Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

Links

13 de novembro de 2019

No dia 09 de julho de 2019, foi publicada a Lei nº 13.853/2019, que cria a Autoridade Nacional de Proteção de Dados no Brasil, ou ANPD. 

A ANPD entra para a lista das diversas siglas de órgãos governamentais (ANCINE, ANVISA, ANATEL, etc.) e será a responsável por fiscalizar a correta adoção da coleta, tratamento e compartilhamento de dados pessoais – essencial para o bom andamento e a correta implementação da LGPD no país.

Seu objetivo, portanto, é fiscalizar, controlar e, se for o caso, multar as empresas que lidam com dados pessoais e privacidade.

Ela é o grau máximo, hierarquicamente, na esfera administrativa da Lei Geral de Proteção de Dados. Este fator não elimina o poder de fiscalização de outros órgãos, apenas define a limitação de suas competências.

Dentre as principais atribuições da ANPD, temos: 

  1. Estabelecer os padrões técnicos para o cumprimento da lei; 
  2. Determinar os requisitos necessários para a elaboração dos Relatórios de Impacto;
  3. Fiscalização e aplicação de advertências, multas e demais sanções;
  4. Celebrar compromissos com as empresas;
  5. Comunicar às autoridades competentes as infrações penais das quais obtiver o conhecimento;
  6. Receber e processar toda e qualquer reclamação de pessoa física titular de dados;
  7. Atividades para difundir e educar a população sobre a LGPD.

A cargo dessas atribuições, teremos um conjunto de profissionais distribuídos por diferentes setores.

A estrutura da ANPD

A Autoridade Nacional de Proteção de Dados foi criada com uma estrutura que se organiza em 6 setores:

Conselho Diretor

Será formado por 5 membros, responsáveis por administrar, planejar e tomar decisões pertinentes ao bom funcionamento da LGDP. Um Diretor-Presidente será designado para encabeçar o Conselho.

Conselho Nacional de Proteção de Dados Pessoais e da Privacidade 

Possuindo uma formação de diversos nichos, será composto por 23 membros da sociedade, sem direito a voto nas tomadas de decisões da ANPD. Conforme o Artigo 58 da lei, desses 23, serão: 

  • 5 (cinco) do Poder Executivo federal;
  • 1 (um) do Senado Federal; 
  • 1 (um) da Câmara dos Deputados; 
  • 1 (um) do Conselho Nacional de Justiça;
  • 1 (um) do Conselho Nacional do Ministério Público;
  • 1 (um) do Comitê Gestor da Internet no Brasil; 
  • 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
  • 3 (três) de instituições científicas, tecnológicas e de inovação; 
  • 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;
  • 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e 
  • 2 (dois) de entidades representativas do setor laboral.

Corregedoria

Setor especializado na apuração de erros ou práticas que não estejam em conformidade com a lei. Em caso de erros dos agentes públicos, o setor será o responsável por aplicar as penalidades necessárias.

Ouvidoria

Especializado em atender a população, é a ponte entre os titulares dos dados e a ANPD, responsável por atender a reclamações, dúvidas e mensagens, em geral.

Órgão de assessoramento jurídico próprio 

É o setor especializado em consultoria e assistência jurídica na aplicação da LGPD, para pessoas físicas e jurídicas. É quem vai apoiar a implementação da lei esclarecendo as principais dificuldades que possam ser apresentadas durante os projetos de compliance.

Unidades administrativas e especializadas

Setor formado por diversos órgãos, que serão os responsáveis diretos pela aplicação do que dispõe a Lei Geral de Proteção de Dados.

Competências da ANPD

Segundo o Artigo 55 da Lei Geral de Proteção de Dados, compete à ANPD:

  • I – zelar pela proteção dos dados pessoais, nos termos da legislação; 
  • II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei; 
  • III – elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;                   
  • IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; 
  • V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
  • VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  • VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;  
  • VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; 
  • IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;  
  • X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial; 
  • XI – solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei; 
  • XII – elaborar relatórios de gestão anuais acerca de suas atividades; 
  • XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;   
  • XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento; 
  • XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;  
  • XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
  • XVII – celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942; 
  • XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; 
  • XIX – garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso); 
  • XX – deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos; 
  • XXI – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;  
  • XXII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
  • XXIII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e 
  • XXIV – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei. 

Sanções da LGPD

Ao sancionar a Lei Geral de Proteção de Dados, o governo brasileiro espera que todas as empresas façam cumprir a força da lei e sigam seus requisitos. Porém, em caso de organizações infratoras, existem punições previstas no texto que vão desde uma advertência até uma multa de até 50 milhões de reais.

O intuito da lei é criar uma cultura de privacidade no ambiente de negócios brasileiro. Por essa razão, as penalidades sempre seguirão critérios objetivos, de modo que a valorização da cultura de proteção de dados seja incentivada, enquanto a de displicência, punida.

Se o controlador (empresas e organizações) não cumprir com o exigido, a ANPD é a responsável por aplicar advertências, penalidades e, dependendo da gravidade do caso, multas, como veremos a seguir:

Advertência

A ANPD pode advertir formalmente uma organização a fim de permitir que ela corrija as infrações sem maiores consequências. Será fornecido um prazo para adoção das medidas corretivas determinadas pelo órgão. 

Multa simples

O valor da multa será de até 2% do faturamento da pessoa jurídica no seu último exercício. O teto será de R$ 50 milhões por infração e os valores das multas arrecadadas com a fiscalização da ANPD em conformidade com a Lei Geral de Proteção de dados serão destinados ao Fundo de Defesa de Direitos Difusos.

Multa diária 

Além da multa simples, poderá ser instituída uma multa diária. O limite continua sendo de R$ 50 milhões por infração.

Publicitação da Infração

Divulgação pública da infração da empresa, nos meios de comunicação pertinentes, explicitando os delitos cometidos em toda a sua extensão.

Bloqueio dos Dados Pessoais

Os dados a que se referirem à infração serão bloqueados até que as autoridades competentes solucionem o caso. Impossibilitando o manejo e, por consequência, qualquer tipo de atividade ligados a eles.

Eliminação de Dados Pessoais

Os dados que caracterizaram a infração deverão ser apagados do sistema da empresa, ocasionando na perda de todo investimento efetuado na captação de tratamento desses dados.

Conclusão

Como foi criada muito recentemente, a real atuação da ANPD será revelada de forma fracionada. Nem por isso devemos subestimá-la. Você não vai querer descobrir seus efeitos na prática, certo?

A Compugraf conta com soluções de conformidade para sua empresa se adequar à LGPD o quanto antes! Clique aqui e converse com um dos especialistas em privacidade de dados para saber mais.

Publicações relacionadas

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?