Autoridade Nacional de Proteção de Dados

Origem: Wikipédia, a enciclopédia livre.
Saltar para a navegação Saltar para a pesquisa

A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da administração pública direta federal do Brasil que faz parte da Presidência da República e possui atribuições relacionadas a proteção de dados pessoais e da privacidade e, sobretudo, deve realizar a fiscalização do cumprimento da Lei nº 13.709/2018,[1][2][3] conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD).

Esta entidade foi criada pela Medida Provisória (MP) nº 869, de 27 de dezembro de 2018,[4][5] Originalmente a criação da ANPD estava prevista no texto original da LGPD, porém foi vetada pelo ex-presidente Michel Temer sob alegação de "vício de origem", já que o texto determinava que o órgão faria parte do Legislativo, que não pode dispor sobre a organização do Estado, uma vez que isso é prerrogativa do Executivo.[6] A MP 869/2018, que altera a LGPD reinserindo a criação da ANPD, foi aprovada pelo Plenário da Câmara dos Deputados, com o deputado Orlando Silva (PCdoB-SP) sendo o relator,[7] no dia 28 de maio de 2019. No dia 29 de maio de 2019, o Senado, com o senador Rodrigo Cunha (PSDB-AL) sendo o relator, também aprovou a medida.[8] No dia 8 de julho de 2019, o presidente Jair Bolsonaro sancionou o texto que prevê a criação da ANPD,[9] surgindo assim a Lei nº 13.853, de 8 julho de 2019.[10]

A criação de uma autoridade nacional independente para fiscalizar o cumprimento da LGPD faz com que o Brasil esteja de acordo com o Regulamento Geral sobre a Proteção de Dados da União Europeia, o que torna o país capacitado para o transacionamento de dados pessoais com países da UE.[11]

Composição[editar | editar código-fonte]

A ANPD é composta por um Conselho Diretor, que é o órgão máximo de direção, um conselho nacional de proteção de dados pessoais e da privacidade, corregedoria, ouvidoria, um órgão de assessoramento jurídico próprio e unidades administrativas e unidades especializadas necessárias à aplicação da LGPD.[4]

Conselho Diretor[editar | editar código-fonte]

O Conselho Diretor será composto por cinco diretores, incluindo o Diretor-Presidente. Esses cinco membros serão escolhidos dentre brasileiros, de reputação ilibada, com nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados, pelo Presidente da República.[4] Os membros escolhidos para compor Conselho Diretor devem também passar por sabatina no Senado, como ocorre com os integrantes de agências reguladoras. Os diretores terão mandato de quatro anos e só podem ser afastados preventivamente pelo Presidente da República após processo administrativo disciplinar.[12]

Conselho Nacional de Proteção de Dados Pessoais e da Privacidade[editar | editar código-fonte]

O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por vinte e um membros, sendo cinco representantes indicados pelo Poder Executivo, três pela sociedade civil, três por instituições científicas, três pelo setor produtivo, um pelo Senado, um pela Câmara dos Deputados, um pelo Conselho Nacional de Justiça, um pelo Conselho Nacional do Ministério Público, um pelo Comitê Gestor da Internet, um por empresários e um por trabalhadores. Os conselheiros terão mandato de dois anos e podem ser substituídos pelo Presidente da República a qualquer tempo.[12]

Atribuições[editar | editar código-fonte]

De acordo com a Lei nº 13.853, de 8 julho de 2019, no art. 55-J,[10] cabe à ANPD:

  • Zelar pela proteção dos dados pessoais, nos termos da legislação;
  • Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei;
  • Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  • Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
  • Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança
  • Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
  • Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
  • Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  • Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
  • Solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;
  • Elaborar relatórios de gestão anuais acerca de suas atividades;
  • Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
  • Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
  • Arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
  • Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
  • Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;[13]
  • Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
  • Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos da LGPD e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);[14]
  • Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
  • Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
  • Comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
  • Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
  • Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

A Lei estabelece ainda que o órgão deverá articular sua atuação com o Sistema Nacional de Defesa do Consumidor, do Ministério da Justiça, e outros órgãos.[3][2]

Sanções[editar | editar código-fonte]

Segundo o art. 55-K da Lei nº 13.853, de 8 julho de 2019,[10] é de responsabilidade exclusiva da ANPD a aplicação das sanções administrativas para o descumprimento da LGPD. Dentre as sanções possíveis, encontram-se por exemplo a suspensão do funcionamento de banco de dados, proibição do exercício de atividades relacionadas a tratamento de informações por um período de seis meses, prorrogável por igual período em caso de reincidência, advertências, multas e indenizações a usuários prejudicados por falhas no tratamento de informações.[12][15] A lista de todas as sanções está no art. 52 da LGPD,[5] são elas:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Multa diária, observado o limite total a que se refere o inciso acima;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;

Ainda segundo o art. 52, no parágrafo 1º,[10] as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

  • A gravidade e a natureza das infrações e dos direitos pessoais afetados;
  • A boa-fé do infrator;
  • A vantagem auferida ou pretendida pelo infrator;
  • A condição econômica do infrator;
  • A reincidência;
  • O grau do dano;
  • A cooperação do infrator;
  • A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
  • A adoção de política de boas práticas e governança;
  • A pronta adoção de medidas corretivas;
  • A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Custos[editar | editar código-fonte]

Apesar da criação da ANPD está sendo feita sem aumento de despesas, pois utiliza cargos e funções de órgãos e entidades do Executivo,[3] seu surgimento tem um custo intrínseco, pois um órgão assim precisará alcançar eficiência e autonomia e isso ocorrerá com a arrecadação obtida das multas e das sanções.[11] Além disso, empresas que lidam com processamento de dados precisarão se adaptar à Lei afim de não sofrer sanções, o que gera aumento de despesas e pode dizimar empresas menores.

Marco Civil[editar | editar código-fonte]

Para possibilitar a existência da Autoridade Nacional de Proteção de Dados, a MP 869/2018 altera o Marco Civil da Internet[15] para permitir que pessoas jurídicas de direito privado controladas pelo Poder Público, como é o caso da ANPD, possam tratar dados de bancos de dados sobre segurança pública, defesa nacional, segurança do Estado ou atividade de investigação e repressão penal, o que antes era proibido para empresas públicas e privadas.[2]

Referências[editar | editar código-fonte]

  1. «LEI Nº 13.709, DE 14 DE AGOSTO DE 2018». www.planalto.gov.br. Consultado em 15 de junho de 2019 
  2. a b c «Medida provisória cria Autoridade Nacional de Proteção de Dados». www.camara.leg.br. 3 de janeiro de 2019. Consultado em 30 de junho de 2019 
  3. a b c «MP que cria a Autoridade Nacional de Proteção de Dados ainda aguarda instalação de comissão mista». www.senado.leg.br. 12 de março de 2019. Consultado em 2 de julho de 2019 
  4. a b c «MEDIDA PROVISÓRIA Nº 869, DE 27 DE DEZEMBRO DE 2018». www.camara.leg.br. Consultado em 29 de junho de 2019 
  5. a b «Medida Provisória n° 869, de 2018 (Proteção de dados pessoais)». www.congressonacional.leg.br. Consultado em 1 de julho de 2019 
  6. Nascimento, Luciano (28 de dezembro de 2018). «Governo publica MP que cria órgão para proteção de dados». agenciabrasil.ebc.com.br. Consultado em 30 de junho de 2019 
  7. «Câmara conclui votação de MP que cria Autoridade Nacional de Proteção de Dados». www.camara.leg.br. 28 de maio de 2019. Consultado em 1 de julho de 2019 
  8. «Senado aprova MP que recria órgão para proteção de dados pessoais». www.senado.leg.br. 29 de maio de 2019. Consultado em 1 de julho de 2019 
  9. «Bolsonaro sanciona com vetos lei que cria autoridade de proteção de dados pessoais». G1. 9 de julho de 2019. Consultado em 11 de julho de 2019 
  10. a b c d «LEI Nº 13.853, DE 8 DE JULHO DE 2019». 8 de julho de 2019. Consultado em 16 de julho de 2019 
  11. a b «Brasil precisa de autoridade de dados para se manter próximo do mercado europeu». www.jota.info. 20 de agosto de 2018. Consultado em 2 de julho de 2019 
  12. a b c «Comissão aprova MP que cria Autoridade Nacional de Proteção de Dados». www.camara.leg.br. Consultado em 1 de julho de 2019 
  13. «DECRETO-LEI Nº 4.657, DE 4 DE SETEMBRO DE 1942.». Consultado em 16 de julho de 2019 
  14. «LEI No 10.741, DE 1º DE OUTUBRO DE 2003.». 1 de outubro de 2003. Consultado em 17 de julho de 2019 
  15. a b «LEI Nº 12.965, DE 23 DE ABRIL DE 2014 Marco Civil da Internet». www.camara.leg.br. Consultado em 1 de julho de 2019