ANPD publica Resolução regulamentando o Processo de Fiscalização e o Processo Administrativo Sancionador

Data protection 1 - ANPD publica Resolução regulamentando o Processo de Fiscalização e o Processo Administrativo SancionadorPublicada em 29/10/2021, a Resolução CD/ANPD nº 1/2021 aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador contido em seu anexo, aplicáveis aos titulares de dados, aos agentes de tratamento, pessoas naturais ou jurídicas, de direito público ou privado e demais interessados no tratamento de dados pessoais.

A fiscalização compreende as atividades de monitoramento, orientação e atuação preventiva, visando orientar, prevenir e reprimir as infrações à Lei Geral de Proteção de Dados (LGPD).

Segundo o Regulamento prevê em seu artigo 5º, em atenção à atividade fiscalizatória, constituem obrigações dos agentes de tratamento de dados regulados fornecerem cópias de documentos; permitirem o acesso às instalações; possibilitar à ANPD ter conhecimento dos sistemas de informação utilizados no tratamento de dados; submeter-se às auditorias determinadas pela Autoridade; manter os documentos e informações durante o prazo de tramitação dos processos administrativos; e, disponibilizar representante apto a oferecer suporte à atuação da ANPD (com conhecimento e autonomia para prestar dados e informações).

Aspecto que merece especial atenção é trazido no § 3º deste artigo, dispondo que cabe ao agente regulado solicitar à Autoridade o sigilo de informações relativas à sua atividade, como dados e informações técnicas, econômico-financeiras, contábeis e operacionais. O dispositivo indica que tais informações não serão tratadas pela Autoridade, ao menos em princípio, como sigilosas, e, portanto, deve o agente de tratamento permanecer muito atento ao acompanhamento e exercício de seus direitos no procedimento fiscalizatório.

De se observar, ainda, que a Autoridade poderá determinar auditoria na empresa sem prévia intimação do agente, se tal providência for necessária à eficácia do ato, tornando ainda mais relevante que a empresa antecipe sua adequação às normas contidas na LGPD (§ 4º).

Outro gravame suportado pelo agente de tratamento vem disposto no art. 6º, onde previsto que o não cumprimento das obrigações do art. 5º, acima indicadas, poderá constituir obstrução à atividade de fiscalização e sujeitará o infrator a medidas repressivas, prejudicando ainda mais sua situação.

A parte de disposições processuais do regulamento (art. 7º e seguintes) consigna a contagem dos prazos em dias úteis, tendo início a partir da intimação da parte, que poderá ocorrer por meio eletrônico, via postal, pessoalmente (ou por representante ou preposto), por edital ou qualquer outro meio que assegure a ciência do interessado.

O Título II do Anexo, a partir de seu art. 15, trata do processo de fiscalização e institui as atividades de monitoramento, orientação e prevenção, adotadas pela Autoridade, consistentes em levantamento de informações, promoção de conscientização e educação dos agentes e recondução à conformidade aos dispositivos da LGPD, respectivamente.

Já a atividade repressiva é caracterizada como uma atuação coercitiva que visa interromper situações de dano e risco e punição dos responsáveis, se dando através do processo administrativo sancionador (art. 15, § 4º).

A atividade de monitoramento se dará por ciclos anuais e objetiva planejar a atuação fiscalizatória, analisar a conformidade dos agentes, prevenir práticas irregulares e atuar na busca de sua correção, utilizando como instrumentos o relatório de ciclo de monitoramento e o Mapa de temas prioritários, este previsto para ser elaborado a cada dois anos.

Neste ponto é importante notar que o primeiro ciclo de monitoramento terá início em janeiro de 2022, conforme previsto no art. 70.

Quanto à interação dos titulares de dados com a ANPD, que integrarão o cálculo do ciclo de monitoramento, o regulamento esclarece que pode ser através dos “requerimentos”, que dividem-se em petição de titular (notícia de solicitação apresentada ao controlador e não solucionada) e denúncia (comunicação de infração contra a legislação de proteção de dados).

A atividade de orientação se dará pela disponibilização de guias de boas práticas e modelos de documentos, sugestão de cursos e treinamentos, disponibilização de ferramentas de auto-avaliação e divulgação de boas práticas de governança (art. 27 e seguintes).

Já a atividade preventiva consiste em divulgação de informações e dados setoriais, aviso ao agente de tratamento, solicitação de regularização (quando a regularização deva ocorrer em prazo determinado) e elaboração de plano de conformidade. Nestas duas últimas hipóteses, em caso de não atendimento, a Autoridade pode iniciar ação repressiva e será considerado agravante caso seja instaurado processo administrativo sancionador (art. 30 e seguintes).

O Título III (art. 37 e seguintes) trata da atividade repressiva, que se destina à apuração de infrações à LGPD, podendo ter início de ofício, em decorrência de processo de monitoramento ou diante de requerimento, não cabendo recurso contra o despacho que instaura o processo administrativo sancionador.

Importante salientar que a Coordenação Geral de Fiscalização poderá efetuar investigações preliminares, em procedimento preparatório e que pode tramitar em sigilo, no interesse das investigações, e concluirá pelo arquivamento ou instauração de processo administrativo sancionador. No segundo caso, acrescente-se, poderá o interessado apresentar proposta de celebração de termo de ajustamento de conduta (art. 40 e seguintes).

Os demais dispositivos prevêem que o processo administrativo sancionador será instaurado pela Coordenação-Geral de fiscalização mediante auto de infração, intimando o agente para apresentação de defesa no prazo de 10 dias, garantido o contraditório através da possibilidade de juntada de provas e indicação de assistentes técnicos. Já o pedido de produção de provas pelo autuado será analisado pela Coordenação-Geral e poderá ser indeferido.

O autuado poderá apresentar alegações finais, após o que será elaborado o relatório da instrução, remetendo-se os autos para julgamento.

Decretada a aplicação de sanção administrativa ao agente, poderá ele apresentar recurso administrativo ao Conselho Diretor. Caso a decisão seja pelo arquivamento, a Coordenação-Geral informará eventuais terceiros interessados para que, desejando, recorram.

Outro ponto de destaque do procedimento é que, apresentado o recurso, a Coordenação-Geral poderá reconsiderar sua decisão, parcial ou integralmente, sendo que, neste último caso, havendo exoneração total da sanção, a decisão será remetida a reexame necessário ao Conselho Diretor.

Por outro lado, caso haja aplicação de sanção pecuniária, e, não sendo paga, a dívida em questão será inscrita no Cadastro Informativo de Créditos não Quitados do Setor Público Federal (Cadin), bem como será encaminhada para inscrição na dívida ativa da União.

Por fim, é bom lembrar que as sanções previstas na LGPD não são apenas de natureza pecuniária, podendo haver bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados a que se refere a infração até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração; ou ainda, proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (art. 52, Lei 13.709/2018 – LGPD).

O cenário que está se edificando evidencia a necessidade urgente de que as empresas promovam ou dêem continuidade aos seus processos de adequação e conformidade, não ignorando a real necessidade de capacitação de seus colaboradores e do investimento em profissionais aptos a conduzir os procedimentos atinentes à privacidade e proteção de dados, de forma a poder representar a empresa perante a ANPD.