No dia 29 de outubro de 2021, foi publicada a Resolução CD/ANPD nº 1, que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados (ANPD).
O Regulamento foi aprovado pelo Conselho Diretor da ANPD e tem por objetivo estabelecer os procedimentos e regras a serem observados tanto no processo de fiscalização, que compreende as atividades de monitoramento, orientação e atuação preventiva realizadas pela autoridade, como do processo administrativo sancionador, voltado a apurar supostas violações e aplicar as penalidades previstas na Lei nº 13.709/18 – Lei Geral de Proteção de Dados (LGPD).
De acordo com a Diretora Miriam Wimmer, relatora do processo, “o regulamento é um estímulo à promoção da cultura de proteção de dados pessoais, uma vez que prevê uma atuação responsiva, com a adoção de medidas proporcionais ao risco identificado e à postura dos agentes regulados.”
Em seu art. 5º, o Regulamento traz alguns deveres dos “agentes regulados”, ou seja, dos agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais.
Dentre os referidos deveres, está a obrigação de se submeterem a auditorias realizadas ou determinadas pela ANPD, inclusive quanto à permissão de acesso às instalações e a todos os recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais que estejam em seu poder ou em poder de terceiros, fornecendo um representante apto a oferecer suporte à atuação da ANPD e que tenha conhecimento e autonomia para prestar esclarecimentos.
Nesse sentido, destaca-se a importância de que as empresas, sejam elas controladoras ou operadoras de dados pessoais, tenham previamente mapeado as suas operações que envolvam o tratamento de dados pessoais, desenvolvido mecanismos de controle para mitigar riscos e juntado a documentação necessária para demonstrar a sua conformidade com a LGPD, além da indicação de uma pessoa como Encarregado para prestar eventuais esclarecimentos aos titulares e à ANPD.
Quanto aos documentos requisitados pela ANPD, o Regulamento estabelece que cabe ao agente regulado solicitar à autoridade “o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou a industrial.”
Sendo assim, recomenda-se que a empresa adote medidas para proteger informações corporativas sigilosas que eventualmente constarem de documentos fornecidos à ANPD.
Outro ponto relevante do Regulamento é que ele estabelece a petição de titular, caracterizada pela “comunicação feita à ANPD pelo titular de dados pessoais de uma solicitação apresentada ao controlador e não solucionada no prazo estabelecido em regulamentação.” Portanto, uma providência importante a ser tomada pelas empresas quando estiverem na posição de controladoras de dados pessoais é disponibilizar um canal através do qual o titular poderá realizar solicitações referentes ao tratamento de seus dados pessoais, estabelecendo um protocolo para atendê-las em até 15 (quinze) dias contados de seu recebimento.
O Regulamento dispõe que o primeiro ciclo de monitoramento terá início a partir de janeiro de 2022, indicando que, embora a ANPD tenha adotado desde o início uma postura orientativa e educadora, os agentes de tratamento que infringirem a LGPD podem em breve ser submetidos a medidas repressivas.