Em 8 de janeiro de 2023, a Autoridade Nacional de Proteção de Dados Pessoais publicou a Portaria ANPD nº 35, de 4 de novembro de 2022, que tornou pública a Agenda Regulatória para o biênio 2023-2024, conceituada como um instrumento de planejamento que agrega as ações regulatórias consideradas prioritárias pelo Conselho-Diretor e que serão objeto de estudo ou tratamento pela Autoridade durante sua vigência.
A Agenda Regulatória foi separada em 4 (quatro) fases, classificadas por prazos e ordem de prioridade.
Fase 1
Contempla itens cujo processo regulatório foi iniciado durante a vigência da Agenda Regulatória para o biênio 2021-2022, aprovada pela Portaria nº 11, de 27 de janeiro de 2021, e contém 12 (doze) iniciativas, de acordo com texto da Portaria nº 35:
· Regulamento de Dosimetria e Aplicação de Sanções Administrativas
Mostra-se necessário definir as metodologias aptas a orientar o cálculo do valor-base das sanções de multa e que devem apresentar objetivamente as formas e as dosimetrias para o cálculo, contendo a fundamentação detalhada de todos os seus elementos.
Esta etapa foi concluída e o documento publicado em 27 de fevereiro de 2023, conforme a Resolução ANPD nº 4, de 24 de fevereiro de 2023.
· Direitos dos titulares de dados pessoais
Será destinada especial atenção aos artigos da lei que clamam por regulamentação, como o Art. 9º, que dispõe sobre o acesso facilitado às informações sobre o tratamento dos dados do titular, o Art. 18, que trata das informações que o titular de dados tem o direito de obter do controlador, a qualquer momento e mediante requisição, o Art. 20, que cuida do direito de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem os interesses do titular,
incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade, e o Art. 23, que prevê o tratamento de dados pessoais pelo Poder Público.
· Comunicação de incidentes e especificação do prazo de notificação
Serão definidos os prazos para comunicação de incidentes, o formulário, e a melhor forma de encaminhamento das informações à ANPD.
· Transferência Internacional de Dados Pessoais
Cuida-se da regulamentação dos Arts. 33 a 35, da LGPD, com a definição de parâmetros para avaliar o nível de proteção de dados do país estrangeiro ou do organismo internacional e o conteúdo de cláusulas contratuais padrão.
· Relatório de Impacto à Proteção de Dados Pessoais
Devem ser regulamentados os procedimentos sobre relatórios de impacto à proteção de dados pessoais para todos os casos em que o tratamento represente alto risco à garantia dos princípios gerais de proteção de dados pessoais.
· Encarregado de proteção de dados pessoais
Estabelecerá normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
· Hipóteses legais de tratamento de dados pessoais
Documento para orientação do público sobre as bases legais e as hipóteses de aplicação da LGPD em diversos temas.
· Definição de alto risco e larga escala
A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022 dispôs sobre os critérios genéricos para definição do tratamento de alto risco ao titular de dados.
· Dados Pessoais Sensíveis – Organizações religiosas
Visa disseminar as medidas básicas para adequação à LGPD pelas organizações religiosas.
· Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa
Intenta elaborar recomendações e orientações que possam incentivar a adoção de boas práticas e respaldar o tratamento de dados pessoais realizado para fins acadêmicos e de estudos e pesquisas de forma compatível com a LGPD.
· Anonimização e pseudonimização
Busca esclarecer a utilização das técnicas de anonimização e de pseudonimização previstos na LGPD.
· Regulamentação do disposto no art. 62 da LGPD
Cuida-se de regulamento específico para acesso a dados tratados pela União com o propósito de cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004.
Fase 2
Contempla 4 (quatro) itens cujo início do processo regulatório acontecerá em até 1 ano.
· Compartilhamento de dados pelo Poder Público
A ANPD deve dispor sobre as formas de publicidade das operações de tratamento, bem como que os contratos e os convênios estabelecidos entre o Poder Público e as entidades privadas que tenham acesso a dados pessoais constantes de bases de dados deverão ser comunicadas a ela. Assim, o estudo objetiva a operacionalização dos Arts.
26 e 27, da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado.
· Tratamento de dados pessoais de crianças e adolescentes
O Estudo Preliminar publicado pela ANPD não pretendeu ser exaustivo, e remanesce a necessidade de regulamentação de temas relevantes, como os impactos de plataformas e jogos digitais na Internet na proteção de dados de crianças e de adolescentes e as técnicas para aferição do consentimento ou para a aferição de idade de usuários de aplicações de internet.
· Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade
Busca direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, considerando as demais políticas públicas publicadas, como, por exemplo, Estratégia Digital, Plano Nacional de IoT, dentre outros.
· Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança
Cuida da publicação, atualização periódica, reconhecimento e divulgação pela ANPD das regras de boas práticas e governança formuladas pelos controladores e operadores de dados pessoais.
Fase 3
Contempla 3 (três) itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses
· Dados Pessoais Sensíveis – Dados biométricos
Propõe desenvolver um documento de caráter orientativo ou uma regulamentação vinculante sobre os contextos nos quais a coleta de dados sensíveis biométricos seria legítima.
· Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança)
Disporá sobre padrões técnicos mínimos de segurança da informação, considerando a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na LGPD.
· Inteligência artificial
Busca elaborar guias e estudos técnicos sobre decisão automatizada e inteligência artificial, haja vista sua utilização pelos agentes de tratamento e a vulnerabilidade técnica do titular de dados pessoais.
Fase 4
Contempla 1 (um) cujo início do processo regulatório acontecerá em até 2 anos.
· Termo de Ajustamento de Conduta – TAC
O Termo de Ajustamento de Conduta – TAC é instrumento que compõe o Processo de Fiscalização e o Processo Administrativo Sancionador da ANPD, possibilitando ao agente interessado a apresentação de proposta de acordo como alternativa ao regular andamento do processo sancionador.
Atualizações
O PDK acompanha diariamente a Autoridade Nacional de Proteção de Dados, colabora com as pesquisas públicas e se mantém constantemente atualizado com os temas de privacidade, proteção de dados pessoais e cybersegurança.
Os próximos passos de cada uma das Fases serão acompanhados com proximidade e traremos todas as atualizações aos nossos clientes, selecionando as relevantes e impactantes para comunicação no blog.
Referências Bibliográficas:
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. ANPD publica Agenda Regulatória 2023-2024. Publicado em 08 de novembro de 2022 e atualizado em 10 de novembro de 2022. Disponível em <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-agenda-regulatoria-2023-2024> Acesso em 18 de janeiro de 2023.
BRASIL. Lei Federal nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (“LGPD”).
BRASIL. Portaria ANPD nº 35, de 4 de novembro de 2022, da Autoridade Nacional de Proteção de Dados Pessoais.
BRASIL. Resolução ANPD nº 4, de 24 de fevereiro de 2023, da Autoridade Nacional de Proteção de Dados Pessoais.
Quer saber mais? Entre em contato com a nossa equipe de especialistas!