Posted by & filed under Não categorizado.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 23 de agosto de 2024, a Resolução nº 19/2024, que aprova o Regulamento de Transferência Internacional de Dados e respectivas cláusulas-padrão contratuais.

O Regulamento é resultado de iniciativa regulatória iniciada em 2022 pela ANPD, que envolveu consulta pública, tomada de subsídios e audiência pública, tendo como objetivo garantir um nível adequado de proteção aos titulares de dados pessoais que são transferidos do território nacional para outro país.

Todos os agentes de tratamento de dados pessoais devem adotar e documentar o cumprimento e a eficácia das medidas adotadas para conformidade com a LGPD, e as novas regras são aplicáveis aos agentes de tratamento (controladores ou operadores) que participem de transferências de dados pessoais do Brasil para países estrangeiros ou organizações internacionais.

Nesse sentido, o novo instrumento normativo estabelece critérios e procedimentos para confirmação de adequação de outros países a padrões de proteção de dados compatível com o regime brasileiro, autorizando, dessa forma, a transferência de dados pessoais para tais países sem a necessidade de assinatura de documentos complementares. Os processos para emissão da decisão de adequação que incluiria um país em tal categoria incluem análises técnica e deliberação pelo Conselho Diretor.

Na ausência de uma decisão de adequação com o reconhecimento de um país como adequado sob a ótica de padrões de proteção de dados necessários, os agentes poderão ainda aderir a normas corporativas globais de seus grupos econômicos ou se utilizar de instrumentos contratuais para oferecer as garantias necessárias para autorização da realização de transferências internacionais por meio da assinatura de documentos contendo cláusulas-padrão contratuais ou cláusulas contratuais específicas.

Saiba um pouco mais sobre cada modalidade:

 

Cláusulas-padrão Contratuais:

  • Os agentes de tratamento têm 12 (doze) meses, ou seja, até 23 de agosto de 2025, para adequar seus contratos celebrados às cláusulas-padrão contratuais. As cláusulas-padrão contratuais devem ser adotadas sem alterações para garantir a validade da transferência internacional de dados pessoais;
  • Os titulares podem solicitar a íntegra das cláusulas utilizadas para a realização da transferência internacional de dados, respeitados os segredos comercial e industrial. O documento deve ser disponibilizado pelo agente de tratamento em 15 dias corridos da solicitação do titular;
  • Divulgação no website, de documento em português, com linguagem simples, precisa e acessível, sobre a realização da transferência internacional, podendo ser este informe integrado à Política ou Aviso de Privacidade.

 

Cláusulas Contratuais Especificas:

 

  • Os agentes podem solicitar à ANPD a aprovação de cláusulas contratuais específicas quando as cláusulas-padrão não forem aplicáveis, em razão de circunstâncias excepcionais de fato ou de direito. Essas cláusulas devem oferecer, no mínimo, garantias de cumprimento dos princípios e direitos estabelecidos na LGPD.

 

Normas Corporativas Globais:

  • São normas integradas ao Programa de Privacidade dos agentes de tratamento e que possuem caráter vinculante às organizações do mesmo grupo ou conglomerado empresarial. Elas garantem que, independentemente de onde esteja cada entidade do grupo, todas elas manterão um nível adequado de tratamento de dados pessoais. Estas normas deverão ser apresentadas à ANPD, estando sujeitas à sua avaliação e aprovação.

O Regulamento é extenso e dividido em dois Anexos, trazendo, além dos modelos de cláusulas padrão, uma série de diretrizes, novas definições, esclarecimentos sobre a caracterização do que é ou não transferência de dados, hipóteses legais e mecanismos de transferência, os papéis e critérios a serem levados em conta nas decisões a serem emitidas pela ANPD sobre o assunto etc.

Com a expansão das operações globais, a publicação do novo Regulamento representa um passo importante no fortalecimento dos fluxos de dados entre países, ao passo que também busca assegurar proteção aos direitos dos titulares no Brasil.

Consulte a integra da Resolução aqui: RESOLUÇÃO CD/ANPD Nº 19

Departamento Societário 

Nilson Lautenschlager Jr nlj@lrilaw.com.br
Victor Costa Toledo vct@lrilaw.com.br
Vinícius Fonseca Soares vfs@lrilaw.com.br

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Posted by & filed under Não categorizado.

O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) publicou, no final de abril, o Regulamento de Comunicação de Incidente de Segurança (RCIS), visando, dentre outros objetivos, mitigar ou reverter prejuízos gerados por incidentes e assegurar a responsabilização e a prestação de contas pelos agentes de tratamento.

O RCIS prevê que o controlador deve comunicar a ANPD e os titulares de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou danos relevantes. A obrigatoriedade está intrinsecamente relacionada ao eventual prejuízo a interesses e direitos fundamentais dos titulares, notadamente em casos envolvendo:

  • dados pessoais sensíveis;
  • dados de crianças, de adolescentes ou de idosos;
  • dados financeiros;
  • dados de autenticação em sistemas;
  • dados protegidos por sigilo legal, judicial ou profissional; ou
  • dados em larga escala.

Uma novidade importante é que o regulamento estabelece o prazo de três dias úteis para que o controlador informe o incidente de segurança para a ANPD e para os titulares, devendo o prazo ser contado a partir do conhecimento pelo controlador de que o incidente afetou dados pessoais.

O regulamento também reforça a importância do ROPA (Record of Processing Activities), ou seja, o Registro das Atividades de Tratamento, já que dispõe que a ANPD poderá, a qualquer tempo, solicitar informações adicionais, incluindo o Relatório de Impacto à Proteção de Dados (RIPD) e o relatório de tratamento do próprio incidente.

O ROPA documenta as operações realizadas, como os dados são coletados e armazenados, os terceiros envolvidos no tratamento, como e para qual propósito os dados serão utilizados (e suas bases legais), formas de exclusão, medidas técnicas e organizacionais implementadas, dentre outros pontos. Além de facilitar futuras revisões e mitigação de riscos, o ROPA auxilia na prestação de contas. O RIPD é necessário sempre que o tratamento de dados pessoais puder expor a risco liberdades civis e direitos ou quando o fundamento para essa atividade for o legitimo interesse, sendo detalhadas  nesse documento as operações com dados pessoais, as medidas, salvaguardas e mecanismos de mitigação de riscos adotadas.

A comunicação para ANPD seguirá ocorrendo por meio de formulário eletrônico e deverá conter uma série de informações obrigatórias, enquanto a comunicação aos titulares deverá ser individualizada e em linguagem simples, contendo as seguintes informações:

  • a descrição da natureza e da categoria de dados pessoais afetados;
  • as medidas técnicas e de segurança utilizadas para a proteção dos dados;
  • os riscos relacionados ao incidente com identificação dos possíveis impactos;
  • os motivos da demora, no caso de a comunicação não ter sido feita no prazo;
  • as medidas que foram/serão adotadas para reverter/ mitigar os efeitos do incidente;
  • a data do conhecimento do incidente de segurança; e
  • o contato para obtenção de informações e os dados de contato do encarregado.

A resolução esclarece, também, que o controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contados a partir da data da ocorrência.

A aprovação e publicação do novo regulamento fortalece os direitos dos titulares, por ser um catalisador dos princípios gerais de proteção estabelecidos na LGPD, em especial o princípio da transparência, haja vista a adoção de boas práticas de governança e fortalecimento da cultura de proteção de dados pessoais no Brasil.

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Posted by & filed under Não categorizado.

Foi publicado pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANDP) em, 27 de fevereiro de 2023, a Resolução CD/ANPD Nº 4/2023 que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas por descumprimento à Lei Geral de Proteção de Dados (LGPD).

A resolução estabelece as situações, condições e métodos para a aplicação das sanções previstas no artigo 52 da LGPD, quais sejam:

  • Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 por infração;
  • Multa diária, com limite total de R$ 50.000.000;
  • Advertência;
  • Publicização da infração;
  • Bloqueio dos dados pessoais;
  • Eliminação dos dados pessoais;
  • Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de (6) seis meses, prorrogável por igual período;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

E considera, dentre outros critérios, o dano ou o prejuízo causado aos titulares de dados em virtude do descumprimento à LGPD.

As infrações à LGPD serão classificadas considerando a gravidade e o tipo de infração à lei e os direitos afetados:

Infração Média: quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, em outras palavras, quando houver impedimento ou limitação, de forma significativa, no exercício de direitos ou a utilização de serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave)

Infração Grave: quando houver obstrução à fiscalização ou quando houver a hipótese descrita como média cumulada com pelo menos, uma das seguintes hipóteses:

  • Envolver tratamento de dados pessoais em larga escala;
  • O infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
  • Implicar risco à vida dos titulares;
  • Envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
  • Realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
  • Realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
  • For verificada a adoção sistemática de práticas irregulares pelo infrator.

Infração Leve: quando a infração não puder ser enquadrada em nenhuma das hipóteses média ou grave.

No caso de aplicação de multa, para a definição do valor, além dessa classificação da gravidade, a ANPD levará em conta elementos como o faturamento do infrator no último exercício disponível anterior à aplicação da sanção. Caso não esteja disponível a informação referente ao ramo de atividade em que ocorreu a infração, a autoridade considerará o faturamento total do grupo ou conglomerado de empresas no Brasil.

A condição econômica do infrator pode agravar a pena ou ser um fator atenuante. Além disso, outros possíveis parâmetros, conforme a nova norma da ANPD, seriam a não reincidência, a boa-fé do infrator e a vantagem auferida ou pretendida com a infração.

A norma traz de forma pormenorizada a aplicação da fórmula de cálculo em que o agente deverá seguir algumas etapas:

  1. Determinar a alíquota base: entre leve, média e grave;
  2. Determinar o grau do dano: em uma escala de 0 a 3;
  3. Determinar valor base: multiplicando a alíquota base pelo faturamento bruto (- tributos);
  4. Determinar o valor da multa: aplicando as circunstâncias agravantes e atenuantes;
  5. Determinar os limites mínimos e máximo da multa.

O objetivo de tamanha minucia é garantir a proporcionalidade entre a sanção e a gravidade da conduta, conferir segurança jurídica aos atos fiscalizatórios, bem como garantir o direito ao devido processo legal e ao contraditório.

O novo regulamento já está em vigor e a ANPD deve começar a julgar os primeiros processos, a expectativa é que as primeiras decisões sejam emitidas em breve. A  partir de agora, ganha ainda mais importância o monitoramento das decisões da ANPD tendo em vista a criação da jurisprudência administrativa que irá delinear os conceitos estabelecidos nas normativas da ANPD.

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Posted by & filed under Não categorizado.

Em janeiro de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, pela Portaria nº 11/2021, a agenda regulatória referente ao biênio 2021-2022.

O objetivo do documento é definir as ações regulatórias prioritárias a serem implementadas durante o período de 2 anos, tornando público um cronograma das frentes de atuação da autoridade reguladora, no exercício de suas funções normativa, fiscalizadora e sancionadora.

Assim, o calendário da ANPD é dividido em 3 fases, organizadas com base no critério de prioridade.

A Fase 1 determina as iniciativas cujo processo regulamentador acontecerá em até 1 ano, com a previsão de início da regulamentação fica ainda para o 1º semestre/2021. É a fase que contém mais medidas a serem implementadas; algumas delas já vigentes, enquanto outras seguem em consulta pública ou em avaliação de impacto regulatório pela ANPD:

  • Regimento Interno: através da Portaria nº 01/2021, estabeleceram-se a estrutura organizacional e as normas procedimentais da ANPD, além da edição de competências de seu principal órgão, o Conselho Diretor, e das atribuições das unidades administrativas. Destacam-se (a) a edição de regulamentos e procedimentos em proteção de dados pessoais, a exemplo da emissão de relatórios de impacto pelos agentes de tratamento; (b) a definição de padrões e técnicas de anonimização; (c) a delimitação dos padrões de interoperabilidade para fins de portabilidade e o tempo de retenção dos registros de operações de tratamento; e (d) o estabelecimento de standards mínimos para a adoção de medidas de segurança, técnicas e administrativas, bem como regras de governança no tratamento de dados pessoais.
  • Planejamento Estratégico 2021-2023: cronograma com as principais ações e objetivos a serem concretizados, deixando claro o viés educacional da ANPD, não meramente regulatório e sancionatório. Assim, visa a promover a capacitação dos agentes de tratamento e da sociedade acerca de privacidade e proteção de dados.
  • Definição de regramento simplificado para adequação de empresas de pequeno e médio porte, startups e pessoas físicas que tratam dados pessoais com fins econômicos: apesar de a previsão do cronograma para a regulamentação do tema ter início até o 1º semestre de 2021, ainda não houve publicação pela ANPD. A expectativa que se determine a dispensa da obrigação de registro das operações de tratamento e da emissão do Relatório de Impacto à Proteção de Dados Pessoais para essas organizações – visto que o ônus decorrente da adequação à LGPD poderia sobrecarregar os custos de operação, a ponto de inviabilizar suas atividades.
  • Regulamentação sobre sanções administrativas: a ANPD será responsável por estipular as regras de fiscalização e aplicação de sanções administrativas, além da metodologia de cálculo para o valor-base, circunstâncias e condições para aplicação de multa pecuniária e demais punições.
  • Edição de diretrizes para comunicação de incidentes de segurança: conforme previsão no artigo 48 da LGPD, fica a cargo da ANPD definir as diretrizes para os procedimentos de comunicação de incidentes de segurança com potenciais riscos ou danos relevantes, o prazo de notificação aos titulares, bem como o formato de encaminhamento das informações. De fato, no final de fevereiro, a ANPD publicou manual de peticionamento eletrônico para a referida finalidade, além de disponibilizar formulário padrão a ser utilizado pelos agentes de tratamento.
  • Editar normas e procedimentos para elaboração de Relatório de Impacto à Proteção de Dados Pessoais: trata-se do exercício da competência da ANPD em normatizar os requisitos e critérios a serem seguidos nos Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), para os casos em que o tratamento representar alto risco à garantia de proteção de dados pessoais.

A Fase 2 (dois) consiste em iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 ano e 6 meses, a saber:

  • Estabelecer normas complementares sobre a definição e as atribuições do encarregado de dados: trata-se da edição de normas complementares sobre a atuação do Encarregado da Proteção de Dados (DPO) e as hipóteses de dispensa da necessidade de sua indicação, conforme o porte da organização e a natureza de sua atividade – bem como os tipos de dados tratados, o grau de apetite a risco e o volume de operações de tratamento.
  • Transferência Internacional de Dados Pessoais: definição dos critérios de reciprocidade/equivalência legislativa no grau de proteção de dados pessoais, a fim de se permitir seu compartilhamento com outros países ou organizações internacionais.

Por fim, a Fase 3 corresponde às iniciativas cujo início do processo regulamentador acontecerá em até 2 anos (previsão de início da regulamentação: 1º semestre/2023).

  • Direitos dos titulares de dados pessoais: A LGPD estabeleceu os direitos dos titulares, entretanto, há diversos pontos que precisam de regulamentação, como o direito de portabilidade de dados entre plataformas de controladores. Tal ponto é de extrema relevância, visto que o Brasil está em processo de implementação do sistema financeiro aberto – que surge com as propostas de Open Banking e Open Insurance, que transacionarão grandes volumes de dados.
  • Hipóteses legais de tratamento de dados pessoais: Acerca das hipóteses legais de tratamento de dados pessoais, espera-se que a ANPD emita um documento oficial com orientações ao público e agentes sobre as bases legais de aplicação da LGPD. Em relação ao legítimo interesse do controlador ou de terceiros, espera-se que se delimitem as hipóteses através de um rol exaustivo.

Destaca-se, ainda, a intenção de elaboração semestral do chamado relatório de acompanhamento das iniciativas presentes na agenda. A depender do resultado do último relatório de acompanhamento do ano de 2021, a ANPD avaliará a necessidade de readequação das iniciativas e metas constantes da agenda.

Portanto, as fases previstas no cronograma da ANPD priorizam determinadas ações para garantir a proteção de dados, bem como o estímulo sustentável à inovação, à digitalização e ao desenvolvimento econômico, aliando-os às garantias fundamentais dos titulares.