No dia 28 de maio, a Autoridade Nacional de Proteção de Dados (ANPD) publicou para consulta pública sua Norma de Fiscalização. O documento procura normatizar, ou seja, reunir esclarecimentos para a aplicação das sanções previstas pelos artigos 52 e seguintes da lei, no que se refere às tão temidas multas da LGPD. 

Tal atitude demonstra uma abertura em ouvir a iniciativa privada, os titulares, a sociedade civil em geral antes de qualquer decisão final e isso já cria uma boa expectativa sobre como será conduzida a sua gestão. Para além disso, é positivo identificar que um dos valores definidos foi o de promover "processos transparentes e justos, com regras claras sobre direitos e obrigações". 

O documento merece ser lido na íntegra, especialmente pelos profissionais da área. Destacamos neste artigo, 6 coisas que consideramos mais relevantes e de interesse geral.

1º ASPECTO: DEVERES DO ADMINISTRADOS

O artigo 5º definiu os deveres dos administrados, trazendo um rol específico de tarefas, tais quais: 

I - Fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD; 

II - Permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;

III - Possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos; 

IV - Submeter-se a auditorias realizadas ou determinadas pela ANPD; 

V - Manter os documentos físicos e digitais, os dados e as informações durante os prazos estabelecidos na legislação e na regulamentação específica bem como durante toda a tramitação de processos administrativos que sejam necessários; e

VI - Disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.

O artigo 5º representa a materialização daquela máxima que norteia todo o trabalho, “não basta estar em compliance, é preciso criar evidência e documentar todas os fluxos de adequação”.

2º ASPECTO: ATUAÇÃO DA ANPD

Nesse ponto é importante destacar o escopo de atuação na ANPD, notando que a Autoridade poderá requisitar até mesmo o acesso às instalações, equipamentos, sistemas etc. - não se limitando apenas ao mero pedido de evidências.

O artigo 14, que define que a atividade preventiva consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visem reconduzir o agente de tratamento à plena conformidade, bem como evitar ou remediar situações que possam acarretar risco ou danos aos titulares de dados pessoais e a outros agentes de tratamento. 

A normativa está bem direcionada nessa intenção de educar, orientar, construir soluções e medidas em conjunto e, ao que parece, a ANPD está bastante interessada na criação de uma cultura de privacidade, muito mais do que na mera aplicação de sanções. 

3º ASPECTO: MONITORAMENTO E RISCO DIFERENCIADO

A autoridade afirma em seu Artigo 17, III que o risco regulatório será diferenciado em função do comportamento dos agentes de tratamento, de modo a alocar recursos e adotar ações compatíveis com esse risco.  

4º ASPECTO: CLASSIFICAÇÃO DOS AGENTES DE TRATAMENTO

A Autoridade irá classificar os agentes de tratamento tendo como base suas condutas em quatro faixas (art. 30):

I - Faixa I: agentes de tratamento para os quais não haverá, de imediato, adoção de medidas;

II - Faixa II: agentes de tratamento para os quais a ANPD encaminhará relatório notificando sobre os temas objeto de denúncia ou de reclamação de titulares de dados para que possam adotar ações corretivas;

III - Faixa III: agentes de tratamento para os quais a ANPD adotará medidas orientadoras ou preventivas; e

IV - Faixa IV: agentes de tratamento para os quais a ANPD adotará medidas preventivas ou repressivas.

Segundo o texto, as medidas repressivas serão tomadas quando os agentes permanecerem por dois ciclos consecutivos na última faixa. Ou seja, tudo parece indicar um processo que se inicia por medidas educativas e corretivas para, só depois de muita insistência na irregularidade, um agente de tratamento chegar a ser penalizado.

5º ASPECTO: ATIVIDADES PREVENTIVAS

Ao definir como será a sua atividade preventiva no Art. 36, a normativa informa quatro modalidades de medidas: divulgação de informações, aviso, solicitação de regularização e plano de conformidade. A norma também esclarece toda a instrumentalidade do processo administrativo sancionador, que basicamente será composto de instauração, instrução, decisão e recurso.

6º ASPECTO: ARREPENDIMENTO

O Art. 49 traz a possibilidade de arrependimento até a intimação da decisão de primeira instância. Isso dá direito ao autuado de suspender a conduta investigada e se cabível, reparar os danos dela decorrentes. Nesse caso, o processo administrativo poderia ser arquivado pela Coordenação-Geral de Fiscalização.

A Autoridade sinaliza claramente que o comportamento das empresas será levado em consideração. Por isso, iniciar a jornada de cultura de privacidade certamente ajudará em uma eventual análise pela Autoridade e pode ser o diferencial entre uma medida educativa e a aplicação de uma penalidade.

Confira o documento na íntegra