Por Milena Maltese Zuffo. Artigo publicado pelo Estadão
Em 29 de outubro, conforme amplamente divulgado, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o tão aguardado Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador. Essa resolução era esperada pelos agentes de tratamento desde a entrada em vigor das sanções administrativa (01/08), quando a autoridade havia divulgado uma nota afirmando que o regulamento ainda estava sendo elaborado, mas que sua atuação sancionadora poderia ser exercida em relação a fatos ocorridos após a entrada em vigor das sanções administrativas e para violações continuadas iniciadas antes da data de início de vigência do regulamento.
Considerando que a própria Autoridade já afirmou que buscará iniciar suas atividades priorizando o diálogo e ações educativas, o processo de fiscalização parece despertar um maior interesse, ao menos nessa primeira fase da ANPD. A fiscalização deverá incluir atividades de monitoramento, orientação e prevenção. O monitoramento será relevante para subsidiar tomadas de decisão da ANPD, enquanto as atividades de orientação buscarão promover a conscientização e educação de agentes de tratamento e dos titulares de dados. Por fim, as atividades de prevenção devem ser realizadas com o objetivo de auxiliar o agente de tratamento a manter-se em conformidade com a LGPD ou evitar/remediar situações que possam acarretar risco ou dano aos titulares.
O processo de fiscalização poderá ter como consequência a abertura de um processo administrativo sancionador, por meio do qual a ANPD poderá aplicar as sanções administrativas que entender pertinentes. Apesar de ser apresentado como uma sequência lógica, o regulamento dispõe expressamente que o processo de fiscalização não é condição necessária para a abertura de processo sancionador, uma vez que, ao analisar o caso concreto (gravidade, danos causados, etc.), a ANPD poderá optar por abrir diretamente o processo sancionador. Nesse contexto, pontuam-se abaixo alguns aspectos da resolução que deverão afetar diretamente o dia a dia das organizações.
Inicialmente, é relevante notar que o regulamento trouxe novos atores que não haviam sido definidos na Lei Geral de Proteção de Dados Pessoais (LGPD). Destaca-se o agente regulado, que inclui os agentes de tratamento (controlador e operador) e integrantes ou interessados no tratamento de dados pessoais. Apesar de haver uma definição do que deve ser entendido como interessados (partes do processo administrativo e respectivos representantes, terceiros cujo interesse possa ser afetado pela decisão adotada, organizações e associações representativas de direitos coletivos e pessoas ou associações legalmente constituídas quanto a direitos difusos), não há qualquer definição ou exemplo sobre o que deve ser compreendido como integrante do tratamento de dados pessoais e, à luz da LGPD, esse termo poderia incluir, portanto, o encarregado de proteção de dados pessoais e o próprio titular de dados.
Quanto à forma de atuação da ANPD nos processos de fiscalização, o regulamento determina que, em regra, as auditorias serão realizadas com a participação de representantes dos agentes de tratamento, mas, considerando situações em que o conhecimento da fiscalização pode colocar em risco a eficácia da mesma, a ANPD poderá realizar auditorias sem prévia notificação. Adicionalmente, caberá ao agente solicitar sigilo das informações e documentos que vierem a ser compartilhados com a ANPD e cuja divulgação possa representar violação a segredo comercial ou industrial.
Outro ponto relevante do regulamento está no estabelecimento de deveres do agente regulado, e o não cumprimento desses deveres poderá ser entendido como obstrução às atividades de fiscalização que poderá levar a ANPD a adotar as medidas que julgar necessárias para finalizar a fiscalização. Uma análise minuciosa dos deveres permite a conclusão de que os agentes deverão adotar medidas que podem ir além de uma cláusula padrão de observação das regras da LGPD para garantir que será possível cumprir os deveres na situação concreta.
Nesse sentido, os deveres podem ser divididos em deveres de menor impacto prático e deveres de maior impacto prático. Os deveres de menor impacto prático são assim entendidos porque não há inovação relevante em relação às regras da LGPD; assim, estariam entre eles a obrigação do agente fiscalizado de fornecer cópias de documentos e informações solicitadas pela ANPD sobre o tratamento de dados realizado, bem como o dever de submeter-se às auditorias realizadas ou determinadas pela ANPD.
Já os deveres de maior impacto prático são assim nomeados porque implicam um dever de organização dos agentes de tratamento no sentido de adotar medidas prévias para que consigam cumpri-los no momento da fiscalização. Nesse sentido, nota-se o dever de permitir acesso da ANPD aos ambientes físicos e digitais (incluindo aqui softwares e programas) relevantes para o tratamento de dados realizado e que estejam em seu poder ou em poder de terceiros. Na forma como escrita, a norma permite a conclusão de que caberá ao controlador garantir que a ANPD tenha acesso aos ambientes de operadores que a autoridade julgue relevantes na fiscalização do tratamento, sendo importante que o controlador, portanto, analise as operações terceirizadas e inclua mecanismos contratuais pelos quais seja possível garantir o acesso da ANPD ao ambiente dos operadores e suboperadores.
Outro dever do agente regulado consiste na prestação de esclarecimentos sobre sistemas de informação utilizados, considerando rastreabilidade, atualização e substituição. É uma prática comum que as operações de tratamento sejam realizadas com o auxílio de operadores e suboperadores. É importante destacar que não há vedação legal a essas contratações, mas, considerando a situação concreta e a atividade a ser desenvolvida por esses operadores, o controlador deverá adotar medidas efetivas que permitam que ele obtenha junto a esses prestadores de serviço as informações necessárias para cumprir seu dever de prestar esclarecimentos. Nesse sentido, poderá ser necessário, por exemplo, que o operador se submeta a auditorias solicitadas pelo controlador ou encaminhe relatórios sobre a atividade de tratamento realizada, cabendo ao controlador estabelecer o conteúdo mínimo dos documentos com base em suas obrigações perante a ANPD.
Há um último dever do agente regulado, que consiste em disponibilizar representante apto a oferecer suporte à atuação da ANPD com conhecimento e autonomia para prestar dados, informações e outros aspectos relevantes sobre o objeto da fiscalização. Nesse caso, destacamos que a ANPD optou por requerer um representante do agente e não se restringiu à figura do encarregado. A opção não parece ter sido um descuido da ANPD, que já emitiu guia orientativo de tratamento realizado por pequenas empresas e tem elaborado um regulamento sobre o mesmo tema, no qual tende a prever hipóteses de dispensa da nomeação do encarregado. De qualquer forma, ao estruturar o programa de gestão de privacidade e proteção de dados pessoais, é imprescindível que a empresa considere que, na hipótese de fiscalização, deverá manter um representante com conhecimento dos processos de tratamento e autonomia suficiente para prestar os esclarecimentos necessários à ANPD.
Em relação à forma como será iniciado o processo de fiscalização, o artigo 16 do regulamento estabelece que a ANPD poderá atuar de ofício, em decorrência de programas periódicos de fiscalização, de forma coordenada com órgãos e entidades públicos, ou em cooperação com autoridades de proteção de dados pessoais de outros países, deixando, aparentemente, de lado o início de fiscalização realizado a partir de solicitações de titulares de dados.
O direito do titular de dados pessoais de peticionar em relação aos seus dados contra o controlador perante a ANPD foi estabelecido expressamente no parágrafo primeiro do artigo 18 e limitado pelo inciso V do artigo 55-J, da mesma Lei, segundo o qual a ANPD deverá apreciar as petições de titulares contra o controlador apenas após o titular comprovar a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação.
Apesar de não constar no rol do artigo 16 sobre como se dará a atuação da competência fiscalizatória pela ANPD, a petição do titular aparece no capítulo destinado a regulamentar a atividade de monitoramento da ANPD, sendo relevante destacar que a autoridade poderá aceitar a autodeclaração do titular de que a solicitação foi previamente encaminhada ao controlador e que ele não solucionou a demanda no prazo previsto em regulamentação.
De maneira complementar à petição do titular, o regulamento cria a denúncia, que consiste em uma comunicação feita à ANPD por qualquer pessoa sobre uma suposta infração à LGPD, e desde que não seja uma petição do titular. Diferente da petição, a denúncia não necessita da prévia tentativa de resolução amigável da questão com o controlador. Ainda, poderá ser admitida na forma anônima e, quando o denunciante for identificado, sua identificação poderá ser considerada informação pessoal protegida com restrição de acesso. Em conjunto com a petição, a denúncia é chamada de requerimento.
Em regra, os requerimentos serão analisados de forma agregada e as providências indicadas pela ANPD deverão ser adotadas de forma padronizada. O regulamento prevê a possibilidade de análise individualizada de requerimentos mediante decisão motivada da Coordenação-Geral de Fiscalização. Contudo, a análise individualizada ainda não será realizada, uma vez que o próprio regulamento prevê que o tratamento desses requerimentos individuais pela ANPD será objeto de regulamentação própria.
No que toca à atividade de orientação, deve-se destacar que a ANPD poderá sugerir que o agente adote algumas medidas, como realização de treinamentos, adoção de programa de governança em privacidade ou códigos de conduta e de boas práticas estabelecidos por organismos de certificação ou outras entidades. Em relação a essas medidas, o regulamento deixa claro que elas não constituirão sanções da ANPD ao agente regulado.
Por fim, ainda nessa zona cinzenta entre uma mera recomendação e a efetiva aplicação de uma sanção, encontra-se a atividade preventiva da ANPD. Como medida de prevenção, a ANPD poderá divulgar informações, avisos, solicitar regularização de situação ou a adoção de plano de conformidade. As medidas são apresentadas como se fossem gradativas, uma vez que o aviso seria uma descrição sobre a situação com informações suficientes para que o próprio agente resolva a situação. A solicitação de regularização, por sua vez, consiste em uma solicitação de regularização na qual a ANPD indicará o prazo determinado para que as medidas sejam adotadas, e este prazo poderá ser prorrogado uma única vez, cabendo ao agente comprovar que a situação indicada foi regularizada dentro do prazo determinado pela ANPD.
Em situações mais complexas, a ANPD poderá determinar a adoção de um plano de conformidade, no qual indicará o objeto, prazos a serem cumpridos pelo agente, ações a serem tomadas, critérios para acompanhamento do plano e trajetória de alcance dos resultados esperados. Assim como na solicitação de regularização, o agente deverá comprovar o atendimento ao resultado esperado e adoção de medidas para reverter a situação identificada pela ANDP dentro do prazo determinado pela autoridade.
Por fim, nota-se que o não cumprimento da solicitação de regularização ou a não adoção do plano de conformidade poderá dar causa à instauração de procedimento sancionador pela ANPD. É importante, assim, que os agentes de tratamento adotem medidas efetivas, dentro de seus programas de gestão de privacidade e adequação à LGPD, suficientes para que possam atender às solicitações da ANPD, na forma disposta no regulamento. Portanto, o momento atual é de cautela no uso indiscriminado de cláusulas padronizadas de proteção de dados pessoais.