Série Privacidade e Proteção de Dados nº7: Panorama regulatório

1. Introdução

Desde a entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”), em setembro de 2020, foram observados  diversos avanços na legislação brasileira de privacidade e proteção de dados.

Dentre as principais progressões e desenvolvimentos, destaca-se:

• o reconhecimento da proteção de dados como direito fundamental previsto pela Constituição Federal do Brasil;
• a mudança estrutural na Autoridade Nacional de Proteção de Dados (“ANPD”), que passou de órgão subordinado à Presidência da República para uma autarquia de natureza especial;
• divulgação das agendas regulatórias para 2021-2022 e 2023-2024 propostas pela ANPD, realização de audiências públicas e publicação de resoluções envolvendo os seguintes temas:
  • estrutura da ANPD;
  • regulamentação sobre os procedimentos de fiscalização, aplicação de sanções administrativas e cálculo de sanções;
  • requisitos flexíveis para pequenas e médias organizações, startups e indivíduos;
  • direitos dos titulares de dados;
  • prazo e mecanismos para a comunicação de incidentes;
  • avaliação do impacto da proteção de dados;
  • encarregado de proteção de dados (DPO);
  • transferência internacional de dados;
  • hipóteses legais de tratamento de dados pessoais;
  • hipóteses legais de tratamento de dados de crianças e adolescentes;
  • diretrizes e formulários publicados pela ANPD; e
  • instituição do Comitê de Governança Digital da ANPD.
• publicação do regulamento de Dosimetria e Aplicação de Sanções Administrativas em fevereiro de 2023;
• publicação da lista de processos administrativos sancionatórios em andamento em março de 2023;
• aplicação da primeira sanção pela ANPD em julho de 2023;
• publicação do Regulamento de Comunicação de Incidente de Segurança em abril de 2024;
• publicação do Regulamento sobre atuação do encarregado pelo tratamento de dados pessoais em julho de 2024.

Diante disso, o presente material tratará sobre as principais alterações observadas nos últimos anos, bem como as expectativas para este e os próximos anos.

2. Proteção de Dados como Direito Fundamental

Em 10 de fevereiro de 2022, entrou em vigor a Emenda Constitucional nº 115/2022, que incluiu a proteção de dados entre as garantias e direitos fundamentais previstos na Constituição Federal.

Entre os benefícios desta mudança, destaca-se que o Senado Federal e a Câmara dos Deputados terão competência exclusiva para legislar sobre questões de privacidade e proteção de dados no Brasil.

Manter a jurisdição no nível federal beneficiará o ecossistema de proteção de dados com uma maior uniformidade e os próprios indivíduos, que se beneficiarão do status de proteção de dados como um direito e garantia fundamental previsto pela Constituição Federal.

3. Autoridade Nacional de Proteção de Dados (“ANPD”)

• Atuação da ANPD

Nos primeiros anos de sua criação, a ANPD se concentrou na criação de um sistema de regulação ágil, estabelecendo acordos de cooperação com outras entidades governamentais e ações educativas. Em contrapartida, o Ministério Público, as agências reguladoras, as agências de defesa do consumidor e os tribunais têm atuado ativamente na aplicação da LGPD e das leis setoriais de proteção de dados nos níveis administrativo e judicial.

A ANPD firmou parceria com a Secretaria Nacional do Consumidor (“Senacon”), a Agência de Defesa Econômica (“CADE”), o Comitê Gestor da Internet (via “NIC.br”), o Tribunal Superior Eleitoral (“TSE”) e outras entidades nacionais e internacionais para fins de cooperação.

A atuação fiscalizatória da Autoridade se iniciou em outubro de 2021, quando a ANPD regulamentou os procedimentos de fiscalização e aplicação de sanções administrativas por meio da Resolução CD/ANPD nº1. Já em fevereiro de 2023, a ANPD publicou a Resolução CD/ANPD nº 4, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.

Com o processo de fiscalização e dosimetria de pena devidamente regulamentados, a ANPD divulgou a lista de processos administrativos sancionatórios que estavam sendo investigados pela Coordenação-Geral de Fiscalização (CGF) no início de 2023, e aplicou sua primeira sanção em julho de 2023. A sanção foi aplicada a uma microempresa da área de call center e telemarketing, a Telekall Infoservice, e foi constituída de advertência e multa de R$ 14.400,00 pela infração dos arts. 7º e 41 da LGPD, e do art. 5º do Regulamento de Fiscalização da ANPD (Processo nº261.000489/2022-62).

• Independência da ANPD

A ANPD foi inicialmente criada sob a estrutura administrativa da Presidência da República. Em razão disso, apesar de, tecnicamente, ser independente desde sua criação, sua independência plena apenas foi alcançada após a publicação da Medida Provisóra nº 1.124, em 13 de junho de 2022, convertida na Lei nº 14.460/2022, que modificou a estrutura da ANPD para torná-la uma autarquia de natureza especial.

Com a mudança, a Autoridade manteve sua autonomia técnica e decisória em relação à administração pública direta e sua gestão administrativa e financeira descentralizadas.

A nova lei também previu alterações estruturais para viabilizar o funcionamento da Autoridade em seu novo formato, como regras para requisição de pessoal, transferência de patrimônio e de pessoal de outros órgãos ou entidades da administração pública.

• Ações Regulatórias da ANPD 2021-2024

 No início de 2021, a ANPD publicou seu plano estratégico e propôs agenda regulatória para 2021-2022, com o objetivo de mapear e determinar as ações regulatórias prioritárias da Autoridade. A LGPD ainda possui muitas questões a serem regulamentadas, algumas das quais estão incluídos na agenda regulatória.

A ANPD aplicou um regime de regulação responsiva em que qualquer regulamentação deve vir após (a) uma tomada de subsídios aberta ou audiência pública, na qual as entidades podem apresentar aspectos importantes a serem observados e regulamentados, e (b) uma consulta pública aberta, na qual as entidades podem criticar o projeto de regulamento proposto pela ANPD. Essa abordagem resultou em muitas contribuições, tomadas de subsídio e audiências públicas realizadas nos anos de 2021 e 2022, apesar de ainda não terem sido publicadas muitas resoluções neste período.

Já no início de 2023, a ANPD instituiu o Comitê de Governança Digital da ANPD, ao qual cabe deliberar sobre como serão estruturadas as ações técnicas voltadas aos serviços a serem prestados de forma digital pelo governo.

• Resoluções e Enunciados publicados pela ANPD

Durante o biênio 2021-2022, a ANPD publicou as Resoluções nº 1 e nº 2, que traziam esclarecimentos em relação à interpretação da LGPD.

Já em 2023, foi publicada a Resolução nº 3, que deliberou a respeito da criação Comitê de Governança Digital da ANPD, a Resolução CD/ANPD nº 4, que regulamentou a Dosimetria e Aplicação de Sanções Administrativas, bem como as Resoluções CD/ANPD nº 5 e nº 6, que aprovavaram a agenda de Avaliação de Resultado Regulatório e instituiram o programa de Gestão e Desempenho no âmbito da ANPD, respectivamente. A ANPD divulgou, ainda, o Enunciado CD/ANPD nº 1, relacionado ao tratamento de dados pessoais de crianças e adolescentes à luz da LGPD.

No segundo semestre de 2023, foram publicadas as Resoluções nº 7,8 e 9, que deliberaram sobre a Política de Comunicação Social, Política de Governança de Processos e Aviso de Privacidade do sítio eletrônico da ANPD, respctivamente. Por fim, ainda em 2023, foram publicadas as Resoluções nº 10 e 11, aprovando o Mapa de temas prioritários para o biênio 2024-2025 e a alteração da agenda regulatória para o biênio de 2023-2024.

Em 09 de abril de 2024, a ANPD publicou as Resoluções nº 12, 13 e 14, que instituíram, respectivamente, o Programa de Integridade; a comissão de Integridade, Transparência e Acesso à Informação; e a Metodologia de Governança de Processos da ANPD. Ainda em abril, foi publicada também a Resolução CD/ANPD nº 15, regulamentando a Comunicação de Incidentes de Segurança.

Posteriormente, foram publicadas as Resoluções nº 16 e 17, que tratam da aprovação do Planejamento Estratégico Institucional e da Instituição do Sistema Eletrônico de Informações (SEI). Além disso, em julho de 2024, foi publicada a Resolução CD/ANPD nº 18, contendo o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais.

Abaixo detalhamos brevemente o conteúdo de cada regulamentação:

• Resolução CD/ANPD nº 01: Publicada em 28 de outubro de 2021, a Resolução CD/ANPD nº 1 regulamenta os procedimentos de fiscalização e aplicação de sanções administrativas pela ANPD, incluindo atividades de fiscalização (art. 18), atividades de orientação (art. 27) , medidas preventivas (art. 30.º) e actividades repressivas (art. 37º). Dentre esses tópicos, destaca-se a possibilidade de os agentes processuais apresentarem proposta de acordo após a instauração do processo sancionatório. A Resolução informa, ainda, os critérios para aplicação de sanções, que aguarda publicação pela ANPD.

• Resolução CD/ANPD nº 2: Publicada em 27 de janeiro de 2022, a Resolução CD/ANPD nº 2 facilita o cumprimento da LGPD, reduzindo o número de obrigações aplicadas às empresas de pequeno porte, startups (conforme definido na Lei Complementar nº 182/2021 – “Lei das Startups”), pessoas jurídicas com ou sem fins lucrativos, bem como pessoas físicas e jurídicas privadas despersonalizadas (“Agentes de Tratamento de Pequeno Porte“). A resolução não se aplica a Agentes de Tratamento de Pequeno Porte que realizam atividades de tratamento de alto risco. Uma atividade de tratamento é considerada de alto risco quando atende a pelo menos um critério geral (por exemplo, grande escala) e um específico (por exemplo, uso de novas tecnologias, vigilância, etc.), conforme definido no regulamento.

• Resolução CD/ANPD nº 3: Publicada em 25 de janeiro de 2023, a Resolução CD/ANPD nº 3 institiuiu o Comitê de Governança Digital da ANPD, que será um órgão de caráter permanente. O comitê se reunirá trimestralmente para deliberar sobre assuntos relativos à implementação de ações de governança digital e uso de recursos de tecnologia da informação e comunicação no âmbito da ANPD. A resolução possui efeitos administrativos internos, de modo que não cria ou estabele obrigações para os titulares de dados pessoais, para as empresas ou para outros órgãos públicos.

• Resolução CD/ANPD nº 4: Publicada em 27 de fevereiro de 2023, a Resolulção CD/ANPD nº 4 traz o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, também conhecido por “norma da dosimetria”, que trata da atuação sancionadora da Autoridade e reforça a sua atividade fiscalizatória. O referido regulamento é requisito previsto no art. 53 da LGPD e tem como objetivo principal estabelecer critérios, parâmetros e métodos para a aplicação de sanções pecuniárias e não pecuniárias aplicadas pela ANPD em caso de descumprimento das regras da LGPD, bem como formas e dosimetrias que possibilitam o cálculo do valor-base das multas.

• Resolução CD/ANPD nº 5: Publicada em 14 de março de 2023, a Resolução aprova a Agenda de Avaliação de Resultado Regulatório (“ARR”) para o período de 2023 a 2026. A Agenda de Avaliação de Resultado Regulatório é um instrumento de planejamento que visa conferir maior previsibilidade e transparência para a atividade regulatória da ANPD. A agenda aprovada indica que até dezembro de 2026 será feita a avaliação das resoluções relacionadas à Fiscalização e Processo Administrativo Sancionador no âmbito da ANPD (Resolução CD/ANPD nº 1) e à Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD nº 4).

• Resolução CD/ANPD nº 6: Publicada em 5 de abril de 2023, essa resolução tem como objetivo instituir o Programa de Gestão e Desempenho no âmbito da ANPD e determina indicadores de gestão para promover o resultado de desempenho esperado para a agência.

• Enunciado CD/ANPD nº 1: Publicado em 24 de maio de 2023, o enunciado traz diretrizes impotantes sobre o tratamento de dados de crianças e adolescentes, ao permitir que o tratamento de dados deste grupo seja justificado pelas bases legais previstas nos artigos 7 e 11 da LGPD, desde que observado o melhor interesse da criança ou adolescente, nos termosconforme do artigo 14 da LGPD.

• Resolução CD/ANPD nº 7: Publicada em 17 de agosto de 2023, essa resolução tem como objetivo instituir a Política de Comunicação Social da Autoridade Nacional de Proteção de Dados e determina princípios e diretrizes que devem ser observados pela ANPD em suas comunicações.

• Resolução CD/ANPD nº 8: Publicada em 05 de setembro de 2023, a Resolução institui a Política de Governança de Processos da Autoridade Nacional de Proteção de Dados (ANPD), que traz os princípios, as diretrizes, os objetivos, os instrumentos, a estrutura e as responsabilidades relativos à Governança de Processos no âmbito das unidades organizacionais da Autoridade.

• Resolução CD/ANPD nº 9: Publicada em 24 de outubro de 2023, aprovou o Aviso de privacidade disponibilizado no site da ANPD.

• Resolução CD/ANPD nº 10: Publicada em 05 de dezembro de 2023, a Resolução aprovou o o Mapa de Temas Prioritários para o biênio 2024-2025 e a periodicidade bianual do Ciclo de Monitoramento.

• Resolução CD/ANPD nº 11: Publicada em 27 de dezembro de 2024, a Resolução alterou a agenda do biênio 2023-2024, alterando as prioridades dos temas regulatórios.

• Resolução CD/ANPD nº 12: Publicada em 09 de abril de 2024, instituiu o Programa de Integridade da ANPD, com o objetivo de promover a conformidade de condutas, a transparência, a priorização do interesse público e uma cultura organizacional voltada à entrega de valor público à sociedade.

• Resolução CD/ANPD nº 13: Publicada em 09 de abril de 2024, instituiu a Comissão de Integridade, Transparência e Acesso à Informação da Autoridade Nacional de Proteção de Dados (ANPD), órgão de caráter permanente, responsável pela atuação em todos os temas que envolvam integridade.

• Resolução CD/ANPD nº 14: Publicada em 09 de abril de 2024, instituindo a metodologia de governança de processos, de modo a complementar a política anteriormente aprovada.

• Resolução CD/ANPD nº 15: Publicada em 24 de abril de 2024, regulamentou a comunicação de incidentes de segurança. Destaca-se o prazo de três dias úteis para comunicação do incidente à ANPD, a obrigatoriedade do registro do ocorrido e os critérios para comunicação.

• Resolução CD/ANPD nº 16: Publicada em 07 de maio de 2024, a Resolução aprovou o Planejamento Estratégico Institucional da Autoridade, contemplando referencial e diretrizes estratégicas.

• Resolução CD/ANPD nº 17: Publicada em 22 de maio de 2024, instituiu a adoção do Sistema Eletrônico de Informações (SEI) na ANPD.

• Resolução CD/ANPD nº 18: Publicada em 27 de julho de 2024, regulamentou a atuação do encarregado pelo tratamento de dados pessoais. Destaca-se: indicação de requisitos formais para a nomeação do DPO, a possibilidade de que o DPO seja pessoa jurídica e o acréscimo expresso de outras atribuições ao DPO.

• Diretrizes da ANPD

Além das ações regulatórias destacadas acima, a ANPD também publicou as seguintes diretrizes:

• Diretrizes sobre a definição de controlador, operador e responsável pela proteção de dados;
• Diretrizes sobre segurança da informação para organizações de pequeno e médio porte;
• Estudo técnico sobre tratamento de dados para fins acadêmicos e de pesquisa;
• Orientações sobre a aplicação da LGPD nas eleições;
• Orientações sobre o tratamento de dados pessoais por entidades governamentais;
• Guia oritentativo sobre a proteção de dados pessoais por agentes de tratamento de pequeno porte;
• Os fascículos Vazamento de Dados e Proteção de Dados para a Cartilha de Segurança para a Internet;
• Guia orientativo sobre a base legal do legítimo interesse;
• Publicação sobre biometria e reconhecimento facial.

Da lista acima, merece destaque as diretrizes sobre a definição de controlador, operador e encarregado (“DPO”), que esclarece como definir o controlador, incluindo controladores conjuntos e independentes, operador, suboperador e DPO. As definições estabelecidas pela ANPD estão geralmente alinhadas com os conceitos de controladores e operadores definidos no Regulamento Geral de Proteção de Dados (“GDPR”) da União Europeia.

Merece destaque, ainda, a divulgação do formulário para envio de Comunicados de Incidentes de Segurança, pela Coordenação-Geral de Fiscalização da ANPD, em dezembro de 2022. O documento deve ser utilizado pelos controladores de dados pessoais para reportar eventuais incidentes de segurança para a ANPD. O formulário está disponível no site da ANPD e passou a ser implementado em 2023, com o objetivo de facilitar o registro de comunicações pelos controladores e a respectiva análise pela ANPD.

4. Perspectivas para o Cenário de Privacidade no Brasil em 2024

A ANPD já propôs várias ações para regulamentar questões em aberto na LGPD e estabelecer a Autoridade como uma entidade governamental totalmente independente. No entanto, ainda existe um longo caminho a ser percorrido.

Com base na agenda regulatória publicada pela ANPD para o biênio 2023-2024, podemos esperar a discussão de diversos temas importantes ainda neste ano, tais como a regulamentação sobre os direitos dos titulares de dados e a regulamentação da transferência internacional de dados pessoais.

É esperado, com base nas resoluções e diretrizes já emitidas pela ANPD nos últimos anos, que a Autoridade continue a alinhar as regras gerais de privacidade e proteção de dados do Brasil com as normas internacionais.

Por fim, com a primeira sanção aplicada, e diversos processos de fiscalização em andamento, é esperado que a ANPD aumente o número de ações de fiscalização e imposição de multas de forma gradual nos próximos anos.