Série Privacidade e Proteção de Dados nº7: Panorama regulatório

1. Introdução

Desde a entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”), em setembro de 2020, foram observados  diversos avanços na legislação brasileira de privacidade e proteção de dados.

Dentre as principais progressões e desenvolvimentos, destaca-se:

• o reconhecimento da proteção de dados como direito fundamental previsto pela Constituição Federal do Brasil;
• a mudança estrutural na Autoridade Nacional de Proteção de Dados (“ANPD”), que passou de órgão subordinado à Presidência da República para uma autarquia de natureza especial;
• divulgação das agendas regulatórias para 2021-2022 e 2023-2024 propostas pela ANPD, realização de audiências públicas e publicação de resoluções envolvendo os seguintes temas:
  • Estrutura da ANPD;
  • Regulamentação sobre os procedimentos de fiscalização, aplicação de sanções administrativas e cálculo de sanções;
  • Requisitos flexíveis para pequenas e médias organizações, startups e indivíduos;
  • Direitos dos titulares de dados;
  • Prazo e mecanismos para a comunicação de incidentes;
  • Avaliação do impacto da proteção de dados;
  • Encarregado de Proteção de Dados;
  • Transferência internacional de dados;
  • Hipóteses legais de tratamento de dados pessoais;
  • Hipóteses legais de tratamento de dados de crianças e adolescentes;
  • Diretrizes e formulários publicados pela ANPD; e
  • Instituição do Comitê de Governança Digital da ANPD.
• publicação do regulamento de Dosimetria e Aplicação de Sanções Administrativas em fevereiro de 2023;
• publicação da lista de processos administrativos sancionatórios em andamento em março de 2023;
• aplicação da primeira sanção pela ANPD em julho de 2023.

Diante disso, o presente material tratará sobre as principais alterações observadas nos últimos anos, bem como as expectativas para este e os próximos anos.

2. Proteção de Dados como Direito Fundamental

Em 10 de fevereiro de 2022, entrou em vigor a Emenda Constitucional nº 115/2022, que incluiu a proteção de dados entre as garantias e direitos fundamentais previstos na Constituição Federal.

Entre os benefícios desta mudança, destaca-se que o Senado Federal e a Câmara dos Deputados terão competência exclusiva para legislar sobre questões de privacidade e proteção de dados no Brasil.

Manter a jurisdição no nível federal beneficiará o ecossistema de proteção de dados com uma maior uniformidade e os próprios indivíduos, que se beneficiarão do status de proteção de dados como um direito e garantia fundamental previsto pela Constituição Federal.

3. Autoridade Nacional de Proteção de Dados (“ANPD”)

• Atuação da ANPD

Embora o cenário regulatório sobre privacidade e proteção de dados continue em constante evolução, a ANPD ainda não tem atuado na aplicação da LGPD na prática.

Nos primeiros anos de sua criação, a ANPD se concentrou na criação de um sistema de regulação ágil, estabelecendo acordos de cooperação com outras entidades governamentais e ações educativas. Em contrapartida, o Ministério Público, as agências reguladoras, as agências de defesa do consumidor e os tribunais têm atuado ativamente na aplicação da LGPD e das leis setoriais de proteção de dados nos níveis administrativo e judicial.

A ANPD firmou parceria com a Secretaria Nacional do Consumidor (“Senacon”), a Agência de Defesa Econômica (“CADE”), o Comitê Gestor da Internet (via “NIC.br”), o Tribunal Superior Eleitoral (“TSE”) e outras entidades nacionais e internacionais para fins de cooperação.

Com a edição da Resolução CD/ANPD nº 01, que regulamenta os procedimentos de fiscalização e aplicação de sanções administrativas pela ANPD, há um a expectativa que a Autoridade aumente o número de ações de fiscalização e comece a aplicar multas a partir de 2023.

• Independência da ANPD

A ANPD foi inicialmente criada sob a estrutura administrativa da Presidência da República. Em razão disso, apesar de, tecnicamente, ser independente desde sua criação, sua independência plena apenas foi alcançada após a publicação da Medida Provisóra nº 1.124, em 13 de junho de 2022, convertida na Lei nº 14.460/2022, que modificou a estrutura da ANPD para torná-la uma autarquia de natureza especial.

Com a mudança, a Autoridade manteve sua autonomia técnica e decisória em relação à administração pública direta e sua gestão administrativa e financeira descentralizadas.

A nova lei também previu alterações estruturais para viabilizar o funcionamento da Autoridade em seu novo formato, como regras para requisição de pessoal, transferência de patrimônio e de pessoal de outros órgãos ou entidades da administração pública.

• Ações Regulatórias da ANPD 2021-2022

No início de 2021, a ANPD publicou seu plano estratégico e propôs agenda regulatória para 2021-2022, com o objetivo de mapear e determinar as ações regulatórias prioritárias da Autoridade. A LGPD ainda possui muitas questões a serem regulamentadas, algumas das quais estão incluídos na agenda regulatória.

A ANPD aplicou um regime de regulação responsiva em que qualquer regulamentação deve vir após (a) uma tomada de subsídios aberta ou audiência pública, na qual as entidades podem apresentar aspectos importantes a serem observados e regulamentados, e (b) uma consulta pública aberta, na qual as entidades podem criticar o projeto de regulamento proposto pela ANPD. Essa abordagem resultou em muitas contribuições, tomadas de subsídio e audiências públicas realizadas nos anos de 2021 e 2022, apesar de ainda não terem sido publicados muitas resoluções[1].

Já no início de 2023, a ANPD instituiu o Comitê de Governança Digital da ANPD, ao qual caberá deliberar sobre como serão estruturadas as ações técnicas voltadas aos serviços a serem prestados de forma digital pelo governo.

Elencamos abaixo os principais temas discutidos pela ANPD entre 2021 e março de 2023:

(para conferir a tabela, clique no link e seja encaminhado para a cartilha)

• Resoluções publicadas pela ANPD

Durante o biênio 2021-2022, a ANPD publicou as Resoluções nº 1 e nº 2, que traziam esclarecimentos em relação à interpretação da LGPD.  Já no início de 2023 foi publicada a Resolução nº 3, que deliberou a respeito da criação Comitê de Governança Digital da ANPD, bem como a Resolução CD/ANPD nº 4 que regulamentou a Dosimetria e Aplicação de Sanções AdministrativasAbaixo detalhamos brevemente o conteúdo de cada resolução:

• Resolução CD/ANPD nº 01: Publicada em 28 de outubro de 2021, a Resolução CD/ANPD nº 1 regulamenta os procedimentos de fiscalização e aplicação de sanções administrativas pela ANPD, incluindo atividades de fiscalização (art. 18), atividades de orientação (art. 27) , medidas preventivas (art. 30.º) e actividades repressivas (art. 37º). Dentre esses tópicos, destaca-se a possibilidade de os agentes processuais apresentarem proposta de acordo após a instauração do processo sancionatório. A Resolução informa, ainda, os critérios para aplicação de sanções, que aguarda publicação pela ANPD.

• Resolução CD/ANPD nº 2: Publicada em 27 de janeiro de 2022, a Resolução CD/ANPD nº 2 facilita o cumprimento da LGPD, reduzindo o número de obrigações aplicadas às empresas de pequeno porte, startups (conforme definido na Lei Complementar nº 182/2021 – “Lei das Startups”), pessoas jurídicas com ou sem fins lucrativos, bem como pessoas físicas e jurídicas privadas despersonalizadas (“Agentes de Tratamento de Pequeno Porte“). A resolução não se aplica a Agentes de Tratamento de Pequeno Porte que realizam atividades de tratamento de alto risco. Uma atividade de tratamento é considerada de alto risco quando atende a pelo menos um critério geral (por exemplo, grande escala) e um específico (por exemplo, uso de novas tecnologias, vigilância, etc.), conforme definido no regulamento.

• Resolução CD/ANPD nº 3: Publicada em 25 de janeiro de 2023, a Resolução CD/ANPD nº 3 institiuiu o Comitê de Governança Digital da ANPD, que será um órgão de caráter permanente. O comitê se reunirá trimestralmente para deliberar sobre assuntos relativos à implementação de ações de governança digital e uso de recursos de tecnologia da informação e comunicação no âmbito da ANPD. A resolução possui efeitos administrativos internos, de modo que não cria ou estabele obrigações para os titulares de dados pessoais, para as empresas ou para outros órgãos públicos.

• Resolução CD/ANPD nº 4: Publicada em 27 de fevereiro de 2023, a Resolulção CD/ANPD nº 4 traz o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, também conhecido por “norma da dosimetria”, que trata da atuação sancionadora da Autoridade e reforça a sua atividade fiscalizatória. O referido regulamento é requisito previsto no art. 53 da LGPD e tem como objetivo principal estabelecer critérios, parâmetros e métodos para a aplicação de sanções pecuniárias e não pecuniárias aplicadas pela ANPD em caso de descumprimento das regras da LGPD, bem como formas e dosimetrias que possibilitam o cálculo do valor-base das multas.

• Resolução CD/ANPD nº 5: Publicada em 14 de março de 2023, a Resolução aprova a Agenda de Avaliação de Resultado Regulatório (“ARR”) para o período de 2023 a 2026. A Agenda de Avaliação de Resultado Regulatório é um instrumento de planejamento que visa conferir maior previsibilidade e transparência para a atividade regulatória da ANPD. A agenda aprovada indica que até dezembro de 2026 será feita a avaliação das resoluções relacionadas à Fiscalização e Processo Administrativo Sancionador no âmbito da ANPD (Resolução CD/ANPD nº 1) e à Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD nº 4).

• Resolução CD/ANPD nº 6: Publicada em 5 de abril de 2023, essa resolução tem como objetivo instituir o Programa de Gestão e Desempenho no âmbito da ANPD e determina indicadores de gestão para promover o resultado de desempenho esperado para a agência.

• Enunciado CD/ANPD nº 1: Publicado em 24 de maio de 2023, o enunciado traz diretrizes impotantes sobre o tratamento de dados de crianças e adolescentes, ao permitir que o tratamento de dados deste grupo seja justificado pelas bases legais previstas nos artigos 7 e 11 da LGPD, desde que observado o melhor interesse da criança ou adolescente, nos termos conforme do artigo 14 da LGPD.

• Resolução CD/ANPD nº 7: A Resolução foi publicada em 17 de agosto de 2023 e aprova a Política de Comunicação Social no âmbito da Autoridade. Essa resolução traz os objetivos, as diretrizes e as normas que regem a política de comunicação da Autoridade, como instituição, para se comunicar com a sociedade, assegurando que as informações dispostas nos canais oficiais atendam aos interesses públicos e institucionais.

• Resolução CD/ANPD nº 8: A Resolução foi publicada em 5 de setembro de 2023 e institui a Política de Governança de Processo da Autoridade. Essa resolução estabelece os princípios, as diretrizes, os objetivos, os instrumentos, a estrutura e as responsabilidades relativas à Governança de Processos no âmbito das unidades organizacionais da ANPD.

• Diretrizes da ANPD:

Além das ações regulatórias destacadas acima, a ANPD também publicou as seguintes diretrizes durante os anos de 2021 e 2022:

• Diretrizes sobre a definição de controlador, operador e responsável pela proteção de dados;
• Diretrizes sobre segurança da informação para organizações de pequeno e médio porte;
• Diretrizes sobre proteção de dados e incidentes de segurança, produzidas com o Internet Steering Committee;
• Estudo técnico sobre tratamento de dados para fins acadêmicos e de pesquisa;
• Orientações sobre a aplicação da LGPD nas eleições;
• Orientações sobre o tratamento de dados pessoais por entidades governamentais.
• Estudo técnico de um sandbox regulatório para Inteligência Artificial.

Da lista acima, merece destaque as diretrizes sobre a definição de controlador, operador e engarregado (“DPO”), que esclarece como definir o controlador, incluindo controladores conjuntos e independentes, operador, suboperador e DPO. As definições estabelecidas pela ANPD estão geralmente alinhadas com os conceitos de controladores e operadores definidos no Regulamento Geral de Proteção de Dados (“GDPR”) da União Europeia.

Merece destaque, ainda, a divulgação do novo formulário para envio de Comunicados de Incidentes de Segurança, pela Coordenação-Geral de Fiscalização da ANPD, em dezembro de 2022. O documento deve ser utilizado pelos controladores de dados pessoais para reportar eventuais incidentes de segurança para a ANPD. O novo formulário está disponível no site da ANPD e passou a ser implementado a partir do dia primeiro de 2023, com o objetivo de facilitar o registro de comunicações pelos controladores e a respectiva análise pela ANPD.

4. O Cenário de Privacidade no Brasil em 2023 e as Perspectivas para 2024

A ANPD já propôs várias ações para regulamentar questões em aberto na LGPD e estabelecer a Autoridade como uma entidade governamental totalmente independente. No entanto, ainda existe um longo caminho a ser percorrido.

No primeiro semestre de 2023, diversas Resoluções foram publicadas, como as CD/ANPD nº 4, 5 e 6 e o Enunciado CD/ANPD nº 1. No entanto, há ainda diversos aspectos relevantes a serem discutidos e regulamentados ainda no ano de 2023, conforme a agenda regulatória.

No segundo semestre de 2023, a ANPD abriu consulta pública sobre a regulamentação de transferência internacional de dados. É um importante movimento da Autoridade para estar em equilíbrio com leis internacionais, mas ainda está para ser decidido e finalizado qual será o grau de proteção dos dados quando houver transferência internacional de dados pessoais.

Entrando nos últimos meses do ano de 2023, a ANPD também publicou análise sobre o Projeto de Lei de Inteligência Artificial, tentato, assim, tomar um protagonismo no assunto. Além disso, publicou estudo sobre a aplicação de sandbox regulatório pela própria Autoridade para contribuir com a regulação de tecnologias relacionadas a Inteligência Artificial.

Ainda, apesar de estar caminhando para o final do ano,om base na agenda regulatória publicada pela ANPD para o biênio 2023-2024, podemos esperar a discussão de diversos temas importantes ainda neste ano, tais como a, regulamentação sobre os direitos dos titulares de dados e a elaboração das diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade.

A expectativa é que em 2024 os temas que foram colocados em consulta pública neste ano sejam finalizados e devidamente regulamentaos pela Autoridade por meio de Enunciados e Resoluções, como as hipóteses de transferência internacional de dados pessoais. Além disso, espera-se que outros temas importantes sejam levados à consulta pública, como regulamentar as hipóteses em que a coleta de dados pessoais sensíveis – dados biométricos seja legítima.

É esperado, com base nas resoluções e diretrizes já emitidas pela ANPD nos últimos anos, que a Autoridade continue a alinhar as regras gerais de privacidade e proteção de dados do Brasil com as normas internacionais.

Por fim, com a primeira sanção aplicada, e diversos processos de fiscalização em andamento, é esperado que a ANPD aumente o número de ações de fiscalização e imposição de multas de forma gradual nos próximos anos.

compartilhe