ANPD, enfim, divulga agenda regulatória com prioridades até 2022

A Autoridade Nacional de Proteção de Dados divulgou nesta quinta, 28/1, seu primeiro ato normativo. Trata-se da agenda regulatória da ANPD para o biênio 2021-2022, na qual aponta os temas prioritários a serem enfrentados em resoluções. 

Segundo a agenda, além dos instrumentos para funcionamento próprio – um regimento interno e o planejamento estratégico até 2023 – as primeiras resoluções, previstas ainda para o primeiro semestre deste 2021, envolvem regras para pequenas e médias empresas, metodologia de multas, comunicação de incidentes e elaboração dos relatórios de impacto. 

Assim, no caso da “proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos”, trata-se de atender à Lei Geral de Proteção de Dados (13.709/18) quando “prevê regulamentação diferenciada para microempresas e empresas de pequeno porte, com a edição de normativo sobre o assunto, conforme estabelece o art. 55-J da referida lei”.

Sobre as multas, que por lei entram em vigor em agosto deste 2021, a agenda lembra que “o art. 53 da LGPD prevê que a ANPD deve definir, via regulamento próprio sobre sanções administrativas a infrações da referida lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa. A regulamentação também estabelecerá as circunstâncias e as condições para a adoção de multa”.

Sobre o tema “comunicação de incidentes e especificação do prazo de notificação”, trata-se da obrigação do controlador de dados de comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. “Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.”

No caso dos relatório de impacto à proteção de dados pessoais, a agenda regulatória ressalta que “de acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais”.

Para 2022, a ANPD pretende se debruçar sobre os direitos dos titulares. “A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.”

Também na agenda para o próximo ano, regras adicionais sobre os encarregados de dados. “Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.”

Igualmente para 2022, a ANPD prevê resolução sobre a transferência internacional de dados. “O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei.”

“Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.”

Finalmente, completa a agenda do biênio a elaboração de um guia de boas práticas para o tratamento de dados. Ou, como explica a ANPD, “documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.”