Em sua primeira reunião deliberativa do ano, a ANPD, por meio da Portaria nº 11 de 2021, tornou pública a agenda aprovada por seu Conselho Diretor, que vale pelos próximos 2 anos. A agenda traz o prazo previsto para o início do processo de regulamentação dos principais temas sob a responsabilidade do órgão.

Dentre os itens que serão tratados, pode-se enfatizar o regimento interno da ANPD, o regime de proteção de dados para pequenas e médias empresas, o estabelecimento de normativos para cumprimento e aplicação das sanções administrativas, as informações fornecidas acerca da elaboração do Relatório de Impacto à Proteção de Dados Pessoais e esclarecimentos acerca da figura do encarregado de proteção destes dados, bem como a tendência de cooperação internacional de compartilhamento de materiais que sejam de interesse comum.

Os Projetos de Regulamentação contidos no calendário são organizados em 3 fases distintas. A primeira fase tem previsão de início para os primeiros 12 meses do calendário, ao passo que a segunda fase para os os 18 meses iniciais e, por fim, a terceira fase, com previsão de início até o fim de 24 meses. Ainda, é essencial elucidar que, considerando o que preceitua o art. 55-J, III da LGPD, em conjunto com uma análise da Portaria nº 11 de 2021, percebe-se que os itens tratados nas fases mencionadas serão consideráveis fatores de influência na elaboração das diretrizes da Política Nacional de Proteção de Dados Pessoais e da Privacidade pela ANPD, o que dimensiona não só o nível de importância da uniformização regulatória, como também a necessidade de atenção aos prazos determinados.

Em conformidade com a ideia de que a agenda possivelmente poderá ser melhorada ou reavaliada, a Coordenação-Geral de Normatização da ANPD prevê este controle a partir de relatórios semestrais de acompanhamento das iniciativas constantes no calendário, possibilitando mudanças práticas no último relatório de acompanhamento do ano de 2021, caso se faça necessário, mediante aprovação do Conselho-Diretor.

Acerca dos temas trazidos pela agenda a serem adotados na primeira fase, cumpre destacar o papel fundamental da ANPD no que diz respeito ao compromisso de facilitar a adequação da Lei às microempresas, empresas de pequeno porte e iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, adotando-se um regime regulatório diferenciado nestes casos, com a consequente edição de normativo sobre o assunto, em conformidade com o art. 55-J, XVIII da Lei.

Da mesma forma, também merece destaque a publicação do primeiro Regimento Interno da ANPD, através da Portaria n. 1 de 08 de março de 2021, a partir do qual é possível identificar características relevantes consideradas pela Entidade e, como consequência, será elevado o nível de segurança jurídica existente na relação entre a Autoridade e os fiscalizados.

Outro item da primeira fase a ser destacado versa sobre o estabelecimento de normativos para a aplicação de sanções administrativas pela ANPD. Assim, em até 1 ano, poderão ser reveladas as metodologias que orientarão o cálculo do valor-base das sanções de multa, bem como as circunstâncias e condições para sua adoção.

Nos casos em que o tratamento de dados pessoais representar risco às liberdades civis e direitos fundamentais dos detentores dos dados, a previsão legal preceitua que cabe à ANPD editar regulamentos e procedimentos sobre relatórios de impacto à proteção destes dados que, de acordo com a agenda, ocorrerá nos primeiros 12 meses do plano. O RIPD (Relatório de Impacto à Proteção de Dados), é um instrumento de responsabilidade do controlador de dados, por meio do qual será realizada a descrição dos processos envolvidos na operação de forma detalhada, a fim de que riscos mapeados sejam atenuados. É válido frisar também que os relatórios de impacto possuem forte relação com procedimentos de governança corporativa do controlador dos dados.

Um tema da segunda fase da agenda que merece ênfase se refere ao encarregado de proteção de dados pessoais, figura trazida pelo art. 41 da Lei. O calendário prevê que, em até 1 ano e meio, a ANPD poderá estabelecer normas sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações.

Ademais, outro ponto que será regulado em até 1 ano e meio será a cooperação internacional referente à proteção de dados. O art. 33 e seguintes da LGPD tratam da possibilidade deste compartilhamento de informações ser feito entre países ou organismos internacionais que se adequem ao padrão estabelecido pela ANPD, o que facilitaria o pleno acesso de materiais que podem ser de interesse comum.

Para acessar a integra da Portaria nª 11 de 2021 da ANPD, clique aqui.

Para mais informações sobre a Lei de Proteção de Dados, entre em contato.