Por Amanda Nehme
A Resolução nº 1 do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), publicada em 28 de outubro de 2021, consolidou as atividades do órgão fiscalizador criado pela Lei Geral de Proteção de Dados (LGPD). A Resolução trata dos modos de atuação de fiscalização do órgão e dispõe sobre os procedimentos pelo qual se aplicarão as multas e sanções.
A regulamentação chega em momento importante, tendo em vista que as sanções administrativas previstas na Lei Geral de Proteção de Dados começaram a viger em 1º de agosto de 2021. Diante disso, torna-se essencial a previsão de procedimento para fazer valer de fato as disposições de uma lei de tal importância.
A fiscalização realizada pela ANPD terá objetivo de orientar, prevenir e reprimir eventuais infrações à Lei nº 13.709/2018. Através de uma previsão de metodologia para o processo fiscalizatório é que a resolução traz suporte à aplicação da referida lei.
Para além de trazer regras do processo de fiscalização, há, também, previsão de atividades de monitoramento através do Relatório de Ciclo de Monitoramento e o Mapa de Temas Prioritários.
A regulamentação é direcionada, principalmente, aos agentes de tratamento, isto é, controladores e operadores, aos titulares dos dados pessoais e demais agentes interessados no tratamento de dados pessoais.
Quanto ao início do processo de fiscalização a ANPD poderá iniciá-lo de ofício, por programas periódicos de fiscalização ou, até mesmo, a requerimento do titular dos dados pessoais que acredita que teve seu direito à privacidade violado. Assim, o processo se iniciará com intimação endereçada ao agente regulado, sendo que as inspeções poderão ser realizadas por meio de auditorias, em que o órgão fiscalizador poderá ter acesso às instalações, equipamentos, aplicativos, documentos e demais recursos tecnológicos dos agentes de tratamento.
Ressalte-se que as informações relativas às atividades empresariais, financeiras, contábeis, técnicas e operacionais terão sigilo, entretanto, a ANPD terá acesso aos sistemas de informação adotados pela companhia, podendo identificar possíveis riscos e orientar o agente regulado às boas práticas.
Assim, de acordo com o regulamento, o processo de fiscalização é divido em: (i) atividade de monitoramento; (ii) atividade de orientação; (iii) atividade preventiva e; (iv) atividade repressiva.
É na etapa do monitoramento que serão levantadas informações relevantes de tratamentos de dados para identificar possíveis riscos e prevenir eventuais danos. O monitoramento será realizado anualmente e os instrumentos utilizados serão, justamente, o Relatório de Ciclo de Monitoramento e o Mapa de Temas Prioritários.
Após apuração das principais atividades de tratamento e identificação de possíveis incidentes, a ANPD promoverá materiais educativos, com objetivo de educar e orientar os agentes de tratamento, os titulares dos dados pessoais e outros agentes interessados no tratamento sobre a importância da proteção dos dados pessoais.
Em seguida, serão realizadas as atividades preventivas, no sentido de conduzir o agente de tratamento em conformidade à Lei Geral de Proteção de Dados, de forma a evitar eventuais riscos e mitigar possíveis incidentes que exponham os titulares de dados pessoais.
A atividade repressiva realizada pelo órgão fiscalizador entra em cena quando já existirem indícios de violação à LGPD. A partir daí, instaura-se processo administrativo sancionador para apuração de infrações, podendo resultar nas sanções previstas no art. 53 da Lei nº 13.709/2018.
Embora a primeira resolução da Autoridade Nacional de Proteção de Dados tenha dedicado grande parte de sua estrutura às atividades de monitoramento, prevenção e orientação das operações de tratamentos de dados pessoais, o regulamento é um grande marco à consolidação da Lei Geral de Proteção de Dados. Isto porque, instrumentaliza o meio pelo qual se aplicarão as sanções a quem não estiver em conformidade com a lei, sendo feito através de processo administrativo com estrutura parecida àquela estabelecida pela Lei nº 9.784/1999, para a aplicação de sanções à violação da proteção de dados pessoais.
Recorda-se que as sanções podem ser uma mera advertência, como também a publicização da infração cometida pela empresa, a proibição, suspensão e bloqueio das atividades de tratamento de dados, chegando até mesmo a uma multa de 2% (dois por cento) do faturamento da empresa, limitada à R$50 milhões por infração.
Importante ressaltar, ainda, que a resolução entrou em vigor na data de sua publicação e o primeiro ciclo de monitoramento terá início a partir de janeiro de 2022.
Portanto, as empresas, que são grandes agentes de tratamento de dados pessoais, devem ficar atentas à adequação de suas atividades, através de acompanhamento jurídico adequado, para que não tenha suas atividades prejudicadas ou venha a ter prejuízo financeiro por não estar em conformidade com a LGPD.
