A Autoridade Nacional de Proteção de Dados – ANPD aprovou, na última quinta-feira (28/10), o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados.
Com isso, passa a existir um processo formal que permite que a ANPD receba requerimentos ou atue de forma independente para iniciar fiscalizações de controladores e operadores sujeitos à LGPD.
O regulamento traz algumas regras sobre o processo fiscalizatório e sancionatório (como, quando poderá ser iniciado, por quem, prazos para resposta etc.). A metodologia para a aplicação das punições ainda será objeto de uma nova regulamentação.
Essa regulamentação responde algumas dúvidas que vinham sendo discutidas. Preparamos um pequeno “Perguntas e Respostas” com algumas das principais questões já respondidas, veja a seguir.
Para conferir o regulamento na íntegra, clique aqui.
- Quando a ANPD poderá iniciar uma fiscalização?
Por enquanto, a ANPD poderá iniciar uma fiscalização:
(i) de ofício, ou seja, quando a própria ANPD entender pertinente iniciar um
processo fiscalizatório ou sancionatório
(ii) em decorrência de seus programas periódicos de fiscalização
(iii) de forma coordenada com órgãos e entidades públicos
(iv) em cooperação com outras autoridades de proteção de dados estrangeiras
- E um processo sancionatório, quando poderá ser iniciado?
O início de um processo que tenha objetivo decidir pela aplicação ou não de uma penalidade poderá ser iniciado:
(i) de ofício
(ii) em decorrência de um processo de monitoramento
(iii) por requerimento da Coordenação-Geral de Fiscalização
- E o que acontece em caso de uma denúncia?
Por enquanto, a ANPD estabeleceu que requerimentos (como denúncias de titulares) serão analisadas de forma agregada para adoção de medidas de forma padronizada. O tratamento de requerimentos individuais (por exemplo, uma denúncia específica por um titular contra um agente de tratamento) ainda será objeto de uma regulamentação própria.
- Um processo de fiscalização necessariamente implicará em uma penalidade?
Não. Como declarado pela Diretora da ANPD, Miriam Wimmer, o regulamento tem como objetivo a “promoção da cultura de proteção de dados pessoais” e não necessariamente a punição. Por esse motivo, a fiscalização foi dividida em:
(i) Monitoramento: levantamento de informações para tomada de decisão pela ANPD
(ii) Orientação: atuação para promover a orientação, conscientização e educação
(iii) Atuação Preventiva: atuação visando reconduzir o agente de tratamento à plena conformidade ou evitar ou remediar situações que acarretem risco ou dano aos titulares de dados pessoais
Nas fases de Orientação e Atuação Preventiva, a ANPD pode estabelecer atividades específicas (por exemplo, ações que o agente de tratamento deverá adotar), mas essas atividades não serão consideradas sanção, ou seja, não se confundem com as penalidades da LGPD.
- E como ficam as penalidades? Quando e como serão aplicadas?
As regras para a aplicação das punições ainda estão sendo definidas.