Autoridade Nacional de Proteção de Dados Pessoais (ANPD): entenda quais são as atribuições da ANPD e como este órgão atuará na fiscalização de implementação da LGPD

Palavras-chave: Lei n. 13.853, de 08 de julho de 2019, Data Protection Authorities, Lei Geral de Proteção de Dados, Regulação.

1 O que é a Autoridade Nacional de Proteção de Dados Pessoais?

Também conhecida pela sigla “ANPD”, a Autoridade Nacional de Proteção de Dados Pessoais brasileira é o órgão responsável pelo cumprimento da Lei Geral de Proteção de Dados Pessoais, Lei n. 13.709, de 14 de agosto de 2018. Cabe ressaltar que, como narrado no nosso[o1]  blog sobre “O que é a LGPD?”, um dos pontos mais debatidos no Congresso Nacional quando se discutiu a aprovação da LGPD foi a criação ou não deste órgão, pois se temia o aumento de despesas, bem como os efeitos da regulação no setor da economia informacional, dado a intensa monetização dos dados pessoais, considerados verdadeiras commodites da sociedade atual.

Por isso, o Projeto de Lei n. 4.060 de 2012, de autoria do Deputado Milton Monti previu um sistema de autorregulação para a proteção de dados pessoais, à semelhança do CONAR – Código Brasileiro de Autorregulamentação Publicitária, esperava-se com esta proposta que as próprias empresas e demais agentes de tratamento de dados pessoais estabelecessem regras de conduta para conciliar o direito fundamental à autodeterminação informacional e o livre desenvolvimento econômico.

No entanto, o texto efetivamente aprovado foi o do Projeto de Lei n. 5.276-A de 2016, de autoria do Poder Executivo, que tramitou na Câmara dos Deputados apensado ao Projeto de Lei anterior. Após a aprovação na Câmara dos Deputados, o texto de lei seguiu para o Senado Federal sob o número 53, resultando o texto aprovado na Lei n. 13.709, de 14 de agosto de 2018.

No entanto, todos os artigos que mencionavam a ANPD foram vetados pelo então Presidente Michel Temer, que acrescentou o órgão com algumas mudanças pela Medida Provisória n. 869, de 27 de dezembro de 2018. A principal mudança foi a estrutura da ANPD, aprovada como órgão da administração pública vinculado à Presidência da República; e não como uma agência reguladora como previsto no texto original. O argumento foi que tendo sido apensado ao Projeto de Lei de iniciativa do Poder Legislativo, não se poderia criar novos órgãos. Atualmente, o texto foi convertido na Lei n. 13.853, de 08 de julho de 2019, que consolidou a criação da Autoridade Nacional de Proteção de Dados Pessoais e Privacidade.

A ANPD é um órgão da administração pública direta, integrante da Presidência da República, a quem caberá nomear os Diretores e Conselheiros, após aprovação do Senado Federal (§ 1o do art. 55-D da LGPD). Tendo por missão precípua a fiscalização para a concreta aplicação da LGPD.

Além deste órgão, cabe aos agentes de tratamento de dados pessoais estabelecerem regras de “Boas Práticas” (art. 50 da LGPD), para nortear suas atividades demonstrando efetivo compliance à LGPD.

2 Estrutura e composição da ANPD.

A Autoridade Nacional de Proteção de Dados é composta pelos seguintes órgãos (art. 55-C da LGPD): – Conselho Diretor, órgão máximo de direção; – Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; – Corregedoria; – Ouvidoria; – Órgão de assessoramento jurídico próprio; – Unidades administrativas e unidades especializadas necessárias à aplicação da LGPD. A LGPD somente disciplinou a composição do Conselho Diretor e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, os demais órgãos serão definidos pelo Regimento Interno da ANPD (art. 55-G § 2o da LGPD).

Portanto, o órgão máximo de direção da ANPD é o Conselho Diretor, que será composto por 5 (cinco) diretores, incluído o diretor-presidente (caput do art. 55-D da LGPD). Os diretores são escolhidos pelo Presidente da República que, após a aprovação pelo Senado Federal, serão por ele nomeados nos termos do art. 52, inc. III, “f” da CF/88. A LGPD exige que os diretores da ANPD sejam brasileiros com reputação ilibada, nível superior de educação e elevado conceito no campo da especialidade de proteção de dados (§ 2o do art. 55-D da LGPD).

Os diretores exercerão o cargo pelo mandato de 4 (quatro) anos, ressalvados os primeiros indicados que terão mandato variado de 6 (seis), 5 (cinco), 4 (quatro), 3 (três) e 2 (dois) anos conforme estabelecer o ato de nomeação. Mas os diretores tem a proteção de não poderem ser destituídos do carto ad nutum, na medida em que são investidos no cargo por ato complexo, sujeitando-se à sabatina pelo Senado Federal. Por isso, a perda do cargo somente pode se dar por renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar (art. 55-E da LGPD).

Após o exercício do cargo, os membros do Conselho Diretor ficam sujeitos ao disposto no art. 6o da Lei n. 12.813, de 16 de maio de 2013:

Art. 6º Configura conflito de interesses após o exercício de cargo ou emprego no âmbito do Poder Executivo federal:

I – a qualquer tempo, divulgar ou fazer uso de informação privilegiada obtida em razão das atividades exercidas; e

II – no período de 6 (seis) meses, contado da data da dispensa, exoneração, destituição, demissão ou aposentadoria, salvo quando expressamente autorizado, conforme o caso, pela Comissão de Ética Pública ou pela Controladoria-Geral da União:

a) prestar, direta ou indiretamente, qualquer tipo de serviço a pessoa física ou jurídica com quem tenha estabelecido relacionamento relevante em razão do exercício do cargo ou emprego;

b) aceitar cargo de administrador ou conselheiro ou estabelecer vínculo profissional com pessoa física ou jurídica que desempenhe atividade relacionada à área de competência do cargo ou emprego ocupado;

c) celebrar com órgãos ou entidades do Poder Executivo federal contratos de serviço, consultoria, assessoramento ou atividades similares, vinculados, ainda que indiretamente, ao órgão ou entidade em que tenha ocupado o cargo ou emprego; ou

d) intervir, direta ou indiretamente, em favor de interesse privado perante órgão ou entidade em que haja ocupado cargo ou emprego ou com o qual tenha estabelecido relacionamento relevante em razão do exercício do cargo ou emprego.”

Além do Conselho Diretor, a ANPD é composta pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDPP), composto por 23 (vinte e três) titulares e suplentes nos termos do art. 58-A da LGPD conforme a redação alterada pela Lei n. 13.853/2019. Destaca-se que a composição do Conselho é multissetorial, pois há representantes do governo, mercado, academia e sociedade civil, cuja indicação será feita desta forma: a) Serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública: – 5 do Poder Executivo federal; – 1 do Senado Federal; – 1 da Câmara dos Deputados; – 1 do Conselho Nacional de Justiça; – 1 do Conselho Nacional do Ministério Público; – 1 do Comitê Gestor da Internet no Brasil; b) Serão indicados na forma de regulamento, desde que não façam parte do Comitê Gestor da Internet no Brasil, com mandato de 2 anos, permitida uma recondução: – 3 de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais; – 3 de instituições científicas, tecnológicas e de inovação; – 3 de confederações sindicais; – 2 de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e, – 2 de entidades representativas do setor laboral.

3 Atribuições da ANPD.

As atribuições da ANPD são sintetizadas no art. 55-J, podendo ser agrupadas conforme sua atuação preventiva, fiscalizatória, regulatória e sancionatória. Alguns exemplos de atuação preventiva da ANPD são: elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade (inc. III), promover conhecimento na população das normas e políticas públicas sobre proteção de dados pessoais e das medidas de segurança (inc. VI), etc. Quanto à fiscalização, cabe à ANPD a possibilidade de solicitar do poder público informações sobre as respectivas atividades de tratamento de dados (inc. XI), bem como de realizar auditorias ou determinar sua realização (inc. XVI). A LGPD prevê também uma atuação normativa ou regulatória, em que a ANPD poderá determinar a adoção de padrões para serviços e produtos que privilegiem a autodeterminação informacional inc. VIII), dispor sobre as formas de publicidade das operações de tratamento de dados pessoais (inc. X), editar regulamentos e procedimentos sobre proteção de dados pessoais (inc. XIII), editar normas, orientações e procedimentos (inc. XVIII), deliberar administrativamente sobre a interpretação da LGPD (inc. XX), etc. Por fim, no campo sancionatório, cabe à ANPD aplicar sanções nas hipóteses de descumprimento da lei, mediante processo administrativo, sendo assegurado o contraditório, a ampla defesa e o direito de recurso (inc. IV), dentre outros.

4 Conclusão

A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) é fundamental para a implementação da Lei Geral de Proteção de Dados Pessoais, sendo uma pedra angular para a consolidação do sistema de proteção de dados no Brasil. As atribuições da ANPD são de cunho preventivo, fiscalizatório, regulatório ou normativo e sancionatório, todas descritas no art. 55-J da LGPD.

Os desafios da ANPD brasileira são muitos a começar por ser um órgão recém criado, em um contexto em que a sociedade informacional se depara com um constante e crescente volume de informações. Isto somado ao fato da lei ter trazido um microssistema novo e complexo ao qual toda a sociedade brasileira está buscando compreender. Por isso, a ANPD deve ser sensível à realidade atual brasileira para colaborar construtivamente à transformação da cultura da super exposição, que marca os cidadãos brasileiros, para a conscientização dos direitos e obrigações decorrentes do tratamento de dados pessoais. Neste sentido, a LGPD, no art. 55-J, estabelece: “§ 1º Ao impor condicionantes administrativas ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei.

5 Referências bibliográficas[o2] 

ARGENTINA. Ley 25.326. Ley de Protección de los Datos Personales. Buenos Aires, Boletín Oficial de la República Argentina, 04 de outubro de 2000. Disponível em: <https://www.oas.org/juridico/pdfs/arg_ley25326.pdf>. Acesso em: 27 janeiro 2019.

BILANCIA, Paola. Riflessi del potere normativo delle autorità indipendenti sul sistema delle fonti. In: Diritto e Società, numero 1, Nuova Serie. Padova: CEDAM, 1999. pp. 251-278.

BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, 15 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 18 janeiro 2019.

_____. Parecer n. 129 de 2018. Redação final do Projeto de Lei da Câmara n. 53, de 2018 (n. 4.060, de 2012, na Casa de origem). Senado Federal, 10 julho 2018. Disponível em: <https://legis.senado.leg.br/sdleggetter/documento?dm=7761513&ts=1533759419365&disposition=inline&ts=1533759419365>. Acesso em: 30 novembro 2018.

CANADÁ. Office of the Privacy Commissioner of Canada. Investigation into the personal information handling practices of WhatsApp Inc. Disponível em: <https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2013/pipeda-2013-001/>. Acesso em: 26 janeiro 2019.

_____. Privacy Act. An Act to extend the present laws of Canada that protect the privacy of individuals and that provide individuals with a right of access to personal information about themselves. Ottawa, Office of the Privacy Commissioner of Canada, 1985. Disponível em: <https://laws-lois.justice.gc.ca/PDF/P-21.pdf>. Acesso em: 26 janeiro 2019.

CATALLOZZI, Marina. I provvedimenti del Garante per la protezione dei dati personali. In: La nuova giurisprudenza civile commentata, ano XIV, 2° Parte. Padova: CEDAM, 1998.

COLOMBO, Matteo. Regolamento UE sulla Privacy: principi generali e ruolo del data protection Officer. Milano: ASSO/DPO, 2015.

CONAR. Código Brasileiro de Autorregulamentação Publicitária. Disponível em: <http://www.conar.org.br>. Acesso em: 20 janeiro 2019.

CONSELHO DA EUROPA. Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais. Roma, 04 de novembro de 1950. Disponível em: <https://www.echr.coe.int/Documents/Convention_POR.pdf>. Acesso em: 20 janeiro 2019.

DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de (coords.) Direito & Internet III – Tomo I: Marco Civil da Internet (Lei n. 12.965/2014). São Paulo: Quartier Latin, 2015.

DE FILIPPI, Primavera; BOURCIER, Danièle. Réseaux et gouvernance. Le cas des architectures distribuées sur internet. In: Pensée plurielle, 2014/2, n. 36, pp. 37-53. Paris: De Boeck Supérieur, 2014.

ESPANHA. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Madrid, Boletín Oficial del Estado, 6 de dezembro de 2018. Disponível em: <https://boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf>. Acesso em: 26 janeiro 2019.

FRANÇA. Loi n. 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Paris, Journal Officiel de la République française n. 0141, de 21 de junho de 2018. Disponível em : <https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=F4F9E84CAA51F016C836254D8A268655.tplgfr42s_1?cidTexte=JORFTEXT000037085952&dateTexte=20180621>. Acesso em: 26 janeiro 2019.

GEIST, Michael. Law, Privacy and Surveillance in Canada in the Post-Snowden Era. Ottawa: University of Ottawa Press, 2015.

INFORMATION COMMISSIONER OFFICE. Data Protection Fee. “From 25 May 2018, the Data Protection (Charges and Information) Regulations 2018 requires every organisation or sole trader who processes personal information to pay a data protection fee to the ICO, unless they are exempt.” Disponível em: < https://ico.org.uk/for-organisations/data-protection-fee/>, acessado em 01 de agosto de 2019.

LIMA, Cíntia Rosa Pereira de.  A imprescindibilidade de uma entidade de garantia para a efetiva proteção dos dados pessoais no cenário futuro do Brasil. Tese de Livre Docência apresentada à Faculdade de Direito de Ribeirão Preto, Universidade de São Paulo. Ribeirão Preto, 2015.

MARCOS, Isabel Davara Fernández de. Hacia la estandarización de la protección de datos personales. Madrid: La Ley, 2011.

OCDE. Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. OCDE, 23 de setembro de 1980. Disponível em: <http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionof privacyandtransborderflowsofpersonaldata.htm>. Acesso em: 19 janeiro 2019.

PIZZETTI, Franco. Le Autorità Garanti per la protezione dei dati personali e la sentenza della Corte di Giustizia sul caso Google Spain: è tempo di far cadere il “velo di Maya”. In: Il Diritto dell’informazione e dell’informatica, fasc. 4-5, Milão: Giuffrè, 2014.

RODOTÀ, Stefano. Prefazione. In: PANETTA, Rocco. Libera circolazione e protezione dei dati personali. Tomo I. Milão: Giuffrè, 2006.

_____. Privacy e costruzione della sfera privata. Ipotesi e prospettive. In: Rivista Politica del Diritto, anno XXII, numero 4, pp. 521-546. Bolonha: Il Mulino, dezembro 1991.

UNIÃO EUROPEIA. Comissão Europeia. Directorate-General for Justice and Consumers. Guide to the EU-US Privacy Shield. Comissão Europeia, 1° de agosto de 2016. Disponível em: <https://ec.europa.eu/info/sites/info/files/2016-08-01-ps-citizens-guide_en.pd_.pdf>. Acesso em: 29 novembro 2018.

_____. A new era for data protection in the EU: what changes after May 2018? Comissão Europeia, 23 de maio de 2018. Disponível em: <https://ec.europa.eu/commission/sites/beta-political/files/data-protection-factsheet-changes_en.pdf>. Acesso em: 04 janeiro 2019.

UNIÃO EUROPEIA. Conselho da Europa. Segundo Protocolo adicional à Convenção Europeia de auxílio judiciário mútuo em matéria penal. Estrasburgo, 08 de novembro de 2001. Disponível em: <http://gddc.ministeriopublico.pt/sites/default/files/documentos/instrumentos/segundo_protocolo_adicional_convencao_europeia_auxilio_judiciario_mutuo_materia_penal.pdf>. Acesso em: 27 janeiro 2019.

UNIÃO EUROPEIA. Parlamento Europeu. Carta dos Direitos Fundamentais da União Europeia. Jornal Oficial das Comunidades Europeias, 18 de dezembro de 2000. Disponível em: <http://www.europarl.europa.eu/charter/ pdf/text_pt.pdf>. Acesso em: 20 janeiro 2019.

UNIÃO EUROPEIA. Parlamento Europeu; Conselho da Europa.  Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995. Jornal Oficial da União Europeia, 23 de novembro de 1995. Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:31995L0046&from=PT>. Acesso em: 30 novembro 2018.

_____. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016. Jornal Oficial da União Europeia, 23 de maio de 2016. Disponível em: <https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504>. Acesso em: 30 novembro 2018.

ZITTRAIN, Jonathan. The Generative Internet. In: Harvard Law Review, vol. 119, 2006, pp. 1974-2040. Cambridge, Massachusetts: Harvard University Press, 2006.

Autora: Cíntia Rosa Pereira de Lima

Professora de Direito Civil da Faculdade de Direito de Ribeirão Preto. Líder dos Grupos de Pesquisa: Tutela jurídica dos dados pessoais na internet (http://dgp.cnpq.br/dgp/espelhogrupo/4485179444454399) e Observatório do Marco Civil da Internet no Brasil (http://dgp.cnpq.br/dgp/espelhogrupo/2215582162179038). Presidente do Instituto Avançado de Proteção de Dados – IAPD.


Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

A sua empresa já está certificada para a LGPD?

O IAPD é o instituto especializado em certificação de empresas e e de profissionais para avaliação da conformidade da sua atuação em relação à Lei Geral de Proteção de Dados. Prepare-se para as novas exigências do mercado no que se refere à privacidade e à segurança dos dados de seus clientes e parceiros.
Entre em contato

+55 (16) 99621-8887

/

/

Horário de Atendimento
Rolar para cima