Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), muito foi discutido pelos juristas acerca das possíveis sanções aplicáveis aos agentes de tratamento nos casos de violação às normas e, por consequência, sobre o procedimento a ser adotado pela Agência Nacional de Proteção de Dados – ANPD, considerando a omissão legislativa que até então prevalecia em relação ao artigo 53 da legislação.
Considerando tratar-se de um dos elementos mais importantes da lei, a ANPD publicou em 29 outubro de 2021, a sua primeira resolução, com o objetivo de aprovar o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da própria autoridade, abordando novas definições, deveres, procedimentos e demais detalhes acerca das sanções mencionadas na LGPD.
Desta forma, importante ressaltar as atividades a serem realizadas pela ANPD, definidas pelo artigo 15 do Regulamento, podendo estas serem de monitoramento, orientação, prevenção e repressão, estabelecidas da seguinte maneira:
• Atividade de monitoramento: levantamento de informações e dados relevantes para subsidiar a tomada de decisões da ANPD;
• Atividade de orientação: promoção da conscientização e educação dos agentes de tratamento e titulares de dados pessoais sobre a proteção de dados;
• Atividade preventiva: atuação voltada à evitação ou remediação de situações passíveis de risco ou dano aos titulares de dados pessoais e demais agentes de tratamento;
• Atividade repressiva: ações coercitivas da autoridade, visando a interrupção de irregularidades e punição dos responsáveis.
Além disso, destaca-se o artigo 5º, o qual expressa os deveres dos agentes regulados, definidos no documento como os agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais, e apresenta um rol exemplificativo, não se restringindo apenas aos incisos. Para tanto, é imprescindível observar que os agentes regulados possuem, ao menos, os seguintes deveres :
• fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação nas condições estabelecidas pela ANPD;
• permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;
• possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;
• submeter-se a auditorias realizadas ou determinadas pela ANPD;
• manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica e durante todo o prazo de tramitação de processos administrativos;
• disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.
Dentre as atividades da ANPD mencionadas, um dos pontos mais relevantes extraídos do documento é a determinação do início do ciclo de monitoramento, cujo início ocorre no mês de janeiro de 2022.
Este procedimento adotado pela autoridade será dividido em períodos anuais com o objetivo de planejar a atuação fiscalizatória, bem como analisar a conformidade em relação à lei, atuar preventivamente nas práticas irregulares, fomentar a cultura de proteção de dados pessoais, e reparação ou minimização de eventuais danos.
Ainda, cabe destacar a inovação abrangida pelo quarto inciso do artigo 4° deste diploma que, dentre as definições abordadas, surge com o termo obstrução à atividade de fiscalização, que muito é mencionada no decorrer do texto e entende-se por: “ato, comissivo ou omissivo, direto ou indireto, da fiscalização ou de seus pressupostos, que impeça, dificulte ou embarace a atividade de fiscalização exercida pela ANPD, mediante o oferecimento de entrave à situação dos agentes, a recusa no atendimento, e o não envio ou envio intempestivo de quaisquer dados e informações pertinentes à obrigação do agente regulado”.
Observa-se, portanto, um importante desenvolvimento da norma, que formaliza a necessidade de atender adequadamente as práticas previstas pela LGPD e que até então careciam de norma específica.
Assim, a partir das definições das atividades, a ANPD possui o devido respaldo para realizar a sua atuação e todos os agentes envolvidos no ciclo de fiscalização estão cientes quanto ao que devem esperar da autoridade.
Observa-se, portanto, que a Resolução CD/ANPD Nº 1 é categórica em relação às aguardadas definições e procedimentos e o conhecimento de seus termos é basilar àqueles que se preocupam em estar em conformidade com a LGPD e com as boas práticas de proteção de dados.
Sendo assim, cabe aos agentes de tratamento a observância das diretrizes trazidas pelo Regulamento, bem como a efetiva implementação de seus Sistemas de Privacidade e Proteção de Dados, para fins de passar adequadamente no ciclo de monitoramento e fiscalização da autoridade.