in

O que esperar da ANPD em 2023? 

Ana Carolina Teles*

O ano de 2023 chegou e todo o profissional de proteção de dados faz a mesma pergunta em uníssono: “O que esperar da Autoridade Nacional de Proteção de Dados?”. 

Não é de hoje que as expectativas de muitos sobre a atuação da ANPD são, por vezes, controversas e até mesmo muito exageradas. 

Se alguém esperava que, com a constituição dessa entidade e vigência da Lei de Proteção de Dados, as empresas iam, de forma imediata, começar a ser multadas por não tratar os dados de forma adequada… Estava muito enganado. 

Ou, inclusive, não prestou muita atenção na lei, nem nos posicionamentos dos diretores da autoridade. 

A realidade é que a ANPD, neste primeiro momento, veio muito mais para atuar de forma responsiva e educativa do que para se mostrar presentes nos noticiários após multar as mais diversas big – ou não tão big assim – techs. E é exatamente isso que ela vem fazendo nesses últimos dois anos. 

Atuação da ANPD

Em janeiro de 2021, a ANPD publicou uma Agenda Regulatória para o biênio 2021-2022. E podemos dizer que, sim, muita coisa foi feita. 

Guias Orientativos e Notas Técnicas foram publicados; 

Tomadas de Subsídios foram organizadas; 

Reuniões técnicas foram realizadas e transmitidas para a sociedade civil. 

Além disso, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) teve atuação contundente por meio dos seus Grupos de Trabalho essenciais. 

Ao mesmo tempo, há que se falar também do que ainda não foi tratado e regulamentado. 

ANPD e o biênio 2023-2024

Por este motivo, já no 2º semestre de 2022, a ANPD iniciou a Tomada de Subsídios nº 3, onde obteve contribuições da sociedade para subsidiar a elaboração da Agenda Regulatória a partir do biênio 2023-2024.

Após a colaboração, a “lista de tarefas” da autoridade para os próximos dois anos foi publicada. E assim ficou:

Em relação aos prazos, vamos aos esclarecimentos: 

● Tudo que consta na Fase 1 já estava na Agenda Regulatória do biênio 2021-2022, ou seja, podemos considerar que já estão “atrasados”; 

● Os itens da Fase 2 devem ter o processo regulatório iniciado em até 1 ano

● Os itens da Fase 3 = em até 1 ano e meio

● Os itens da Fase 4 = em até 2 anos.

Fase 1

Para 2023, a Fase 1 é o que nos importa. 

E podemos dizer que muitas questões chamam a atenção nessa primeira fase, mas algumas merecem maior destaque: 

● Regulamentação da aplicação das sanções administrativas; 

● Direitos dos titulares; 

● Comunicação de incidente de segurança e prazo para notificação; e, ● Transferência internacional de dados pessoais. 

No decorrer do ano de 2022, a sociedade civil contribuiu com vários subsídios junto à ANPD, em especial, sobre a regulamentação da norma de dosimetria, do Encarregado da Proteção de Dados (DPO) e da transferência internacional de dados

Isso nos leva a crer que a Autoridade já está avançada sobre esses temas internamente. Mas, antes de nos aprofundarmos nisso, é importante mencionar alguns outros pontos

Autarquia Especial

Com a Lei 14.460/22, a ANPD se tornou uma Autarquia com Natureza Especial – entidade da Administração Pública Indireta. Apesar disso, já no início do corrente ano, o novo Governo Federal vinculou o órgão ao Ministério da Justiça por meio de Decreto. 

Agora, ao invés de estar sob o controle da Casa Civil, ainda que seja uma Autarquia, a ANPD possui vinculação direta com o Ministério da Justiça. 

Esta mudança levanta suspeitas sobre a total independência da ANPD. Mas isso é assunto para outro momento

O que importa mesmo é que, com a transformação da Autoridade em Autarquia, várias mudanças internas já se iniciaram. Inclusive, já foram abertos processos seletivos para empregados públicos interessados em compor a estrutura do órgão. 

O Diretor-Presidente da Autoridade já deixou claro que é necessário, no mínimo, mais de 200 novos empregados para que a entidade atue com eficiência. 

Com avanço da alocação de novos servidores na entidade, também nos leva crer que os assuntos tratados e deliberados no decorrer do ano de 2022 vão acabar “saindo da gaveta”

Sanções administrativas

A grande expectativa é a publicação da Norma que irá regulamentar as sanções administrativas. Dentre elas, a que, no geral, é a mais temida pelas empresas: multa de 2% do faturamento do ano anterior limitada até míseros 50 milhões de reais.

Ao que parece, isso já é prioridade dentro da ANPD e essa norma provavelmente será publicada já no primeiro semestre de 2023. 

Ponto de destaque sobre a possível aplicação de multas e sanções pela ANPD é que elas poderão ser retroativas! Isto quer dizer que, como as sanções começaram a valer desde 1º de Agosto de 2021, se houver investigação e, ao fim, a ANPD aplicar uma sanção a determinado agente de tratamento, a punição pode reverberar em ações praticadas a partir de agosto do ano retrasado… 

Pois é. Mais um ponto de atenção para as empresas né? 

Ao mesmo tempo… Com tanta ausência da ANPD em relação às regulamentações necessárias que ainda não foram realizadas – ainda que a LGPD tenha expressamente determinado – também causa aquela leve insegurança jurídica: até que ponto a ANPD pode cobrar dos agentes de tratamento se ela mesmo regulamentou pouquíssimos assuntos até aqui? 

Esse “papo” também fica para outro momento. Mas só para adiantar, não podemos nos esquecer do famoso princípio da legalidade: “ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei”. 

Direitos dos titulares

Passando adiante, temos o assunto “Direitos dos Titulares”. Há muito o que se regulamentar neste contexto. 

Afinal, qual o prazo para cumprimento de todos os direitos para além dos direitos de confirmação e acesso aos dados? 

Além disso, ainda falta muito da nossa Autoridade em relação às campanhas de conscientização sobre exercício destes direitos pelos titulares de dados. 

Na publicação do relatório de Gestão da Ouvidoria, em 2021, a ANPD destacou que muitas reclamações dos titulares junto à entidade são direcionadas aos canais de comunicação incorretos e, também, sem os titulares sequer terem acionado (e comprovado) primeiramente os controladores de dados

Comunicação de incidente de segurança

Outro ponto: comunicação de incidente de segurança e seu respectivo prazo. 

Há algum tempo a ANPD publicou, em seu site oficial, que recomenda que o agente de tratamento que tenha sofrido uma violação de dados (ou que tenha mera suspeita) deve comunicar a autoridade em até 2 dias úteis – da data da ciência – sobre o ocorrido.

Mas isso se trata de mera orientação

A regulamentação é mandatória, até mesmo para fortalecer a segurança jurídica nessa seara. Recentemente, a autoridade publicou novo formulário de comunicação de incidentes, mais moderno e mais condizente com a realidade fática do fluxo de tratamento de dados. 

É um avanço. Um ponto muito positivo, mas que sem norma para regulamentar acaba perdendo a sua força. 

Transferência internacional de dados

Por fim, nos resta comentar sobre a mais temida: a transferência internacional de dados. 

Nos parece que, em 2023, enfim teremos o art. 33, da LGPD, desvendado e melhor explicado pela nossa Autoridade máxima. 

Isso é essencial, pois cabe à ANPD definir a) quais os países possuem grau de proteção de dados pessoais correspondente à LGPD; b) publicar cláusulas-padrão contratuais; c) estabelecer selos, certificados e códigos de conduta, entre outras questões. 

Até este momento, de forma geral, as transferências internacionais ocorrem se baseando exclusivamente no inciso IX e as boas práticas de mercado, e a gente sabe que não deve ser bem assim. 

Estes são pontos que, com o devido esclarecimento e regulação por parte da nossa Autoridade, trará mais proteção às operações que envolvem fluxo internacional de informações pessoais, impulsionará o mercado de segurança cibernética e, ainda, irá estabelecer medidas de accountability mais robustas e objetivas para os agentes de tratamento. 

Bom, dito isso, fica claro: sabemos que a ANPD tem muito trabalho pela frente e 2023 promete ser um ano cheio de mudanças. 

Por aqui, pela ótica dos profissionais atuantes na área de privacidade e da própria sociedade civil, o que nos resta é esperar que as medidas sejam tomadas sem bater na tecla de que “estamos atrasados”, mas sim analisar a atuação da Autoridade com a régua da nossa própria cultura e legislação, até para evitar frustrações desnecessárias.

Leia também: Privacidade, proteção de dados pessoais e a prática de background check


Ana Carolina Teles: atua diretamente com Direito Digital e Proteção de Dados, com o intuito de prestar consultoria com a maior expertise possível. Possui especializações sobre a Lei Geral de Proteção de Dados (teoria e prática) pelo Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS Rio), e, ainda, possui cursos de especialização em Direito Digital, Proteção de Dados e Compliance pela Escola Superior de Advocacia de São Paulo (ESAOAB/SP).

google nest

Nest Secure: um alarme contra o princípio da transparência

Lei de Mercados Digitais da União Europeia

Mais uma mudança no mundo da internet: a Lei de Mercados Digitais da União Europeia