Sem pressa, mas sem pausa: o primeiro ano de atuação da Autoridade Nacional de Proteção de Dados 

 

Artigo por Camila Camargo e Nailia Franco*  

Inicialmente, gostaríamos de esclarecer que o texto a seguir tem o propósito de informar os leitores sobre a recente atuação da Autoridade Nacional de Proteção de Dados (ANPD), considerando a relevância das ações de tal entidade para que a Lei Geral de Proteção de Dados – Lei Federal n. 13.709/18 (LGPD) tenha a eficácia esperada.

A ANPD é o órgão da administração pública federal, integrante da Presidência da República, que foi criado por força da LGPD. De uma forma sucinta, a ANPD é responsável por zelar, monitorar, fiscalizar e orientar a sociedade civil sobre o adequado cumprimento da LGPD, com o objetivo final de proteger direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade. Para o pleno exercício de suas funções, é legalmente conferida à ANPD a necessária autonomia técnica e decisória para realização de suas atividades.

Entre as suas mais diversas competências, a ANPD deve regulamentar a LGPD, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais, elaborar estudos sobre práticas nacionais e internacionais de proteção de dados pessoais, fiscalizar e aplicar sanções em caso de tratamento de dados em descumprimento à LGPD.

Apesar da entrada em vigor da LGPD em 2018, foi apenas em novembro de 2020 – há um ano – que a ANPD foi formalmente instituída. Nos meses subsequentes à sua criação, ainda em 2020, ocorreram oficialmente a nomeação do Conselho Diretor e o lançamento do site da autoridade, com diversas áreas dedicadas a perguntas e respostas e regras procedimentais, a exemplo de como o titular de dados pode peticionar perante a ANPD contra o controlador de dados. As atividades da ANPD em 2021, por sua vez, iniciaram com a definição da agenda regulatória para o biênio 2021-2022.

Conforme previsto no cronograma de prioridades da referida agenda, a ANPD trabalhou ao longo de 2021 para publicar seu regimento interno e o planejamento estratégico para os anos de 2021 a 2023, assim como para cumprir com as ações previstas na primeira fase da agenda (todas para o ano de 2021).

Assim, em 2021, a ANPD iniciou os trabalhos para regulamentação dos seguintes temas: (i) aplicação da LGPD para microempresas, empresas de pequeno porte empresas autodeclaradas startups (chamadas pela ANPD e a seguir de “agentes de tratamento de pequeno porte”); (ii) normas de incidentes de segurança com dados pessoais e como comunicá-los à autoridade; (iii) norma de fiscalização; e (iv) relatório de impacto à proteção de dados pessoais.

Tais iniciativas contaram com contribuições de diversos setores da sociedade, por meio de abertura de consulta pública, tomada de subsídios e realização de reuniões técnicas.

Os processos regulatórios iniciados estão em andamento, exceto o que se refere à norma de fiscalização e aplicação de sanções pela ANPD, que já foi concluído e resultou na aprovação, em outubro de 2021, da Resolução CD/ANPD nº 1. A aprovação dessa resolução especificamente é muito bem-vinda, na medida em que os artigos da LGPD que tratam do tema também entraram em vigor recentemente, em agosto de 2021. Até então, o processo da autoridade para realização das atividades de investigação, monitoramento e aplicação de sanções ainda não estava claro e causava dúvidas recorrentes às empresas que estão buscando a conformidade com a LGPD.

Ainda, destacamos que a ANPD publicou guias orientativos que definem e exploram conceitos importantíssimos para a aplicação da LGPD em território brasileiro, como o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado” e o “Guia Orientativo de Segurança da Informação para os Agentes de Tratamento de Pequeno Porte”. Tais documentos, apesar do seu caráter não vinculante, representam a opinião atual da ANPD sobre determinados tópicos e, portanto, recomenda-se que sejam amplamente considerados na interpretação da LGPD.

No âmbito institucional, a ANPD firmou parcerias e assinou Acordos de Cooperação Técnica com a SENACON, o CADE, o NIC.Br e o TSE; ainda firmou um Memorando de Entendimentos com a Autoridade de Dados Espanhola, além de ingressar como membro em instituições de renome como na Rede Ibero-Americana de Proteção de Dados e como membro observador da Global Privacy Assembly. Adicionalmente, a ANPD se posicionou, por meio de notas e pareceres, sobre casos importantes como o vazamento de dados por meio do Pix e a política de privacidade do WhatsApp.

Em conclusão, o comprometimento da ANPD até o momento em atingir as metas definidas para o ano de 2021 no tocante à regulamentação dos tópicos acima mencionados, assim como a abertura do diálogo sobre proteção de dados com entidades governamentais e não governamentais, locais e estrangeiras, aponta para a construção de uma estrutura teoricamente sólida para a formação da dita “cultura de privacidade e proteção de dados pessoais”.

Quanto ao ano de 2022, não obstante os diversos temas que ainda serão explorados pela ANPD conforme a agenda regulatória, há expectativas no tocante à publicação das normas referentes aos tópicos iniciados em 2021, mas especialmente quanto ao início do processo fiscalizatório, com o primeiro ciclo de monitoramento em janeiro de 2022. Aguardemos.

 

*Camila Camargo e Nailia Franco são advogadas da Andersen Ballão Advocacia.