Na semana em que comemora dois anos de sua criação, a Autoridade Nacional de Proteção de Dados (ANPD) publicou nova agenda para o período de 2023 e 2024, tornando público o planejamento regulatório desenvolvido pela autarquia, agora autônoma e independente do governo federal. A Agenda Regulatória da ANPD apresenta as ações e medidas entendidas como prioritárias no âmbito de atuação da entidade para o próximo biênio e é uma continuidade da agenda anterior, que se encerra e no fim de 2022.
O documento é considerado uma ferramenta de planejamento que pretende conferir mais transparência e dar mais previsibilidade ao processo regulatório da autarquia. A partir de consultas públicas e da análise feita pela ANPD, são levantados os pontos principais que devem ser incluídos na agenda para discussão. O documento detalha o prazo do processo regulatório e a forma como o assunto será tratado: se por resolução, guia de boas práticas ou portaria.
HISTÓRICO
Em janeiro de 2021, a ANPD publicou sua primeira Agenda Regulatória com o objetivo de indicar quais temas relacionado à Lei Geral de Proteção de Dados Pessoais (LGPD) seriam destaque na esfera de atuação da autarquia ao longo dos seus dois primeiros anos de atividade.
Na primeira versão, a Agenda Regulatória elencava dez pontos prioritários, categorizados em três fases a depender da previsão de sua conclusão. Pode-se dizer que a ANPD prezou por uma postura orientativa ao estabelecer como prioridade a elaboração de resoluções, frameworks, protocolos e guias para orientar o início do funcionamento da autoridade na fiscalização e proteção de dados pessoais e privacidade de titulares.
Tal agenda traria maior segurança jurídica na orientação de modelos de negócio que, com a LGPD, passaram a atentar a novas medidas de segurança, em linha com direitos associados à garantia da privacidade e da proteção de dados.
Desde a publicação da LGPD, a discussão sobre o direito à privacidade e à proteção de dados pessoais de titulares de dados passou a ter grande atenção dos três poderes. Tanto é que, em 2022, o Artigo 5º da Constituição Federal passou a contar com nova redação, incluindo entre os direitos fundamentais o direito à proteção de dados pessoais.
De lá para cá, segue em ritmo acelerado a atuação da ANPD, pautada em sua Agenda Regulatória como orientação aos futuros pontos de atenção e obtenção de subsídios para regulamentação pela autarquia: todos os itens da Agenda Regulatória para o biênio 2021-2022 foram iniciados dentro do prazo estabelecido.
Contudo, diversas iniciativas trazidas na Agenda 2021-2022 não foram concluídas no prazo previsto: alguns pontos submetidas a consulta pela ANPD não avançaram na consolidação de um entendimento por parte da autoridade. É o caso da determinação da dosimetria da pena e de sanções aplicadas a despeito de violações à LGPD, definições como o tratamento de alto risco, mencionado no regulamento que flexibiliza a aplicação da LGPD a agentes de pequeno porte, e especificações envolvendo a comunicação de incidentes e prazo de notificação à autoridade.
A NOVA AGENDA REGULATÓRIA
Os pontos de atenção prioritária detalhados pela ANPD na Agenda Regulatória 2021-2022 e que ainda não resultaram em determinações publicadas pela autarquia passam a compor a Fase 1 da nova agenda, sendo que os 12 itens elencados nessa categoria continuarão a ser desenvolvidos como prioridade pela autoridade. Além dos pontos elencados na fase 1, mais oito itens passaram a incluir o planejamento regulatório da ANPD:
- Compartilhamento de dados pelo poder público – Previsto nos Artigos 26 e 27 da LGPD, o compartilhamento de dados entre entes privados e o poder público será alvo de estudos para determinar procedimentos a serem adotados pelos agentes, bem como parâmetros de transparência sobre a divulgação de convênios estabelecidos.
- Tratamento de dados pessoais de crianças e adolescentes – Apesar de a autoridade já ter realizado estudo preliminar sobre o tema, o novo estudo pretende englobar análise de impactos sobre aplicações de internet e plataformas on-line na proteção de dados de menores, ampliando a abordagem de pesquisa em cima do trabalho já desenvolvido.
- Diretrizes para a Política Nacional de Proteção de Dados Pessoais e Privacidade – A política deverá envolver diversos outros projetos no âmbito de políticas públicas, englobando todos os atores do ecossistema de proteção de dados e planos de gestão já desenvolvidos em outros sistemas, como a Estratégia Digital, o Plano Nacional de IoT etc.
- Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança – Como parte de um trabalho de constante atualização, medidas de boas práticas e segurança da informação que orientem a organização interna das empresas controladoras e/ou operadoras de dados devem ser sempre revisadas para considerar mudanças no cenário tecnológico e de modelos de negócios. A regulamentação servirá como o reconhecimento, pela ANPD, dos padrões de melhores práticas em governança.
- Dados pessoais sensíveis: dados biométricos – A coleta de biometria deverá receber maior atenção da autoridade, em caráter orientativo, a respeito da legitimidade de sua coleta e da segurança do titular.
- Medidas de segurança, técnicas e administrativas – Em linha com o §1º do Artigo 46 da LGPD, a autoridade planeja dispor sobre os padrões técnicos mínimos de segurança considerando a natureza das informações tratadas e o estado da tecnologia disponível para que os agentes de tratamento garantam a proteção dos dados pessoais de acessos não autorizados ou situações de tratamento inadequado ou ilícito dos dados.
- Inteligência Artificial (IA) – Tendo em vista a complexidade do tema abordado no Artigo 20 da LGPD, a autoridade busca desenvolver documentos e orientações aos titulares de dados para o exercício de seus direitos na solicitação de revisão de decisões automatizadas, além de servir de base para outras regras que disciplinem o sistema de IA.
- Termo de Ajustamento de Conduta (TAC) – Como parte do processo fiscalizatório da ANPD, o TAC será instrumento para mediação de propostas no âmbito de processos sancionadores promovidos pela autoridade, em eventuais investigações de ilícitos cometidos no âmbito da LGPD.
PRIMEIRAS CONCLUSÕES
A publicação da nova Agenda Regulatória para os próximos dois anos reforça o esforço contínuo da ANPD de dar mais previsibilidade ao processo regulatório e manter a transparência como um de seus pilares de atuação.
Ainda que a nova agenda dê seguimento à discussão dos temas do biênio passado, o que corrobora a postura orientativa adotada pela ANPD, pode-se esperar que os próximos anos sejam de transição para a autoridade. Isso porque alguns dos temas pautados na nova Agenda Regulatória, como multas, direitos de titulares, comunicação de incidentes e relatórios de impacto, indicam que a ANPD dará destaque à fiscalização da LGPD e, possivelmente, passará a adotar uma postura coercitiva de forma mais enfática.