Perguntas Frequentes – ANPD (Parte II)

  1. Regulamentação da LGPD

4.1 – Quando a ANPD editará os regulamentos previstos na LGPD? 

De modo a planejar as ações regulatórias a partir da sua atual capacidade operacional (conforme estrutura aprovada por meio do Decreto nº 10.474, de 26 de agosto de 2020), bem como em atenção à regulação responsiva e ao aumento da participação social, a ANPD estabeleceu e publicou uma Agenda Regulatória para o biênio 2021-2022.

O documento, que apresenta a previsão de início do processo de regulamentação de vários temas, foi aprovado pela Portaria nº 11, de 27 de janeiro de 2021.

A Portaria mencionada prevê a possibilidade de alteração dos prazos previstos mediante deliberação do Conselho Diretor, conforme a conveniência e a oportunidade da ANPD.

4.2 – Podem ser apresentados à ANPD propostas para estabelecimento de regulamento para setores ou atividades específicos? 

A Agenda Regulatória elaborada pela ANPD não prevê a elaboração de normativos que tratem das particularidades de determinados setores ou atividades no primeiro biênio, o que não impede o recebimento de proposta neste sentido, que pode ser enviada por meio dos nossos canais de atendimento, ou a elaboração futura de guias e orientações.

As respectivas informações sobre os processos de regulamentação em curso serão devidamente disponibilizadas no sítio eletrônico da ANPD.

Para maiores informações sobre a Agenda Regulatória, vide item 4.1 deste documento.

  1. Adequação à LGPD

5.1. O que as empresas e o setor público precisam fazer para se adequar? 

A LGPD estabelece uma série de providências que devem ser adotadas pelos agentes de tratamento, que incluem o mapeamento e o registro das operações de tratamento de dados pessoais que realizarem, incluindo a identificação das respectivas bases legais e finalidades; a adoção de medidas técnicas e administrativas e de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais.

A Lei determina, no art. 41, que os controladores de dados devem indicar um Encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Em determinadas circunstâncias, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, a ANPD poderá estabelecer hipóteses de dispensa da necessidade de sua indicação (art. 41, § 3º).

5.2 – As pessoas físicas e jurídicas, públicas ou privadas, que realizam atividades de tratamento de dados pessoais terão de transferir para a ANPD seus bancos de dados?

Não será exigido que pessoas físicas ou jurídicas que realizam tratamento de dados transfiram para a ANPD seus bancos de dados. Cabe à ANPD fiscalizar e aplicar sanções quando o tratamento de dados ocorrer em desconformidade com a legislação de proteção de dados, mediante processo administrativo, com contraditório e ampla defesa.

5.3 – Como deve ser feita a indicação do encarregado pelo tratamento de dados pessoais? 

O encarregado deve ser indicado pelo controlador por meio de procedimentos administrativos definidos pela pessoa natural ou jurídica. Conforme previsto na LGPD, no art. 41, § 1º, as informações de contato do encarregado deverão ser divulgadas publicamente de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

Não há, até o momento, previsão legal para que os dados do encarregado sejam encaminhados à ANPD. Também não consta na legislação, nem em orientações da ANPD, exigência para que o encarregado possua algum tipo de certificação profissional.

5.4 – Podem ser encaminhados à ANPD documentos a serem revisados e aprovados pela Autoridade? 

Conforme suas atribuições legais, a ANPD poderá reconhecer e divulgar regras de boas práticas, o que não se confunde com validação individual de material informativo. Assim, documentos orientativos, tais como guias e manuais, elaborados por controladores ou operadores, individualmente ou por meio de associações não necessitam ser avaliados previamente pela ANPD.
Quanto aos documentos com previsão legal de verificação por parte da ANPD, como, por exemplo, os mencionados no art. 35 da LGPD, importa mencionar que ainda não se encontram regulamentados os procedimentos que orientarão a atuação da Autoridade nesse tocante, motivo pelo qual ainda não estão sendo realizadas atividades nesse sentido.

5.5 – Por quanto tempo os dados pessoais podem ser tratados? 

A LGPD não especifica um prazo durante o qual pode haver o tratamento dos dados pessoais, o que dependerá da circunstância e da finalidade do tratamento.

Nos termos do art. 15 da LGPD, o término do tratamento de dados pessoais deve ocorrer nas seguintes hipóteses:

  • verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  • fim do período de tratamento;
  • comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou
  • determinação da ANPD, quando houver violação ao disposto na LGPD.

Na incidência de qualquer uma das hipóteses acima, a Lei determina que os dados pessoais sejam eliminados, conforme consta em seu art. 16, mas autoriza a conservação para as seguintes finalidades:

  • cumprimento de obrigação legal ou regulatória pelo controlador;
  • estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGDP; ou
  • uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Assim, se na situação concreta não houver a incidência de uma das finalidades autorizadas pela LGPD, os dados devem ser eliminados após o término do tratamento.

A ANPD emitirá normas complementares sobre o tratamento dos dados pessoais. No momento, é importante que seja verificada a existência de amparo legal para o tratamento do dado.

5.6 – Estão disponíveis Guias e outros materiais de referência elaborados pela ANPD para estudo e implementação da LGPD? 

Até o momento, a ANPD publicou os seguintes documentos:

Oportunamente, serão expedidos outros guias e materiais de referência sobre proteção de dados e implementação da LGPD.

As publicações, normas e outros links de interesse estão disponíveis na página de Documentos e Publicações da ANPD.

5.7 – Existem cursos ou certificações relativos à LGPD elaborados ou indicados pela ANPD? 

Ainda não há capacitação formatada pela ANPD referente à aplicabilidade da LGPD, assim como não existem organizações credenciadas junto à Autoridade para oferta de cursos ou certificações.

As ações dirigidas à capacitação e à orientação dos agentes de tratamento e da sociedade quanto às normas de Proteção de Dados Pessoais encontram-se previstas no Planejamento Estratégico da ANPD.

As informações relativas às ações empreendidas e às orientações emitidas pela ANPD têm sido divulgadas no sítio eletrônico da Autoridade.

5.8 – É possível habilitar instituição para que seja reconhecida ou validada pela ANPD como prestadora de serviço sobre proteção de dados? 

Não há ainda iniciativas da ANPD destinadas ao reconhecimento ou à validação de organizações públicas ou privadas para a oferta de certificações de conformidade ou de serviços de assessoria e consultoria relativos à LGPD.

Até o momento, a ANPD também não firmou parceria nem credenciou instituições com essas finalidades.

6 – Direitos dos titulares de dados

6.1 – Quais são os direitos dos cidadãos com a entrada em vigor da LGPD? 

A LGPD prevê, nos art. 18 e 20, uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:

  • acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
  • peticionamento em relação aos seus dados contra o controlador, perante a ANPD e perante os organismos de defesa do consumidor;
  • oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
  • solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
  • fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

6.2 – Quais procedimentos devem ser adotados para o registro, perante a ANPD, de petições sobre o tratamento de dados pessoais em desconformidade com a LGPD? 

Conforme previsto no art. 18, § 3º, da LGPD, para exercer seus direitos, o titular de dados (ou seu representante legalmente constituído) deve apresentar requerimento expresso diretamente à organização responsável pelo tratamento dos seus dados. Nesse contato direto com o controlador, é possível que as solicitações do titular de dados sejam prontamente atendidas.

Vale observar que a LGPD estabelece que requerimentos do titular devem ser atendidos de imediato pelo controlador. Caso não seja possível, o controlador deve, pelo art. 18, § 4º, enviar resposta ao titular em que poderá (i) comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou (ii) indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

Uma vez não atendido, o titular de dados pode apresentar petição à ANPD, com a comprovação da solicitação não solucionada pelo controlador (art. 55-J, V).

Assim, apenas devem ser encaminhadas à ANPD solicitações formalmente apresentadas anteriormente ao controlador de dados e que não tenham sido atendidas. Na ocasião, devem ser enviados à ANPD os comprovantes do(s) contato(s) estabelecido(s) e a descrição da situação ocorrida. Também são necessárias a identificação do titular, do seu representante (se for o caso), e do agente de tratamento.

Para o envio de petições que se enquadrem na situação mencionada acima, deve ser utilizado o Peticionamento Eletrônico do Sistema SEI, conforme informações disponíveis em https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico. Utilizar o tipo de processo “Protocolo Central – Documentos para outras Unidades e Órgãos da Presidência da República”.

Os organismos de defesa do consumidor também podem ser acionados pelo titular de dados, conforme previsão da própria LGPD (art. 18, § 8º).

Havendo indícios de fraude no tratamento dos dados do titular, orienta-se que seja formalizada denúncia, por meio de boletim de ocorrência, perante a autoridade policial competente.

6.3 – Como ocorre o tratamento das petições de titular recebidas pela ANPD?

Em regra, as petições de titular recebidas pela ANPD são analisadas de forma agregada pela Coordenação-Geral de Fiscalização, e as eventuais providências delas decorrentes são adotadas de forma padronizada (LGPD, art. 55-J, § 6º, e Resolução CD/ANPD nº 1, de 28 de outubro de 2021, art. 26).

Assim, não há necessariamente um tratamento individualizado dessas petições. Elas serão consideradas, contudo, para a seleção dos temas que serão objeto de fiscalização por parte da Autoridade.

6.4 – Quais providências podem ser adotadas pelo titular de dados no caso de recebimento de chamadas telefônicas frequentes oferecendo serviços ou produtos? 

Além das ações previstas no item 6.2, sugere-se o cadastramento do número telefônico no site www.naomeperturbe.com.br, iniciativa criada a partir de uma determinação da Agência Nacional de Telecomunicações (Anatel) com o objetivo de evitar a oferta de produtos e serviços por meio de contatos telefônicos provenientes exclusivamente das Prestadoras de Serviços de Telecomunicações e de Instituições Financeiras.

  1. Vazamento de dados e fraudes

7.1 – Sobre vazamento de dados de brasileiros, quais as informações e orientações emitidas pela ANPD? 

As considerações da ANPD a respeito do vazamento de dados dos brasileiros podem ser consultadas em notícia disponível no nosso sítio eletrônico: https://www.gov.br/anpd/pt-br/assuntos/noticias/meus-dados-vazaram-e-agora.

No link indicado acima constam informações acerca das medidas que estão sendo adotadas no âmbito da ANPD sobre o assunto, bem como orientações aos titulares de dados.

7.2 – A ANPD investiga situações de possíveis fraudes com a utilização de dados pessoais? 

Constituem crimes casos em que ocorrem fraudes com o propósito de prejudicar os titulares ou de obter recursos ou vantagens indevidas com a utilização de seus dados pessoais e devem ser investigados pelas autoridades policiais.

Situações comuns incluem, por exemplo, envio de boletos falsos, clonagem de cartões de crédito e de débito, realização de empréstimos e contratação de serviços. Também podem ser citadas invasões de contas privadas, tais como contas bancárias, contas de e-mails ou contas em plataformas sociais.

Nesses casos, é importante que o titular entre em contato com a instituição financeira ou a empresa prestadora do serviço para que a informe do ocorrido e, conforme o caso, para que sejam adotadas as medidas necessárias para diminuir ou eliminar os danos.

Ainda, a depender da situação, o titular deve formalizar denúncia, por meio de boletim de ocorrência, perante a autoridade policial competente para viabilizar a apuração e resguardar-se.

No que se refere à ANPD, conforme suas atribuições legais, o órgão não realiza especificamente investigação de crimes, mas de infrações administrativas, podendo aplicar aos infratores as sanções previstas na LGPD, a partir de 1º de agosto de 2021.

Fonte: https://www.gov.br/anpd/pt-br/acesso-a-informacao/perguntas-frequentes-2013-anpd