Criado o Regimento Interno da Autoridade Nacional de Proteção de Dados (ANPD)

11.03.2021 – Em 08 de março de 2021, finalmente foi publicada a Portaria nº 1, com o Regimento Interno da Autoridade Nacional de Proteção de Dados (ANPD), aprovado por seu Conselho Diretor. A ANPD é dotada de autonomia técnica e decisória, com jurisdição no território nacional, possuindo sua sede e foro no Distrito Federal, tendo por finalidade proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A partir de então, ficou estabelecido que a ANPD passa a ter a seguinte estrutura:

1. Conselho Diretor, formado por 5 diretores, incluindo o Diretor-Presidente;

2. Órgão Consultivo: Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;

3. Órgãos de assistência direta e imediata ao Conselho Diretor: a) Secretaria-Geral; b) Coordenação-Geral de Administração; e c) Coordenação-Geral de Relações Institucionais e Internacionais;

4. Órgãos seccionais: a) Corregedoria; b) Ouvidoria; e c) Assessoria Jurídica; e

5. Órgãos específicos singulares: a) Coordenação-Geral de Normatização; b) Coordenação-Geral de Fiscalização; e c) Coordenação-Geral de Tecnologia e Pesquisa.

Ficou estabelecido que a ANPD manifestar-se-á por meio dos seguintes instrumentos, dentre outros:

1. Resolução: expressa decisão quanto ao provimento normativo de competência da ANPD;

2. Enunciado: expressa decisão quanto à interpretação da legislação de proteção de dados pessoais e fixa entendimento sobre matérias de competência da ANPD, com efeito vinculativo à Autoridade;

3. Despacho Decisório: expressa decisão sobre matérias não abrangidas pelos demais instrumentos deliberativos previstos neste artigo;

4. Ata de Deliberação: registra as deliberações tomadas pelo Conselho Diretor, a partir dos votos de seus Diretores, em Reuniões e Circuitos Deliberativos;

5. Consulta Pública: expressa decisão que submete proposta de ato normativo, documento ou assunto a críticas e sugestões do público em geral;

6. Portaria: é o ato administrativo que dispõe sobre matéria relativa à gestão administrativa e ao funcionamento das unidades da ANPD.

Conselho Diretor

O Regimento Interno estabelece as competências do Conselho Diretor, listadas abaixo:

1. Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na Lei nº 13.709, de 2018;

2. Dispor sobre: a) os padrões e as técnicas utilizados em processos de anonimização e verificar a sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; b) as formas de publicidade das operações de tratamento de dados realizadas por pessoas jurídicas de direito público; c) os padrões de interoperabilidade para fins de portabilidade, o livre acesso aos dados, a segurança dos dados e o tempo de guarda dos registros, consideradas a necessidade e a transparência; e d) os padrões mínimos para a adoção de medidas de segurança, técnicas e administrativas de proteção de dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, ressalvadas as competências de que trata o art. 10, caput, incisos IV e V, da Lei nº 13.844, de 18 de junho de 2019;

3. Deliberar sobre: a) os requerimentos encaminhados à ANPD sobre o nível de proteção de dados pessoais conferido por outro País ou por organismo internacional; e b) a adequação do nível de proteção de dados de país estrangeiro ou organismo internacional ao disposto na Lei n. 13.709, de 2018.

4. Definir o conteúdo de cláusulas-padrão contratuais, bem como verificar cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 da Lei nº 13.709, de 2018;

5. Designar ou revogar a designação de organismos de certificação para a verificação da permissão para a transferência de dados internacional;

6. Rever atos realizados por organismos de certificação designados pela ANPD e, na hipótese de descumprimento das disposições da Lei nº 13.709, de 2018, propor sua revisão ou anulação conforme regulamento;

7. Reconhecer regras de boas práticas e de governança relacionadas ao tratamento de dados pessoais;

8. Reexaminar as sanções administrativas previstas no art. 52 da Lei nº 13.709, de 2018, aplicadas pela Coordenação-Geral de Fiscalização, conforme ato normativo;

9. Deliberar, na esfera administrativa, em caráter terminativo, sobre a Lei nº 13.709, de 2018, as suas competências e os casos omissos, sem prejuízo da competência da Advocacia-Geral da União estabelecida pela Lei Complementar nº 73, de 10 de fevereiro de 1993;

10. Aprovar os relatórios de gestão anuais acerca das atividades da ANPD;

11. Aprovar, avaliar e monitorar o planejamento estratégico, a agenda regulatória, bem como instituir o programa de integridade da ANPD;

12. Aprovar o Regimento Interno da ANPD; e

13. Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942.

É importante salientar que as deliberações do Conselho Diretor serão tomadas em Reuniões Deliberativas ou Circuitos Deliberativos, por maioria simples, estando presente a maioria absoluta de seus membros, ou seja, 50% + 1 dos presentes decidem em favor de uma causa, desde que ao menos 3 dos 5 diretores estejam presentes na reunião.

Já as matérias serão encaminhadas para os diretores por sorteio.

Coordenação-Geral de Fiscalização

Dentre todos os órgãos que formam a estrutura da ANPD, certamente um dos órgãos mais prestigiados é a Coordenação-Geral de Fiscalização, cujas competências encontram-se listadas a seguir:

1. Fiscalizar e aplicar as sanções previstas no artigo 52 da Lei nº 13.709, de 2018, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

2. Proferir decisão em primeira instância nos processos administrativos sancionadores da ANPD;

3. Promover ações de fiscalização sobre as ações de tratamento de dados pessoais efetuadas pelos agentes de tratamento, incluído o Poder Público;

4. Realizar auditorias, ou determinar sua realização, no âmbito das ações de fiscalização, assim como para a verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais, na hipótese de não atendimento ao disposto no § 1º do art. 20 da Lei nº 13.709, de 2018;

5. Propor a adoção de medidas preventivas e a fixação do valor da multa diária pelo seu descumprimento;

6. Solicitar manifestação dos órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental na hipótese do artigo 52, §6º, da Lei nº 13.709, de 2018, observado o prazo de prescrição aplicável e a celeridade e a eficiência do processo sancionador;

7. Receber as notificações de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares e dar o tratamento necessário;

8. Solicitar, a qualquer momento, aos órgãos e às entidades do Poder Público que realizam operações de tratamento de dados pessoais, as informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;

9. Requisitar aos agentes de tratamento de dados a apresentação de Relatório de Impacto à Proteção de Dados Pessoais;

10. Realizar, com o auxílio da Coordenação-Geral de Tecnologia e Pesquisa, verificações acerca da segurança de padrões e técnicas utilizados em processos de anonimização;

11. Realizar diligências e produzir provas pertinentes nos autos do processo administrativo, na forma da Lei nº 13.709, de 2018;

12. Fiscalizar organismos de certificação para a verificação da permissão para a transferência de dados internacional;

13. Rever atos realizados por organismos de certificação e, na hipótese de descumprimento das disposições da Lei nº 13.709, de 2018, propor sua anulação;

14. Requisitar aos agentes de tratamento de dados informações suplementares e realizar diligências de verificação quanto às operações de tratamento, no contexto da aprovação de transferências internacionais de dados;

15. Propor a celebração, a qualquer momento, de compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;

16. Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;

17. Comunicar aos órgãos de controle interno o descumprimento do disposto na Lei n° 13.709, de 2018, por órgãos e entidades da administração pública federal;

18. Promover a articulação da ANPD com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, com vistas à efetiva execução das atividades de fiscalização e de sancionamento, observado o inciso II do § 6º, do art. 52 da Lei n° 13.709, de 2018;

19. Fornecer subsídios à Coordenação-Geral de Normatização para a definição das metodologias que orientarão o cálculo do valor-base das sanções de multa previstas na Lei nº 13.709, de 2018, assim como para a elaboração de outras normas e instrumentos relacionados às atividades de fiscalização e de sancionamento;

20. Zelar para que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos da Lei nº 13.709, de 2018, e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);

21. Zelar pela observância dos segredos comercial e industrial, observada a proteção dos dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º, da Lei nº 13.709, de 2018;

22. Determinar ao controlador de dados pessoais a adoção de providências para a salvaguarda dos direitos dos titulares, a partir da verificação da gravidade de incidentes de segurança, sem prejuízo da aplicação de correspondente sanção;

23. Propor informe com medidas cabíveis para fazer cessar violações às disposições da Lei nº 13.709, de 2018, por órgãos públicos;

24. Solicitar a agentes públicos a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público;

25. Promover ações educativas em alinhamento com a Coordenação-Geral de Normatização; e

26. Receber e apreciar petições de titulares de dados pessoais apresentados à ANPD contra o controlador, conforme estabelecido em regulamento.