Atuação da ANPD - Autoridade Nacional de Proteção de Dados Pessoais
I - A LGPD e o tratamento de dados pessoais no Brasil
A LGPD (Lei Geral de Proteção de Dados Pessoais) regulamenta o tratamento de dados pessoais no Brasil.
Tratamento, para quem não está familiarizado com o assunto, é qualquer modo de utilização de dados pessoais realizado por empreendedores (pessoas físicas e jurídicas) e pelo Poder Público (nas esferas municipal, estadual e federal), durante a execução das respectivas atividades.
Portanto, se uma empresa do ramo farmacêutico, por exemplo, coleta dados pessoais (dados de pessoas físicas) no dia a dia, durante a prestação de serviços, estará realizando o que a LGPD conceitua como “tratamento” de dados pessoais.
E o mesmo acontece com todas as empresas, de todos os portes e segmentos, e também com o Poder Público, conforme já referido em parágrafo anterior, significando que tais entes, sejam públicos ou privados, desde que utilizem dados pessoais, estarão realizando o que legalmente é considerado tratamento de dados, que deverá obedecer ao disposto na LGPD (Lei Geral de Proteção de Dados Pessoais).
Quanto às empresas, para que o tratamento dos dados pessoais seja considerado lícito e regular, deverão adotar procedimentos e observar os requisitos, os princípios e as regras previstas na LGPD.
II - Quem fiscalizará o cumprimento da LGPD?
Como acontecerá a fiscalização do cumprimento da LGPD? Como ocorrerá a verificação do cumprimento dos parâmetros legais pelas empresas?
A fiscalização do cumprimento da LGPD acontecerá através do órgão regulatório, que é a ANPD (Autoridade Nacional de Proteção de Dados Pessoais).
E o Conselho Diretor da ANPD, cumprindo a sua competência normativa, regulatória e fiscalizatória, instituída pelo art. 55-J, IV, e §2º da LGPD (Lei nº 13.709/18), pelos arts. 2º, IV, e 29 do Anexo I do Decreto nº 10.474, de 26 de agosto de 2020, e prevista no Regimento Interno da Autoridade Nacional de Proteção de Dados, aprovado pela Portaria nº 1, de 8 de março de 2021, editou, em 2021, o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, visando esclarecer sobre como ocorrerá a atuação da ANPD em defesa dos direitos dos titulares de dados pessoais.
Assim dispõe a Resolução CD/ANPD 1/21, de 28/10/21:
Art. 1º Este Regulamento tem por objetivo estabelecer os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela Autoridade Nacional de Proteção de Dados (ANPD).
§ 1º As disposições deste regulamento aplicam-se aos titulares de dados, aos agentes de tratamento, pessoas naturais ou jurídicas, de direito público ou privado e demais interessados no tratamento de dados pessoais, nos termos do art. 13.
Art. 2º A fiscalização compreende as atividades de monitoramento, orientação e atuação preventiva, conforme os procedimentos previstos neste Regulamento.
§ 1º A aplicação de sanção ocorrerá em conformidade com a regulamentação específica, por meio de processo administrativo sancionador, definido neste Regulamento.
A atividade de fiscalização da ANPD terá por finalidade orientar, prevenir e reprimir as infrações à Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
Art. 3º A ANPD atuará para a proteção dos direitos dos titulares de dados, para promover a implementação da legislação de proteção de dados pessoais, e para zelar pelo seu cumprimento.
Segundo dispõe a Resolução, agentes regulados são os agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais.
Tais agentes, conforme art. 5º da Resolução, submetem-se à fiscalização da ANPD e têm os seguintes deveres:
I - fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;
II - permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;
III - possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;
IV - submeter-se a auditorias realizadas ou determinadas pela ANPD;
V - manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e
VI - disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.
As empresas, enquanto agentes regulados, deverão solicitar “à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou a industrial.” (art. 5º, § 2º, da Resolução).
III - Como funcionará o Procedimento Administrativo por violação da LGPD?
A ANPD, por meio da Coordenação-Geral de Fiscalização, dará início ao Processo Administrativo Sancionador e deverá garantir ao empresário fiscalizado o direito de defesa, conforme seguinte roteiro:
- será lavrado um auto de infração que identificará o empreendedor (pessoa física ou jurídica) infrator, que será intimado para defender-se, ocasião em que poderá, se necessário, indicar as provas que deseja produzir, inclusive perícia técnica;
- será atribuída ao empresário autuado a conduta ilícita relacionada ao tratamento de dados pessoais de forma fundamentada, com indicação do artigo da LGPD ou de regulamento da ANPD que não estiver sendo respeitado;
Após o término das fases do processo administrativo, se houver condenação, a empresa será intimada a cumprir a sanção administrativa imposta e o prazo para tanto. Poderá, contudo, tão logo intimada, cumprir a decisão ou interpor recurso administrativo perante o Conselho Diretor da ANPD.
Importante elucidar que, se houver condenação ao pagamento de multa (sanção pecuniária), e se a mesma não for paga até a data do vencimento, o empresário será inscrito no Cadastro Informativo de Créditos não Quitados do Setor Público Federal (Cadin), e o débito será encaminhado para inscrição na Dívida Ativa da União.
IV - Considerações finais
O Processo Administrativo Sancionador por descumprimento da LGPD (Lei Geral de Proteção de Dados Pessoais), detalhado na Resolução CD/ANPD 1/21, será conduzido pela ANPD, que é o órgão que fiscalizador.
Conforme ponderado, por meio do referido processo, a ANPD fará a supervisão e a apuração de infrações relacionadas à LGPD, e aplicará, se for o caso, as penalidades previstas no art. 52 da Lei Geral de Proteção de Dados Pessoais, como advertência, multa, suspensão do exercício da atividade de tratamento de dados pessoais, dentre outras.
Portanto, empreendedores devem estar atentos às repercussões negativas, inclusive com abalo da reputação, e ao custo que a inadequação à Lei Geral de Proteção de Dados Pessoais poderá ocasionar.
Izabela Lehn - Advogada
Integrante do Comitê Jurídico da ACI-NH/CB/EV/DI
Izabela Lehn Advocacia
