- 21 de julho de 2022
- Posted by: Grupo IBES
- Category: Notícias
O que faz a ANPD – Autoridade Nacional de Proteção de Dados?
As competências da ANPD estão descritas na Lei Geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018).
“Conforme estabelecido no art. 55-J, da Lei nº 13.709, de 14 de agosto de 2018, compete à ANPD:
- zelar pela proteção dos dados pessoais, nos termos da legislação;
- zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
- elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
- apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
- promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
- promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
- estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
- promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
- dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
- solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
- elaborar relatórios de gestão anuais acerca de suas atividades;
- editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
- ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
- arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
- realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
- celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
- editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
- garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
- deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
- comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
- comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
- articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
- implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
As competências do Conselho Diretor, do Diretor-Presidente e dos Diretores estão no Decreto nº 10.474, de 26 de agosto de 2020, que aprovou a estrutura regimental da ANPD. São elas:
“Art. 4º Ao Conselho Diretor, órgão máximo de direção da ANPD, compete:
I – solicitar:
a) ao controlador de que trata a Lei nº 13.709, de 2018, o relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial;
b) aos órgãos e às entidades do Poder Público que realizam operações de tratamento de dados pessoais, as informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado;
c) a agentes públicos, a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público; e
d) informações suplementares e realizar diligências de verificação quanto às operações de tratamento, no contexto da aprovação de transferências internacionais de dados;
Leia também: LGPD: Qual a importância de uma certificação?
II – regulamentar:
a) a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, permitida a sua vedação, ouvidos os órgãos públicos setoriais competentes;
b) observadas as competências das autoridades da área de saúde e sanitárias, o acesso a base de dados pessoais por órgãos de pesquisa quando realizarem estudos em saúde pública, assegurados o tratamento das informações em ambiente controlado e seguro, os padrões éticos relacionados a estudos e pesquisas e, sempre que possível, a anonimização ou a pseudonimização dos dados;
c) a portabilidade de dados pessoais entre fornecedores de serviços ou produtos, resguardadas as competências dos órgãos reguladores que possuem definição sobre tais procedimentos em suas áreas de atuação;
d) o formato de apresentação dos dados encaminhados, mediante solicitação, aos titulares, de forma que permita sua utilização subsequente; e
e) a comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado, observado o disposto no parágrafo único do art. 27 da Lei nº 13.709, de 2018;
III – dispor sobre:
a) os padrões e as técnicas utilizados em processos de anonimização e verificar a sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
b) as formas de publicidade das operações de tratamento de dados realizadas por pessoas jurídicas de direito público;
c) os padrões de interoperabilidade para fins de portabilidade, o livre acesso aos dados, a segurança dos dados e o tempo de guarda dos registros, consideradas a necessidade e a transparência; e
d) os padrões mínimos para a adoção de medidas de segurança, técnicas e administrativas de proteção de dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, ressalvadas as competências de que trata o art. 10, caput, incisos IV e V, da Lei nº 13.844, de 18 de junho de 2019;
IV – determinar:
a) o término do tratamento de dados pessoais quando houver violação às disposições da Lei nº 13.709, de 2018; e
b) a realização de auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais, na hipótese de não atendimento ao disposto no § 1º do art. 20 da Lei nº 13.709, de 2018;
V – determinar ao controlador de dados pessoais:
a) a elaboração do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento de dados, incluídos os dados sensíveis, observados os segredos comercial e industrial; e
b) a adoção de providências para a salvaguarda dos direitos dos titulares, a partir da verificação da gravidade de incidentes de segurança;
VI – encaminhar:
a) as petições de titulares de dados pessoais apresentados à ANPD contra o controlador, para avaliação da unidade competente; e
b) informe com medidas cabíveis para fazer cessar violações às disposições da Lei nº 13.709, de 2018, por órgãos públicos;
VII – estabelecer prazos para o atendimento às requisições de que tratam os incisos I e II do caput do art. 19 da Lei nº 13.709, de 2018, para setores específicos, mediante avaliação fundamentada, observado o disposto no § 4º do art. 19 da referida Lei; e
VIII – estabelecer normas complementares:
a) para as atividades de comunicação e de uso compartilhado de dados pessoais realizadas por pessoas jurídicas de direito público; e
b) sobre a definição e as atribuições do encarregado pelo tratamento de dados pessoais de que trata a Lei nº 13.709, de 2018, inclusive nas hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados;
IX – emitir parecer técnico complementar para garantir o cumprimento da Lei por órgãos e entidades públicos;
X – autorizar a transferência internacional de dados pessoais, mediante fundamentação;
XI – avaliar:
a) os requerimentos encaminhados à ANPD sobre o nível de proteção de dados pessoais conferido por outro País ou por organismo internacional; e
b) o nível de proteção de dados de país estrangeiro ou de organismos internacionais que proporcionem grau de proteção de dados pessoais e sua adequação às disposições da Lei nº 13.709, de 2018;
XII – definir:
a) o conteúdo de cláusulas padrão e verificar, diretamente ou mediante designação de organismo de certificação, a garantia de cláusulas contratuais específicas, normas corporativas globais ou selos, certificados e códigos de conduta para transferência internacional por controlador de dados pessoais;
b) o prazo para a comunicação pelo controlador de dados pessoais à ANPD e ao titular dos dados sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano ao titular; e
c) as metodologias que orientarão o cálculo do valor-base das sanções de multa previstas na Lei nº 13.709, de 2018, e publicá-las para ciência dos agentes de tratamento;
XIII – designar e fiscalizar organismos de certificação para a verificação da permissão para a transferência de dados internacional;
XIV – rever atos realizados por organismos de certificação e, na hipótese de descumprimento das disposições da Lei nº 13.709, de 2018, anular os referidos atos;
XV – reconhecer e divulgar regras de boas práticas e de governança estabelecidas por controladores e operadores relacionadas ao tratamento de dados pessoais;
XVI – incentivar a adoção de padrões técnicos que facilitem o controle dos dados pessoais por seus titulares;
XVII – elaborar a proposta sobre sanções administrativas e infrações de que trata a Lei nº 13.709, de 2018, observadas a gradação e a proporcionalidade das sanções, de acordo com a infração cometida, e submeter a proposta a consulta pública;
XVIII – aplicar as sanções administrativas previstas no art. 52 da Lei nº 13.709, de 2018; e
XIX – consultar os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental previamente à aplicação das sanções previstas no art. 52 da Lei nº 13.709, de 2018.
Art. 25. Ao Diretor-Presidente do Conselho Diretor incumbe:
I – apresentar anualmente ao Conselho Diretor relatório circunstanciado dos trabalhos da ANPD;
II – ordenar as despesas referentes à ANPD;
III – convocar as reuniões e determinar a organização das pautas;
IV – submeter a proposta orçamentária da ANPD à aprovação do Conselho Diretor;
V – firmar os compromissos e os acordos aprovados pelo Conselho Diretor; e
VI – firmar contratos e convênios com órgãos ou entidades nacionais.
Art. 26. Compete aos Diretores do Conselho Diretor:
I – votar nos processos e nas questões submetidas ao Conselho Diretor;
II – proferir despachos e lavrar as decisões nos processos em que forem relatores;
III – requisitar informações e documentos de pessoas, órgãos, autoridades e entidades públicas ou privadas relacionados ao exercício de suas atribuições, que serão mantidos sob sigilo legal, quando necessário, e determinar as diligências que se fizerem necessárias;
IV – adotar medidas preventivas e fixar o valor da multa diária pelo seu descumprimento;
V – solicitar a realização de diligências e a produção das provas que entenderem pertinentes nos autos do processo administrativo, na forma da Lei nº 13.709, de 2018;
VI – requerer a emissão de parecer jurídico nos processos em que forem relatores, quando necessário e em despacho fundamentado; e
VII – submeter termo de compromisso de cessação e acordos à aprovação do Conselho Diretor.”
Fonte da imagem: Freepik
Fonte: ANPD