ANPD aprova Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador

O Conselho Diretor da ANPD aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, que tem por objetivo estabelecer os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador a ser realizado pela Autoridade de Proteção de Dados.


Essa normativa foi produzida após a oitiva da sociedade civil.


Leia a respeito:


A norma de fiscalização da ANPD


Pois bem: a fiscalização por parte da ANPD compreende as atividades de monitoramento, orientação e atuação preventiva. A aplicação de sanção ocorrerá em conformidade com a regulamentação específica por meio de processo administrativo sancionador também previsto neste Regulamento.


Neste texto apresentaremos como a ANPD vai planejar e subsidiar a atuação fiscalizatória; analisar a conformidade dos agentes de tratamento; considerar o risco regulatório em função do comportamento dos agentes de tratamento de forma a alocar recursos e adotar ações compatíveis com o risco; prevenir práticas irregulares; fomentar a cultura de proteção de dados pessoais e atuar na busca da correção de práticas irregulares e da reparação ou minimização de eventuais danos.

A expectativa da ANPD com a publicação do Regulamento é estimular a promoção da cultura de proteção de dados pessoais; a ideia amplamente divulgada é de uma atuação responsiva e não sancionatória.


O Regulamento do Processo de Fiscalização


É preciso definir que as disposições do Regulamento aplicam-se aos titulares de dados, aos agentes de tratamento, pessoas naturais ou jurídicas, de direito público ou privado, e demais interessados no tratamento de dados pessoais, sendo a lei que regula o processo administrativo no âmbito da Administração Pública Federal a ele aplicada subsidiariamente.


A fiscalização da ANPD vai compreender as atividades de monitoramento, orientação e atuação preventiva e a aplicação de qualquer sanção só ocorrerá em conformidade com a regulamentação específica, por meio de processo administrativo sancionador, também definido no Regulamento.


Sua finalidade será orientar, prevenir e reprimir as infrações à LGPD, atuando primordialmente para a proteção dos direitos dos titulares de dados.


Conceitos importantes no processo administrativo da ANPD


Agentes regulados são os agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais e autuado é aquele agente regulado que, uma vez identificados indícios suficientes de infração, tem instaurado processo administrativo sancionador contra si, por meio de auto de infração.


A denúncia é uma comunicação feita à ANPD por qualquer pessoa, natural ou jurídica, de suposta infração cometida contra a LGPD e, no caso, também temos a figura da obstrução à atividade de fiscalização, que pode ser um ato comissivo ou omissivo, direto ou indireto, da fiscalização ou de seus pressupostos, que impeça, dificulte ou embarace a atividade de fiscalização exercida pela ANPD.


A petição de titular é a comunicação feita à ANPD pelo titular de dados pessoais de uma solicitação apresentada ao controlador e não solucionada no prazo estabelecido em regulamentação e o requerimento é o conjunto de tipos de comunicação, compreendendo a petição de titular e a denúncia.


Deveres dos agentes regulados


Os agentes regulados têm os deveres primordiais de:


  • fornecer cópia de documentos (físicos ou digitais), dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais;

  • permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;

  • possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;

  • submeter-se a auditorias realizadas ou determinadas pela ANPD;

  • manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e

  • disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.


No caso de uma investigação, o agente regulado pode solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou a industrial. O regulamento deixa claro que o pedido de sigilo de informações por parte da ANPD é um ônus do agente regulado, ou seja, não é uma obrigação da autoridade reguladora.


Um representante do agente regulado pode acompanhar a auditoria da ANPD, a menos que exista uma prévia notificação o impedindo; isso, claro, se o acompanhamento presencial for incompatível com a natureza da apuração.


Por fim, temos a figura da ‘obstrução à atividade de fiscalização’ quando caracterizado o não cumprimento dos deveres por parte do agente regulado. Nessa hipótese, o infrator fica sujeito às medidas cabíveis na lei.


A fiscalização e o objeto da atuação responsiva


A ANPD pretende adotar atividades de monitoramento, de orientação e de prevenção no processo de fiscalização e só então vai iniciar a atividade repressiva.


A atividade de monitoramento destina-se ao levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD com o fim de assegurar o regular funcionamento do ambiente regulado. Ela se caracteriza pela atuação baseada na economicidade e na utilização de métodos e ferramentas que almejam a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais.


A meta é uma atividade basicamente preventiva, atuando na construção conjunta e dialogada de soluções e medidas para reconduzir o agente de tratamento à plena conformidade, evitando ou remediando situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento.


A atividade repressiva, por sua vez, se caracteriza pela atuação coercitiva da ANPD, justamente para interromper situações de dano ou risco e reconduzir a uma plena conformidade. Isso, claro, com a punição dos responsáveis pela aplicação das sanções previstas no artigo 52 da LGPD.


A ANPD poderá atuar:


  • de ofício;

  • em decorrência de programas periódicos de fiscalização;

  • de forma coordenada com órgãos e entidades públicos; ou

  • em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.


Atuação responsiva como princípio


Acima de tudo, a atuação responsiva, adotando medidas proporcionais ao risco identificado e à postura dos agentes regulados, sempre integrada e coordenada com órgãos e entidades da administração pública, é uma meta da ANPD.


Para tanto, ela vai se alinhar com o planejamento estratégico, com os instrumentos de monitoramento das atividades de tratamento de dados e com a Política Nacional de Proteção de Dados Pessoais e da Privacidade.


Haverá um estímulo à conciliação direta entre as partes e a priorização da resolução do problema e da reparação de danos pelo controlador; estímulo à promoção da cultura de proteção de dados pessoais e previsão de mecanismos de transparência, de retroalimentação e de autorregulação.


E assim o pretende a Autoridade como alternativa ao modelo regulatório baseado essencialmente em punições, que, quando exclusivamente adotado, encontra algumas limitações, já que não apresenta incentivos para que o regulado cumpra voluntariamente os requisitos postos pelo regulador.