Resolução CD/ANPD Nº 1, de 28 de Outubro de 2021

A partir de Janeiro de 2022, é dado início ao primeiro ciclo de monitoramento no âmbito da Autoridade Nacional de Proteção de Dados (ANPD), na forma prevista no Anexo à Resolução CD/ANPD nº 1/2021 , que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD.

Entre as disposições ora introduzidas, destacamos as seguintes:

a) objetivo: o Regulamento tem por objetivo estabelecer os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela ANPD;

b) quem está sujeito: às disposições previstas no Regulamento, bem como às disposições da Lei nº 9.784/1999, Lei Geral de Proteção de Dados Pessoais (LGPD), aplicam-se aos titulares de dados, aos agentes de tratamento, pessoas naturais ou jurídicas, de direito público ou privado e demais interessados no tratamento de dados pessoais, tais como:

b.1) pessoas naturais ou jurídicas, que o iniciem como titulares de direitos, com interesses individuais ou no exercício do direito de representação;

b.2) aqueles que, sem terem iniciado o processo, têm direitos ou interesses que possam ser afetados pela decisão a ser adotada;

b.3) as organizações e associações representativas, no tocante a direitos e interesses coletivos; e

b.4) as pessoas ou as associações legalmente constituídas quanto a direitos ou interesses difusos, incluindo as instituições acadêmicas;

c) fiscalização: a atividade de fiscalização da ANPD terá por finalidade monitorar, orientar, prevenir e reprimir as infrações à LGPD, observando-se que a aplicação de sanção ocorrerá em conformidade com a regulamentação específica, por meio de processo administrativo sancionador, na forma definida no Regulamento em referência;

d) deveres dos agentes regulados: os agentes regulados, assim considerados agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais, submetem-se à fiscalização da ANPD e têm os seguintes deveres, dentre outros:

d.1) fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;

d.2) permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;

d.3) possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;

d.4) submeter-se a auditorias realizadas ou determinadas pela ANPD;

d.5) manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e

d.6) disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto;

d.7) cabe ao agente regulado solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou a industrial;

d.8) os documentos apresentados sob a forma digitalizada deverão cumprir os requisitos estabelecidos pelo Decreto nº 10.278/2020 ;

d.9) o agente regulado, por intermédio de representante indicado, poderá acompanhar a auditoria da ANPD, ressalvados os casos em que a prévia notificação ou o acompanhamento presencial sejam incompatíveis com a natureza da apuração ou em que o sigilo seja necessário para garantir a sua eficácia;

e) obstrução à fiscalização: o descumprimento aos deveres supramencionados poderá caracterizar obstrução à atividade de fiscalização, sujeitando o infrator a medidas repressivas, sem prejuízo da adoção das medidas necessárias com o objetivo de concluir a ação de fiscalização obstruída por parte da ANPD;

f) Processo de fiscalização: a ANPD adotará atividades de monitoramento, de orientação e de prevenção no processo de fiscalização e poderá iniciar a atividade repressiva.

Para esse efeito, considera-se:

f.1) atividade de monitoramento: aquela destinada ao levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD com o fim de assegurar o regular funcionamento do ambiente regulado;

f.2) atividade de orientação: caracterizada pela atuação baseada na economicidade e na utilização de métodos e ferramentas que almejam a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais;

f.3) atividade preventiva: consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade ou a evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento;

f.4) atividade repressiva: caracterizada pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no art. 52 da LGPD (que vão desde uma simples advertência até multas de R$ 50.000.000,00, por infração), por meio de processo administrativo sancionador;

g) meio de atuação da fiscalização: no exercício de sua competência fiscalizatória, a ANPD poderá atuar:

g.1) de ofício;

g.2) em decorrência de programas periódicos de fiscalização;

g.3) de forma coordenada com órgãos e entidades públicos; ou

g.4) em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

No mais, a ANPD dispôs, de forma pormenorizada, sobre a atividade repressiva, do processo administrativo sancionador e suas fases, além de facultar ao Conselho Diretor a edição de Portaria a fim de estabelecer instruções complementares ao disposto no Regulamento em referência.

Resolução CD/ANPD nº 1/2021 DOU de 29.10.2021