A Autoridade Nacional de Proteção de Dados (ANPD), em 28 de outubro de 2021, publicou através da Resolução CD/ANPD nº 1/2021 o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador.

Nos termos do art. 15 do Regulamento, a ANPD, no exercício de sua competência fiscalizatória, poderá adotar atividades de monitoramento, orientação e prevenção, bem como poderá iniciar a medida repressiva.

Entende-se por monitoramento o levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD com o fim de assegurar o regular funcionamento do ambiente regulado. Já, as atividades de orientação são caracterizadas pela utilização de métodos e ferramentas que almejam a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais.

As atividades de prevenção, por sua vez, referem-se à construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade ou a evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento.

Por fim, a atividade repressiva caracteriza-se pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no artigo 52 da LGPD, por meio de processo administrativo sancionador.

A ANPD poderá iniciar as atividades de fiscalização (art. 16 da Resolução CD/ANPD nº 1/2021):

(i) de ofício;

(ii) em decorrência de programas periódicos de fiscalização, definidos com o auxílio do relatório de ciclo de monitoramento e mapa dos temas prioritários;

(iii) de forma coordenada com órgãos e entidades públicos; ou

(iv) em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

O primeiro ciclo de monitoramento terá início a partir de janeiro de 2022 e será realizado pela Coordenação-Geral de Fiscalização, órgão específico singular da ANPD que possui competência para verificar o cumprimento da Lei Geral de Proteção de Dados e de infrações à legislação.

Assim, é imprescindível que as empresas estejam em conformidade com a Lei Geral de Proteção de Dados (LGPD) e preparadas para comprovar tal conformidade em casos de fiscalização pela ANPD.

O ideal é que seja instituído um programa de privacidade nas empresas, para que a cultura da privacidade e proteção de dados pessoais mantenha-se viva. Entretanto, é sabido que tais programas demandam custo e tempo para as empresas. Embora o mercado tenha se movimentado no sentido de adequação à LGPD, muitas não iniciaram sequer um projeto de adequação.

Portanto, traz-se aqui, de forma não exaustiva, cinco itens que as empresas devem considerar para demonstrar a conformidade com a LGPD em casos de fiscalização. Ainda que o compliance com as normas de privacidade e proteção de dados transpareçam mais como uma cultura, através de ações conscientes, existem documentos que sustentam programas de privacidade e que podem ser utilizados como comprovação do uso de boas práticas e governança na temática.

O registro das atividades de tratamento trata-se de um documento que consolida todas as atividades de tratamento de dados pessoais realizada pela empresa, de forma a identificar a finalidade do tratamento, os dados pessoais e sua natureza, a categoria de titulares, a base legal, formas de armazenamento e compartilhamento de dados e documentos, a existência de compartilhamento de dados com empresas terceiras, bem como a existência de transferência internacional.

Sua obrigatoriedade decorre do art. 37 da LGPD, que dispõe que “o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”. Dessa forma, manter um registro de atividades de tratamento de dados pessoais em sua empresa, além de funcionar como um “mapa” de todas as operações de tratamento realizadas e auxiliar em demais obrigações legais como o atendimento do exercício de direito pelos titulares, é um documento que pode ser apresentado como uma das medidas adotadas para garantir a governança em proteção de dados pessoais.

A política de privacidade é um instrumento de governança interna de uma organização que estabelece regras e diretrizes para o tratamento de dados pessoais por seus stakeholders. Tal documento pode ser independente, bem como possuir procedimentos de apoio, de forma a tratar de questões específicas como a elaboração de política de retenção e descarte de dados pessoais, políticas de uso aceitável, procedimentos de avaliação de privacidade, entre outros.

Mais importante que possuir uma política de privacidade e procedimentos de apoio é torná-los acessíveis e compreensíveis por todos os stakeholders. Ações de treinamento e conscientização são extremamente necessárias para garantir que as regras e diretrizes trazidas por tais documentos sejam cumpridos.

Assim, além dos documentos de governança mencionados, o registro de treinamento e ações de conscientização constituem-se igualmente em medidas que comprovam a conformidade com a LGPD e as boas práticas de privacidade e proteção de dados pessoais.

O aviso de privacidade, trata-se de um documento externo voltado aos titulares de dados pessoais de forma a garantir a transparência no tratamento de seus dados.

Um aviso de privacidade deve conter, ao menos, os dados pessoais tratados e sua natureza, as finalidades e formas de tratamento, formas de armazenamento e compartilhamento, a existência de transferência internacional, o compartilhamento de dados pessoais com terceiros, bem como a indicação dos direitos dos titulares trazidos no capítulo III da LGPD.

Importa destacar que os avisos de privacidade publicados devem ser mantidos pela organização para demonstração de conformidade com a LGPD. Ainda, quando da atualização é recomendável que as versões anteriores também sejam armazenadas de forma a demonstrar a conformidade.

A adequação contratual é essencial para estabelecer regras e responsabilidades a respeito da privacidade e proteção de dados pessoais, em especial o cumprimento a LGPD.

Cláusulas que estabeleçam cooperação entre agentes de tratamento para atendimento aos exercícios de direito realizados pelos titulares, notificação de incidentes de dados pessoais, adoção de medidas técnicas e organizacionais destinadas à segurança e proteção de dados pessoais são de extrema importância e demonstram que a organização se preocupa e adota medidas a cumprir com a LGPD.

Elaborar um plano de resposta a incidentes de dados pessoais é uma das medidas imprescindíveis ao programa de privacidade e proteção de dados pessoais. Isso porque, ainda que a organização possua a melhor tecnologia existente no mercado, realize constantemente treinamento e ações de conscientização dos stakeholders, nunca estará totalmente isenta da ocorrência de incidentes de dados pessoais.

Assim, possuir um plano que estabeleça ações a serem tomadas, os departamentos participantes e suas responsabilidades, situações e formas de notificação de autoridades, órgãos públicos e titulares, bem como o registro e plano de ação de melhorias prepara a organização para a atuação em caso de incidentes, ao mesmo passo que demonstra a adoção de medidas de boas práticas de privacidade e proteção de dados pessoais.

Entretanto, assim como a política de privacidade e demais documentos de governança, para que o plano resposta a incidentes de dados pessoais seja efetivo, faz-se necessário que todos os envolvidos sejam treinados para que quando da ocorrência de um incidente e do acionamento do plano, todos estejam a postos e preparados para sua execução.

Ainda, os registros dos incidentes, mesmo que não exista a obrigação legal de notificação, devem ser mantidos pela organização em casos de fiscalização.

Adotando as medidas acima elencadas, de forma não exaustiva, sua empresa estará apta a demonstrar conformidade com a LGPD e boas práticas de governança. Considerando o exposto, sua empresa estaria preparada caso a ANPD procedesse uma fiscalização hoje?