reflete a urgência percebida pelo Ministério da Fazenda em regulamentar adequadamente o mercado de apostas de quota fixa, garantindo um ambiente seguro e transparente para todos os envolvidos. Entretanto, para a plena eficácia do novo modelo regulatório, espera-se ainda a conversão em lei da Medida Provisória nº 1.182/2023 e regulamentação complementar

Posted by & filed under Não categorizado.

Em outubro, somando-se à primeira sanção emitida em julho deste ano, a Autoridade Nacional de Proteção de Dados (ANPD) já aplicou, conforme publicações de 06/10/2023 e 18/10/2023, duas novas sanções /administrativas e, desta vez, os sancionados foram dois órgãos públicos.

No primeiro caso de julho desse ano, a sanção de multa e advertência deu-se em face de microempresa que atua no setor privado como provedora de serviços que teria ofertado aos candidatos às eleições municipais uma listagem de contatos de eleitores para fins de disseminação de material de campanha eleitoral. De forma geral, a Autoridade apontou naquela oportunidade que os seguintes dispositivos da LGPD foram violados:

Art. 7 e Art. 11 – ausência de comprovação de hipótese legal de tratamento de dados pessoais;

Art. 37 – ausência de comprovação de registro das operações de tratamento de dados pessoais;

Art. 38 – ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento;

Art. 41 – falta de comprovação da indicação do encarregado.

No novo caso publicado em 06/10/2023, a penalidade foi aplicada em face de uma autarquia pública do Estado de São Paulo que trata dados de mais de 1,2 milhões de pessoas e seus dependentes. O procedimento foi instaurado em março de 2022, a partir de uma denúncia sobre uma falha de segurança que permitia acessar dados pessoais de servidores públicos como CPF, nome, RG, endereço, telefone, salário, bem como imagens de documentos com foto e comprovante de residência. Os dispositivos violados segundo entendimento da ANPD foram:

Art. 48 – trata das hipóteses nas quais o agente de tratamento deve comunicar à ANPD e aos titulares acerca da ocorrência de incidente de segurança; e

Art. 49 – trata da obrigação dos agentes de tratamento quanto à adoção de medidas de segurança eficazes no tratamento de dados pessoais.

Pela violação ao art. 48 da LGPD, além da advertência, a autarquia deverá ajustar o Comunicado aos titulares já existente em seu website, com uma redação sugerida pela própria ANPD, pelo prazo mínimo de 90 dias corridos e, pela violação ao art. 49, além da advertência, foi determinada a elaboração de um cronograma para implementação de medidas que tornem os sistemas de armazenamento e tratamento de dados pessoais menos vulneráveis a incidentes de segurança.

No novo caso publicado em 18/10/2023, a penalidade foi aplicada em face de órgão do Estado de Santa Catarina. Além dos Artigos 48 e 49, segundo entendimento da ANPD também foram violados o Artigo 38 da LGPD, que dispõe sobre a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), e o Art. 5º, I do Regulamento de Fiscalização relativo aos deveres dos agentes, sobretudo no que tange ao fornecimento de cópias de documentos e informações relevantes para a avaliação das atividades de tratamento de dados pessoais.

Neste último caso, o objeto do incidente teria sido a exfiltração (cópia ou transferência não autorizada) de parte da base de dados do órgão que estava armazenada em um servidor sem mecanismo de controle de acesso aos usuários. Em razão disso, a base de dados teria sido disponibilizada publicamente e cerca de 48 mil titulares foram afetados.

Em resposta às violações, a ANPD aplicou quatro sanções de advertência, uma para cada infração. O órgão terá, ainda, que manter um comunicado geral de incidente de segurança (CIS) em seu website na Internet por 90 dias e informar cada um titular identificado como vítima do incidente.

Embora as infrações constatadas tenham natureza grave pela possibilidade de afetarem os interesses e direitos fundamentais dos titulares e por envolverem tratamento de dados em larga escala, as penas aplicadas foram apenas de advertência com determinação de medidas corretivas. Isso só ocorreu porque de acordo com o artigo 52, § 3º, da LGPD e o artigo 3º, §5º, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, fica afastada a aplicação de multa simples e multa diária para entidades e órgãos públicos.

Posted by & filed under Não categorizado.

Na última semana, EUA e União Europeia finalmente fecharam um novo acordo para transferência de dados pessoais europeus para os EUA, essencial para as Big Techs e para a economia dos dias atuais. A batalha é antiga e não deve terminar em breve.

Se os EUA sempre estiveram na vanguarda da tecnologia e das Big Techs, a Europa sempre esteve na vanguarda regulatória. A primeira Lei de Proteção de Dados que se tem notícia data dos anos 70, em Hessen, na Alemanha. Mas foi em 1995, que a União Europeia publicou a primeira Diretiva sobre Tratamento de Dados e a partir desse momento, um novo paradigma nascia sobre o assunto.

Em 2000, durante a vigência da Diretiva, ao verificar-se o grande número de transferências de dados para os EUA e que estas ofereciam riscos, adotou-se o Safe Harbor Privacy Principles. O documento continha um conjunto de regras e princípios que deveriam ser observados para assegurar a proteção de dados pessoais por qualquer entidade norte-americana que pretendesse efetuar o tratamento de dados pessoais oriundos da União Europeia.

Em 2013, as revelações de Snowden e os sucessivos escândalos vinculados a Big Techs americanas determinaram uma guinada na posição da União Europeia em relação aos receios sobre o tratamento dos dados dos cidadãos europeus de forma indevida.

Assim, uma decisão judicial invalidou o a adoção do Safe Harbor Privacy Principles no ano de 2015 e, em 2016, a Europa adotou um novo marco, o Privacy Shield EU-USA.

Como o Privacy Shield EU-USA era mais robusto, as empresas foram forçadas a processar os dados pessoais de maneira mais consistente e eram totalmente responsabilizadas e obrigadas a tomar as medidas necessárias para manter os dados pessoais protegidos de qualquer acesso não autorizado.

No entanto, em 2020 a Justiça Europeia entendeu novamente que os mecanismos do Privacy Shield EU-USA eram insuficientes. Foi constatado, por exemplo, que os programas de vigilância dos EUA não se limitavam a coletar somente o que era necessário, e que os titulares dos dados não tinham recursos legais nos EUA em caso de reclamações.

Em 10 de julho de 2023, a Comissão Europeia anunciou um novo quadro regulatório. O documento traz novas salvaguardas concebidas para dar resposta às preocupações levantadas pela Justiça Europeia. Entre elas incluem-se limites no acesso a dados europeus por parte de serviços de inteligência dos Estados Unidos e a criação da DPRC (Data Protection Review Court).

Além disso, as empresas norte-americanas terão de seguir um vasto conjunto de obrigações, como assegurar a eliminação dos dados pessoais quando já não estão em uso para o propósito para o qual foram coletados e garantir a continuidade da proteção da informação quando ela for partilhada com terceiros. O funcionamento do novo quadro regulatório será revisado periodicamente pela Comissão Europeia em procedimento a ser realizado em conjunto com as autoridades de proteção de dados competentes dos países.

Transferência de Dados Internacionais: Brasil

Por aqui, a transferência internacional de dados ainda gera muitas dúvidas. É fato notório que ela ocorre o tempo todo e que grandes players do mercado possuem suas bases de dados fora do Brasil, mas a aplicação das regras e salvaguardas ainda depende de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD).

Em novembro de 2022, a ANPD publicou sua Agenda Regulatória para o biênio 2023-2024, dividida em quatro fases e por ordem de prioridade. Espera-se na fase 1 a evolução da regulamentação dos artigos 33, 34 e 35 da LGPD, que versam sobre o grau de proteção exigido aos países e organismos internacionais para serem considerados aptos a receber dados pessoais provenientes do Brasil.

Já que o Brasil ainda não possui suas diretrizes, vale a pena acompanhar as Decisões de Adequação da Comissão Europeia que, inclusive, possui uma lista de países reconhecidos como seguros.

Posted by & filed under Não categorizado.

Foi publicado pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANDP) em, 27 de fevereiro de 2023, a Resolução CD/ANPD Nº 4/2023 que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas por descumprimento à Lei Geral de Proteção de Dados (LGPD).

A resolução estabelece as situações, condições e métodos para a aplicação das sanções previstas no artigo 52 da LGPD, quais sejam:

  • Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 por infração;
  • Multa diária, com limite total de R$ 50.000.000;
  • Advertência;
  • Publicização da infração;
  • Bloqueio dos dados pessoais;
  • Eliminação dos dados pessoais;
  • Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de (6) seis meses, prorrogável por igual período;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

E considera, dentre outros critérios, o dano ou o prejuízo causado aos titulares de dados em virtude do descumprimento à LGPD.

As infrações à LGPD serão classificadas considerando a gravidade e o tipo de infração à lei e os direitos afetados:

Infração Média: quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, em outras palavras, quando houver impedimento ou limitação, de forma significativa, no exercício de direitos ou a utilização de serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave)

Infração Grave: quando houver obstrução à fiscalização ou quando houver a hipótese descrita como média cumulada com pelo menos, uma das seguintes hipóteses:

  • Envolver tratamento de dados pessoais em larga escala;
  • O infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
  • Implicar risco à vida dos titulares;
  • Envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
  • Realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
  • Realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
  • For verificada a adoção sistemática de práticas irregulares pelo infrator.

Infração Leve: quando a infração não puder ser enquadrada em nenhuma das hipóteses média ou grave.

No caso de aplicação de multa, para a definição do valor, além dessa classificação da gravidade, a ANPD levará em conta elementos como o faturamento do infrator no último exercício disponível anterior à aplicação da sanção. Caso não esteja disponível a informação referente ao ramo de atividade em que ocorreu a infração, a autoridade considerará o faturamento total do grupo ou conglomerado de empresas no Brasil.

A condição econômica do infrator pode agravar a pena ou ser um fator atenuante. Além disso, outros possíveis parâmetros, conforme a nova norma da ANPD, seriam a não reincidência, a boa-fé do infrator e a vantagem auferida ou pretendida com a infração.

A norma traz de forma pormenorizada a aplicação da fórmula de cálculo em que o agente deverá seguir algumas etapas:

  1. Determinar a alíquota base: entre leve, média e grave;
  2. Determinar o grau do dano: em uma escala de 0 a 3;
  3. Determinar valor base: multiplicando a alíquota base pelo faturamento bruto (- tributos);
  4. Determinar o valor da multa: aplicando as circunstâncias agravantes e atenuantes;
  5. Determinar os limites mínimos e máximo da multa.

O objetivo de tamanha minucia é garantir a proporcionalidade entre a sanção e a gravidade da conduta, conferir segurança jurídica aos atos fiscalizatórios, bem como garantir o direito ao devido processo legal e ao contraditório.

O novo regulamento já está em vigor e a ANPD deve começar a julgar os primeiros processos, a expectativa é que as primeiras decisões sejam emitidas em breve. A  partir de agora, ganha ainda mais importância o monitoramento das decisões da ANPD tendo em vista a criação da jurisprudência administrativa que irá delinear os conceitos estabelecidos nas normativas da ANPD.

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Posted by & filed under Não categorizado.

O Congresso Nacional promulgou, no último dia 10 de fevereiro, a Emenda Constitucional nº 115, de 2022. Ela visa a inclusão na Constituição Federal da proteção de dados pessoais entre os direitos e garantias fundamentais, visando, ainda, a fixação da competência privativa da União para legislar sobre a proteção e tratamento de dados pessoais, além de ordenar e fiscalizar o tema nos termos da lei. Em nome do Congresso Nacional, o presidente Rodrigo Pacheco realçou a importância da Emenda para o fortalecimento das liberdades públicas, reforçando a liberdade dos brasileiros e a privacidade do cidadão, além de favorecer os investimentos em tecnologia no país e reforçar dispositivos inseridos recentemente na legislação ordinária, como o Marco Civil da Internet, de 2014, e a Lei Geral de Proteção de Dados, de 2018.

Os Direitos e Garantias Fundamentais estão previstos no Título II da Constituição Federal e elencam um rol de direitos e garantias individuais e coletivas nos aspectos sociais, econômicos e políticos considerados indispensáveis ao exercício da cidadania pelos brasileiros. O texto constitucional proporciona uma proteção tão singular aos direitos fundamentais que não é possível apresentar PEC que tenha como objetivo aboli-los, por afronta ao princípio democrático.

Destaca-se assim dois aspectos a respeito da eficácia dos direitos fundamentais: o aspecto vertical, no qual o titular passa a ter instrumentos capazes de se opor aos arbítrios do Estado frente a possíveis abusos; e o aspecto horizontal, em que o titular pode exigir que os demais indivíduos respeitem o seu exercício.

No que tange a competência privativa da União, o Congresso Nacional busca evitar o surgimento de diplomas legislativos, estaduais e municipais, que tratem o tema de forma diversa, o que resultaria em dificuldade de adequação. Dessa forma, uma legislação nacional e uniforme seria capaz de centralizar e uniformizar as questões de proteção de dados.

Posto isso, torna-se essencial um mecanismo legal para proteger os dados pessoais, sobretudo como um direito fundamental para que haja o fortalecimento da cultura de proteção. Consolida-se, assim, o entendimento que a proteção de dados pessoais é cada vez mais imprescindível para o livre e pleno desenvolvimento da personalidade e dignidade da pessoa humana.

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Posted by & filed under Não categorizado.

A Resolução 02/2022 do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) aprovou o Regulamento de Aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte. Para LGPD, são considerados agentes de pequeno porte: (i) microempresa com receita bruta anual igual ou inferir a R$ 360.000,00 e empresa de pequeno porte com receita bruta anual superior a R$ 360.000,00 e igual ou inferior a R$ 4.800.000,00 (nos termos do art. 3º e 18-A da Lei Complementar nº 123/2006); (ii) startups (nos termos do Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021); e (iii) pessoas naturais e entes privados despersonalizados.   Menciona-se, todavia, que a referida Resolução tem uma concepção bem mais limitada do conceito de agente de tratamento de pequeno porte em relação à consulta pública.

Essa regulamentação teve por objetivo a flexibilização das obrigações dispostas na LGPD para agentes de tratamento de pequeno porte, sendo que as principais diferenças estão nas obrigações relacionadas aos direitos do titular de dados, no registro das atividades que envolvem dados pessoais e na indicação de encarregado pelo tratamento de dados pessoais.

É válido mencionar que a ANPD excetua o tratamento jurídico diferenciado disposto no Regulamento aos agentes de tratamento de pequeno porte que realizem atividade considerada de alto risco para os titulares (e.g. tratamento de dados pessoais em larga escala ou que possam afetar os interesses fundamentais do titular de dados; tratamento de dados que envolva o uso de novas tecnologias; tratamento de dados pessoais sensíveis ou de crianças, adolescentes ou idosos; etc.); ou que pertença a grupo econômico com receita global superior aos limites impostos.

Com relação aos direitos do titular de dados, será facultado ao agente de tratamento de pequeno porte escolher a forma que disponibilizará as informações solicitadas pelo titular de dados desde que assegure os direitos previstos na LGPD. Não sendo, portanto, obrigado a disponibilizar de forma impressa ou eletrônico nos moldes previstos nos artigos 9º a 18º da LGPD.

Quanto a obrigação da manter inventário contendo a descrição detalhada dos processos que envolvem tratamento de dados pessoais, nos termos do artigo 37 da LGPD, o agente de pequeno pode poderá cumprir essa obrigação de forma simplificada e menos burocrática através de modelo a ser fornecido pela própria ANPD. Em relação ao encarregado, a ANPD decidiu por isentar os agentes de pequeno porte da obrigação de indicação formal de pessoa responsável pela proteção de dados, desde que seja disponibilizado um canal próprio de comunicação com o titular de dados pessoais.

Além do acima disposto, vale ressaltar que os agentes de tratamento de pequeno porte também contam com prazos diferenciados para cumprimento de obrigações e a adoção de técnicas menos complexas com relação a segurança da informação.

Como pode-se observar, a ideia da ANPD foi de simplificar para os agentes de tratamento de pequeno porte o processo a adequação à LGPD, para evitar custos e tempo desproporcionais  às atividade desses agentes.

 

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Posted by & filed under Não categorizado.

A Resolução 01/2021 do Conselho Diretor da ANPD que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador é de grande relevância, pois inaugura a atividade regulatória da Autoridade por meio de normas infralegais que impactam diretamente os atores da LGPD. As atividades fiscalizatórias da ANPD se caracterizam pelo monitoramento, orientação, prevenção e quando necessária repreensão de situações de dano ou risco.

Vê-se, desde já, uma significativa atuação orientativa por parte da Autoridade através de suas publicações (cartilhas, guias de tratamento, guias orientativos) que buscam de forma didática elucidar dúvidas sobre a aplicação da LGPD.

Um questionamento recorrente dos titulares de dados diz respeito justamente à forma de atuação da ANPD, ou como a autoridade pode dar início ao processo de fiscalização. Dessa forma vê-se a possibilidade tanto de atuação de ofício ou em coordenação com outros órgãos (Ministério Público, PROCON, autoridades internacionais etc.) ou ainda mediante requerimento de titulares de dados. Ponto fundamental e que deve ser observado pelos agentes controladores é que o requerimento deve necessariamente comprovar a prévia comunicação ao controlador e não solução do problema, homenageando o estímulo à conciliação entre as partes envolvidas.

Com vistas à prevenção, a ANPD pode se utilizar de avisos, solicitação de regularização ou planos de conformidade antes de iniciar o processo sancionador. Trata-se de instrumentos extremamente úteis e salutares que visam evitar a necessidade de processos sancionadores com impactos positivos para correção de práticas irregulares e divulgação da cultura de proteção de dados.

No âmbito do processo sancionador, destaca-se os deveres dos agentes regulados quando submetidos à fiscalização da ANPD. A autoridade tem a prerrogativa de realizar auditorias, exigir cópias de documentos, acessar a instalações, infraestrutura e sistemas de informação relacionadas às atividades de tratamento. Tal prerrogativa reforça ainda mais a necessidade de documentação das atividades realizadas durante o processo de implementação e adequação à LGPD. Ou seja, não basta implementar processos, políticas e adequações, é necessário também documentar e mantê-los atualizados para eventualmente apresentá-los à autoridade quando da fiscalização ou do processo sancionador.

A ANPD deu, assim, o primeiro passo para aplicação das sanções previstas em lei, no que ainda se espera uma regulamentação mais clara sobre as metodologias que orientarão o cálculo do valor das sanções de multa, mas ao mesmo tempo buscou estabelecer todas as ferramentas educativas e preventivas que pretende utilizar para lidar com os desafios no âmbito da proteção de dados.

 

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Posted by & filed under Não categorizado.

A Autoridade Nacional de Proteção de Dados publicou o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, construído no intuito de trazer maior segurança jurídica aos titulares de dados pessoais e agentes de tratamento, a partir de esclarecimentos das dúvidas submetidas com maior frequência à ANPD acerca dos papéis dos agentes de tratamento e da figura do Encarregado.

Ao passo que não se trata propriamente de norma regulamentadora sobre o tema, o material foi elaborado visando a estrear a missão da ANPD de promover na população o conhecimento sobre proteção de dados pessoais, prevista expressamente no artigo 55-J, inciso VI da LGPD. A finalidade da autoridade inclui a indicação de parâmetros auxiliares para identificação das categorias e conceitos legais na prática.

Assim, o documento de estreia da Autoridade busca conscientizar tanto os próprios agentes de tratamento, quanto o cidadão e a população em geral acerca de quem pode exercer as funções de controlador, operador e encarregado; suas definições legais; os respectivos regimes de responsabilidade; casos concretos exemplificativos e FAQs sobre o assunto.

No texto publicado, destacam-se a abordagem sobre a coincidência das funções de Controlador e Operador em uma mesma organização, além da explanação sobre a possibilidade de enquadramento também de pessoas naturais em ambas as categorias.

Ainda, o texto pormenoriza as distinções entre o conceito de agente de tratamento (tanto controlador, quanto operador) e o funcionário subordinado, e endereça também a hipótese de existência de mais de um controlador em um processo de tratamento. Há ainda a controladoria “Controladoria Conjunta”, que, apesar de não explícita no texto da LGPD, é tida como contemplada no sistema jurídico de proteção de dados tendo em vista que controladores distintos podem tomar decisões comuns ou convergentes sobre determinados dados pessoais.

O material também inaugura o conceito de “suboperador”, igualmente não expresso na LGPD, caracterizando-o como agente de tratamento com funções, competências e responsabilidades dentro da função de operador, mas em subordinação a outro operador. Logo, é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador, de modo que a relação direta do suboperador é com o operador e não com controlador.

Quanto ao tema do Encarregado, o guia reforça a orientação de que normativas futuras da ANPD trarão hipóteses de dispensa da necessidade de indicação dessa figura, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Há todavia uma diretiva clara no sentido de que o encarregado pode ser uma pessoa física (funcionário da organização) ou jurídica (agente externo) indicado por um ato formal.

Nesse sentido, a elaboração e divulgação do material vai ao encontro das metas de ações qualitativas e indicadores numéricos vinculados a um dos macro-objetivos estratégicos delineados pela ANPD em seu Planejamento Estratégico 2021-2023, qual seja, a promoção da consolidação de uma cultura de proteção de dados pessoais.

Posted by & filed under Não categorizado.

Em janeiro de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, pela Portaria nº 11/2021, a agenda regulatória referente ao biênio 2021-2022.

O objetivo do documento é definir as ações regulatórias prioritárias a serem implementadas durante o período de 2 anos, tornando público um cronograma das frentes de atuação da autoridade reguladora, no exercício de suas funções normativa, fiscalizadora e sancionadora.

Assim, o calendário da ANPD é dividido em 3 fases, organizadas com base no critério de prioridade.

A Fase 1 determina as iniciativas cujo processo regulamentador acontecerá em até 1 ano, com a previsão de início da regulamentação fica ainda para o 1º semestre/2021. É a fase que contém mais medidas a serem implementadas; algumas delas já vigentes, enquanto outras seguem em consulta pública ou em avaliação de impacto regulatório pela ANPD:

  • Regimento Interno: através da Portaria nº 01/2021, estabeleceram-se a estrutura organizacional e as normas procedimentais da ANPD, além da edição de competências de seu principal órgão, o Conselho Diretor, e das atribuições das unidades administrativas. Destacam-se (a) a edição de regulamentos e procedimentos em proteção de dados pessoais, a exemplo da emissão de relatórios de impacto pelos agentes de tratamento; (b) a definição de padrões e técnicas de anonimização; (c) a delimitação dos padrões de interoperabilidade para fins de portabilidade e o tempo de retenção dos registros de operações de tratamento; e (d) o estabelecimento de standards mínimos para a adoção de medidas de segurança, técnicas e administrativas, bem como regras de governança no tratamento de dados pessoais.
  • Planejamento Estratégico 2021-2023: cronograma com as principais ações e objetivos a serem concretizados, deixando claro o viés educacional da ANPD, não meramente regulatório e sancionatório. Assim, visa a promover a capacitação dos agentes de tratamento e da sociedade acerca de privacidade e proteção de dados.
  • Definição de regramento simplificado para adequação de empresas de pequeno e médio porte, startups e pessoas físicas que tratam dados pessoais com fins econômicos: apesar de a previsão do cronograma para a regulamentação do tema ter início até o 1º semestre de 2021, ainda não houve publicação pela ANPD. A expectativa que se determine a dispensa da obrigação de registro das operações de tratamento e da emissão do Relatório de Impacto à Proteção de Dados Pessoais para essas organizações – visto que o ônus decorrente da adequação à LGPD poderia sobrecarregar os custos de operação, a ponto de inviabilizar suas atividades.
  • Regulamentação sobre sanções administrativas: a ANPD será responsável por estipular as regras de fiscalização e aplicação de sanções administrativas, além da metodologia de cálculo para o valor-base, circunstâncias e condições para aplicação de multa pecuniária e demais punições.
  • Edição de diretrizes para comunicação de incidentes de segurança: conforme previsão no artigo 48 da LGPD, fica a cargo da ANPD definir as diretrizes para os procedimentos de comunicação de incidentes de segurança com potenciais riscos ou danos relevantes, o prazo de notificação aos titulares, bem como o formato de encaminhamento das informações. De fato, no final de fevereiro, a ANPD publicou manual de peticionamento eletrônico para a referida finalidade, além de disponibilizar formulário padrão a ser utilizado pelos agentes de tratamento.
  • Editar normas e procedimentos para elaboração de Relatório de Impacto à Proteção de Dados Pessoais: trata-se do exercício da competência da ANPD em normatizar os requisitos e critérios a serem seguidos nos Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), para os casos em que o tratamento representar alto risco à garantia de proteção de dados pessoais.

A Fase 2 (dois) consiste em iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 ano e 6 meses, a saber:

  • Estabelecer normas complementares sobre a definição e as atribuições do encarregado de dados: trata-se da edição de normas complementares sobre a atuação do Encarregado da Proteção de Dados (DPO) e as hipóteses de dispensa da necessidade de sua indicação, conforme o porte da organização e a natureza de sua atividade – bem como os tipos de dados tratados, o grau de apetite a risco e o volume de operações de tratamento.
  • Transferência Internacional de Dados Pessoais: definição dos critérios de reciprocidade/equivalência legislativa no grau de proteção de dados pessoais, a fim de se permitir seu compartilhamento com outros países ou organizações internacionais.

Por fim, a Fase 3 corresponde às iniciativas cujo início do processo regulamentador acontecerá em até 2 anos (previsão de início da regulamentação: 1º semestre/2023).

  • Direitos dos titulares de dados pessoais: A LGPD estabeleceu os direitos dos titulares, entretanto, há diversos pontos que precisam de regulamentação, como o direito de portabilidade de dados entre plataformas de controladores. Tal ponto é de extrema relevância, visto que o Brasil está em processo de implementação do sistema financeiro aberto – que surge com as propostas de Open Banking e Open Insurance, que transacionarão grandes volumes de dados.
  • Hipóteses legais de tratamento de dados pessoais: Acerca das hipóteses legais de tratamento de dados pessoais, espera-se que a ANPD emita um documento oficial com orientações ao público e agentes sobre as bases legais de aplicação da LGPD. Em relação ao legítimo interesse do controlador ou de terceiros, espera-se que se delimitem as hipóteses através de um rol exaustivo.

Destaca-se, ainda, a intenção de elaboração semestral do chamado relatório de acompanhamento das iniciativas presentes na agenda. A depender do resultado do último relatório de acompanhamento do ano de 2021, a ANPD avaliará a necessidade de readequação das iniciativas e metas constantes da agenda.

Portanto, as fases previstas no cronograma da ANPD priorizam determinadas ações para garantir a proteção de dados, bem como o estímulo sustentável à inovação, à digitalização e ao desenvolvimento econômico, aliando-os às garantias fundamentais dos titulares.