Neste sábado, dia 28 de janeiro, comemoramos o Dia Internacional da Proteção de Dados, que tem como marco o dia em que foi aberta para assinatura, no ano de 1985, a Convenção 108 do Conselho da Europa, primeiro documento de direito internacional a abordar de forma expressa o tratamento de dados pessoais.
No Brasil, com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) iniciamos a criação de uma estrutura institucional à altura do direito autônomo à proteção de dados, com destaque para a Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável pelo enforcement da LGPD, tanto em face de órgãos e entidades públicas como de pessoas de direito privado – empresas, condomínios, ONGs etc.
2022 foi um ano de muitos avanços no desenvolvimento da cultura de proteção de dados no Brasil, especialmente pela atuação da ANPD. Então, neste Dia Internacional da Proteção de Dados, retomaremos as principais movimentações legislativas e regulatórias relacionadas à Autoridade do último ano e apresentaremos os temas mais relevantes em proteção de dados para os próximos meses, com base em sua agenda regulatória.
- Emenda à Constituição nº 115/22: elevou o direito à proteção de dados pessoais ao nível de direito fundamental, no art. 5º da Constituição da República, além de resolver questões relacionadas à competência administrativa e legislativa sobre o tema.
- MP 1.124/2022, convertida em Lei 14.460/22: transformou a ANPD de órgão público federal para autarquia de natureza especial, de modo a possuir personalidade jurídica própria (viabilizando, por exemplo, propositura de ações à Justiça) e maior autonomia administrativa, financeira e orçamentária. Vez que a ANPD também fiscaliza a aplicação da LGPD pelo Poder Público, a transformação é de extrema importância não só para garantir a efetiva aplicação da lei como também para atender boas práticas internacionais, viabilizando a acessão do Brasil à OCDE pela proteção da entidade contra ingerência política.
- MP 1.154/23: vinculou a ANPD ao Ministério da Justiça e Segurança Pública (MJSP), cuja área de competência compreende tratamento de dados pessoais. Vinculação não se confunde com hierarquia: o MJSP não “manda” na ANPD, mas somente supervisiona suas atividades de modo a garantir a persecução de suas finalidades conforme definido em lei.
- Resolução CD/ANPD nº 2 de 2022: regulamenta a LGPD para criar a figura dos “agentes de tratamento de pequeno porte” (ATPP), que se submetem a regras diferentes e simplificadas para conformidade à LGPD, incluindo dispensa de nomeação de Encarregado pelo Tratamento de Dados Pessoais e a possibilidade de registro simplificado das operações de tratamento de dados pessoais (RoPA).
- Tomada de Subsídios sobre registro simplificado das operações de tratamento de dados pessoais: a ANPD propôs e permitiu que a sociedade civil opinasse sobre modelo RoPA simplificado para ATPPs.
- Guia Orientativo sobre Cookies e Proteção de Dados Pessoais: ainda que não se trate de documento que cria obrigações aos agentes de tratamento, por meio desse Guia Orientativo a ANPD tornou público seu posicionamento sobre o uso de cookies em websites. Como nossa equipe de Privacidade e Proteção de Dados alertou, a ANPD trouxe uma classificação de cookies, de modo que, a depender do tipo em que se enquadra, pode haver maior rigor ou não em eventual processo de fiscalização.
- Tomada de Subsídios sobre tratamento de dados pessoais de crianças e adolescentes: a LGPD tem artigo dedicado exclusivamente ao tema, reconhecendo os riscos acentuados de lesões aos direitos de crianças e adolescentes em situações de tratamento ilegal de dados pessoais. Apesar disso, há ainda incerteza sobre as situações em que o tratamento dessa classe de dados é lícita, de forma que a ANPD, visando promover maior segurança, elaborou estudo preliminar sobre o tema e o disponibilizou para tomada de subsídios. Acerca dos posicionamentos apresentados pela ANPD, consulte nossa publicação neste link.
- Tomada de Subsídios sobre regulação da transferência internacional de dados: um dos pontos mais importantes da LGPD – a transferência internacional de dados pessoais é vital para o funcionamento das empresas brasileiras e para nossa inserção em uma economia digitalizada. Assim, a ANPD permitiu com que os potenciais afetados por norma futura contribuíssem à discussão sobre o tema, conforme já apresentado pela nossa equipe especializada.
- Consulta Pública nº 1/22: como já destacamos, a ANPD abriu consulta pública sobre futuro Regulamento de Dosimetria e Aplicação de Sanções Administrativas, em que sugere minuta que irá viabilizar o início da aplicação de penas por parte da ANPD, tendo em vista que, desde 2021, encontra-se em vigor a norma processual, isto é, que estabelece regras de como um procedimento de investigação e punição será conduzido. Em linhas gerais, a proposta estabelece uma gradação das possíveis infrações, sendo que infrações graves sempre irão ocasionar aplicação de multas caso a regulação entre em vigor na forma de sua publicação para consulta pública.
- Novo Formulário de Comunicação de Incidentes de Segurança: conforme obrigação estabelecida pela LGPD aos controladores de dados pessoais comunicarem a ANPD, foi publicado novo formulário padrão de comunicação de incidentes de segurança (CIS), que está em vigor desde o dia 1º de janeiro de 2023. Como destacado por nossa equipe de especialistas, a comunicação deve ser feita ainda que pendente investigação interna acerca da magnitude do incidente de segurança, mediante comunicação preliminar.
Próximos passos:
A Portaria nº 35/22, publicada em novembro de 2022, define a agenda regulatória da ANPD para o biênio 2023-2024, isto é, instrumento que define o planejamento estratégico de assuntos que devem ser objeto de regulação neste e no próximo ano. Tendo em vista que alguns tópicos já começaram a ser endereçados na agenda regulatória anterior, devemos esperar no curto-médio prazo posicionamentos da ANPD sobre:
- Regulamento de Dosimetria e Aplicação de Sanções Administrativas;
- Comunicação de Incidentes de Segurança e estabelecimento de prazo para notificação;
- Transferência Internacional de Dados Pessoais;
- Normas complementares sobre atribuições do Encarregado/DPO;
- Anonimização e pseudonimização;
- Relatório de Impacto à Proteção de Dados Pessoais (RIPD).
Como podemos observar, a ANPD tem se voltado para temas mais sensíveis ao mesmo tempo que se prepara para “fechar” o arcabouço de normas para iniciar o enforcement da LGPD para além da promoção de medidas educativas, como os citados Guias Orientativos. Dessa forma, é vital que os diversos agentes de tratamento promovam sua efetiva adequação à legislação, tendo como norte as mais recentes diretrizes fornecidas pela ANPD.