As regras valem para todas as empresas que fazem uso do tratamento de dados pessoais, visando zelar pelo cumprimento e implementação da LGPD e proteger os direitos dos titulares de dados. Aplicam-se aos titulares de dados, aos agentes de tratamento, pessoas naturais ou jurídicas, de direito público ou privado e demais interessados no tratamento de dados pessoais.
A fiscalização da ANPD, conforme previsto no artigo 16 do regulamento, poderá se iniciar por: I - meio de ofício, II - em decorrência de seus programas periódicos de fiscalização, III - de forma coordenada com órgãos e entidades públicos ou IV - em cooperação com outras autoridades de proteção de dados de outros países. O processo envolve as atividades de monitoramento, orientação, atuação preventiva e repressiva.
“A ANPD previu possibilidades de sanções de acordo com seriedade escalável, com penalidades mais fortes para casos extremos. A publicação do regulamento é extremamente positiva pois apresenta as etapas do processo formal de fiscalização, regula efetivamente a atuação da ANPD, o que demonstra que a LGPD veio para ficar e, portanto, as empresas deverão se adequar o quanto antes para evitar possíveis sanções”, avalia Périsson Andrade, sócio do escritório Perisson Andrade, Massaro e Salvaterra Advogados.
Etapas da fiscalização
Monitoramento: levantamento de informações relevantes para a tomada de decisão pela ANPD. O ciclo de monitoramento será anual e realizado por meio de instrumentos como o Relatório de Ciclo de Monitoramento e o Mapa de Temas Prioritários. O Mapa de Temas Prioritários, de acordo com o artigo 21 da Resolução CD/ANPD, será bianual e estabelecerá os temas prioritários que serão considerados pela ANPD para planejamento da atividade de fiscalização do período.
Orientação:promove a orientação, conscientização e educação dos agentes de tratamento e dos titulares de dados pessoais por meio de guias de boas práticas e de modelos de documentos para serem utilizados por agentes de tratamento, sugestão aos agentes regulados da realização de treinamentos e cursos, etc.
Prevenção: visa reconduzir o agente de tratamento à plena conformidade ou evitar ou mitigar situações que acarretem risco ou dano aos titulares de dados pessoais. A divulgação de informações, avisos, solicitação de regularização ou informe; e plano de conformidade planos são consideradas medidas preventivas.
Repressão: punição dos responsáveis mediante aplicação das sanções, previstas no artigo 52 da LGPD, e em conformidade com regulamento específico a ser editado posteriormente, aplicada por meio de processo administrativo sancionador previsto no Regulamento.
Processo Administrativo Sancionador
O Regulamento prevê, em seu artigo 37, que “o processo administrativo sancionador destina-se à apuração de infrações à legislação de proteção de dados de competência da ANPD”. Em decorrência do processo de monitoramento, a Coordenação-Geral de Fiscalização da ANPD poderá deliberar a abertura imediata de processo sancionador. Após a lavratura do auto de infração, o acusado tem direito à ampla defesa e deve apresentar provas dos fatos que alegar, no prazo máximo de dez dias úteis, na forma indicada na intimação. Após este período será elaborado Relatório de Instrução, que servirá de base para a decisão de primeira instância pela Coordenação-Geral de Fiscalização.
Se a decisão de primeira instância decretar a aplicação de sanção administrativa, a intimação determina o cumprimento da sanção e o prazo para a execução. O acusado terá chance de recorrer das decisões em diferentes instâncias.
E mesmo em caso de condenação final, com transito em julgado, o processo poderá ser revisto. Se houver fatos novos ou relevantes, o processo administrativo que resulte em sanções poderá ser revisado, em qualquer momento. O autuado intimado também poderá protocolar recurso administrativo à autoridade que proferiu a decisão. Neste caso, a ANPD pode avaliar arquivamento do processo administrativo ou reconsiderar a sua decisão, de forma fundamentada.
Deveres dos Agentes Regulados
Entre a lista de deveres dos agentes regulados está a possibilidade de serem submetidos à auditoria, pela ANPD, e a necessidade de fornecer cópia de documentos, físicos e digitais para a avaliação das atividades de tratamento de dados pessoais no prazo, local, formato e demais condições estabelecidas pela ANPD; possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição; e outros dados relevantes para a avaliação das atividades de tratamento de dados pessoais.
Denúncias
Apesar da fiscalização da ANPD iniciar somente ano que vem, as empresas devem considerar que podem receber uma denúncia, que será avaliada em requerimento estabelecido, para adoção de medidas de forma padronizada pela autoridade. Dado que o Ministério Público e Procons estão bem atuantes, independente da ANPD, a justiça computa mais de 600 casos de condenação na justiça tratando sobre proteção de dados, as empresas devem rever seus processos internos para se adequar imediatamente aos requisitos da LGPD.
O assunto é longo e requer atenção de todas as empresas. A equipe do Perisson Andrade, Massaro e Salvaterra Advogados está à disposição para assessorar sua empresa na implantação da LGPD.