Quais os deveres de agentes de tratamento de dados e como se dará a fiscalização e o processo administrativo diante de uma autuação por tratamento irregular de dados pessoais
Estabelece o documento os procedimentos inerentes à fiscalização que agentes de tratamento de dados poderão se submeter, bem como demais regras. A disposições da Lei 9.784/1999 aplicam-se subsidiariamente a este procedimento.
Dentre as atividades da fiscalização estão a) monitoramento, b) orientação e c) atuação preventiva e d) atuação repressiva. O artigo 4º. da norma estabelece o conceito de “agentes regulados”, que são agentes de tratamento e demais integrantes interessados no tratamento de dados pessoais, bem como o conceito de autuação e denúncia, sendo esta a comunicação feita à ANPD por qualquer pessoa natural ou jurídica de suposta infração, prevendo ainda as atividades ligadas à obstrução da atividade de fiscalização. O titular de dados também poderá peticionar à ANPD sobre uma solicitação apresentada ao controlador de dados e não solucionada.
No art. 5º. da resolução são apresentados os deveres dos agentes regulados, em processos de fiscalização, dentre eles, fornecimento de cópias de documentos físicos ou digitais, permitir acesso às instalações, equipamentos, facilidades e sistemas e outros recursos, permitir que a ANPD conheça sistemas de informação utilizados para tratamento de dados e informações. Agentes também deverão se submeter as auditorias realizadas ou determinadas pela ANPD e manter os documentos físicos ou digitais, os dados e as informações nos prazos estabelecidos na legislação ou regulamentação específica, bem como durante todo o prazo de tramite dos processos administrativos. Devem os agentes disponibilizar, sempre que requisitado, representante apto à suporte atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e atender demais aspectos.
O agente de tratamento de dados pessoais poderá acompanhar a auditoria da ANPD, ressalvados os casos em que a prévia notificação ou o acompanhamento presencial sejam incompatíveis com a natureza da apuração. Se o agente não cumprir os deveres previstos na resolução, diante de um processo fiscalizatório, poderá se caracterizar a denominada obstrução à atividade da fiscalização, com respectivas sanções.
Os prazos das comunicações em procedimentos administrativos serão contados em dias úteis e passarão a correr somente após a ciência oficial do agente de tratamento. Os dados que deverão constar de intimação são elencados no artigo 10 da norma, e a intimação poderá ser dar para que o intimado possa comparecer, fazer-se representar, manifestar-se ou apresentar defesa, dependendo do contexto. Os atos administrativos serão realizados preferencialmente por meio eletrônico. Os titulares de dados, aqueles que sem terem iniciado o processo, possuam direitos ou interesses que possam ser afetados pela decisão, as organizações e associações representativas, no que tange a interesses difusos e coletivos e as pessoas ou as associações legalmente constituídas quanto a direitos e interesses difusos são considerados interessados nos processos administrativos.
Dentre as atividades que envolvem o processo de fiscalização, como visto, encontra-se a atividade de monitoramento, que destina-se ao levantamento de informações e dados para subsidiar a tomada de decisões da ANPD. Por sua vez, a atividade de orientação é marcada por métodos que almejam conscientizar e educar os agentes de tratamentos e titulares de dados. A atividade preventiva, também prevista na resolução, consistirá em construções conjuntas de soluções e medidas para recondução do agente de tratamento à conformidade e a atividade repressiva, prevista no art. 15, parágrafo 4º, é marcada pela atuação coercitiva da ANPD, com foco na interrupção de situações de dano ou risco, à recondução da conformidade e, principalmente, punição dos responsáveis, com aplicação das penalidades do art. 52 da LGPD, por meio do processo administrativo sancionador.
A ANPD poderá atuar de ofício, em decorrência de programas periódicos de fiscalização ou de forma coordenada com órgãos e entidades públicas, ou ainda em cooperação com autoridades de proteção de dados pessoais de outros países.
Dentre as premissas da fiscalização, encontram-se a priorização da atuação baseada em evidências e riscos regulatórios, atuação de forma responsiva, com adoção de medidas proporcionais ao risco identificado e postura dos agentes regulados, estímulo à conciliação direta entre as partes e priorização da resolução do problema e da reparação de danos pelo controlador.
Nos termos do artigo 24 da resolução, a ANPD estabelecerá e divulgará os meios para recebimento dos requerimentos, e a admissibilidade dos mesmos será realizada pela Coordenação-Geral de Fiscalização, que avaliará se os itens do art. 25 se fazem presentes, dentre eles, competência da ANPD para apreciar a matéria, legitimidade do Requerente, descrição correta do fato. Lembrando que denúncias anônimas poderão ser recebidas e processadas, se constatada verossimilhança das alegações.
Já no que tange à atividade de orientação, estas não constituirão sanção ao agente regulado, e o art. 29 prevê a adoção de medidas pela ANPD, como elaboração de guias, sugestões, ferramentas de autoavaliação, divulgação de regras de boas práticas, dentre outras, como recomendações de uso de padrões técnicos e programas de governança e privacidade. Na atividade preventiva, onde se visa a construção conjunta para recondução à conformidade, a ANPD poderá adotar medidas envolvendo divulgação de informações e dados setoriais, avisos, com descrição da situação e informações suficientes para que o agente de tratamento tenha como identificar as providencias, solicitações de regularização, em prazo determinado ou mesmo determinar a elaboração de um plano de conformidade.
Importante mencionar que o plano de conformidade deverá conter, no mínimo, os itens previstos no art. 36, especialmente, ações previstas para reversão da situação identificada. O não cumprimento do plano de conformidade enseja a progressão da ANPD para atuação repressiva, onde punições poderão ser aplicadas, após processo administrativo com a garantia da ampla defesa.
Neste ambiente, no que tange à atividade repressiva, o processo, nos termos do art. 37, poderá iniciar de ofício, em decorrência de processo de monitoramento ou diante de requerimento em que a Coordenação Geral de Fiscalização deliberar pela abertura imediata do processo sancionador.
A norma prevê um procedimento preparatório, em seu artigo 40, com a possibilidade de averiguações preliminares, quando os indícios ainda não forem suficientes para instauração de processo administrativo, podendo, inclusive, tramitar em sigilo. Das análises preliminares poderá restar arquivamento ou instauração do processo administrativo sancionador. Durante o processo administrativo sancionador o agente de tratamento poderá, nos termos do artigo 43, apresentar termo de ajustamento de conduta, que se assinado e posteriormente cumprido, ensejará o arquivamento do processo administrativo.
Se instaurado, procedimento administrativo, a Coordenação-Geral de fiscalização intimará o agente de tratamento interessado para apresentar defesa no prazo máximo de 10 (dez) dias úteis, na forma indicada na intimação e o Autuado poderá juntar provas que julgar necessárias em sua defesa, podendo a ANPD admitir a participação de terceiro interessado.
O art. 51 da Resolução estabelece que os pedidos de produção de provas serão analisados pela Coordenação-Geral e poderão ser indeferidos. A prova pericial, também prevista na resolução, se deferida, terá os requisitos relevantes e os quesitos a serem respondidos pelo perito fixados pela Coordenação Geral de Fiscalização.
O exame técnico poderá ser feito por autoridade ou servidor da ANPD ou de qualquer órgão público ou por profissional objeto de Termo de Cooperação previamente celebrado ou por profissional contratado para tal fim, sendo permitido ao interessado a indicação de assistentes técnicos. Espera-se que a Autoridade Nacional regulamente o termo de cooperação entre peritos em informática e dados e o órgão, para atuações pontuais.
O perito em dados se evidenciará fundamental no procedimento administrativo, considerando que a prova de muitas questões técnicas ligadas a tratamentos irregulares de dados não pode, sempre, ser caracterizada com documentos ou “autodeclarações”.
Finalizada a instrução processual, caberá alegações finais pelo Autuado, no prazo de 10 dias úteis, se entre a defesa e a instrução forem produzidas provas novas. Superada esta etapa, e transcorrido o prazo da defesa, será elaborado relatório de instrução, que subsidiará a decisão de primeira instância, subindo o processo concluso à CGF, conforme artigo 54. Ao final, a CGF proferirá decisão de primeira instância, que deverá ser motivada, com a aplicação das sanções, quando cabíveis, observando-se os critérios do parágrafo. 1º. do art. 52 da LGPD, fixando prazo para cumprimento da sanção e caso não seja cumprido, poderá ocorrer processo de execução.
Desta decisão, caberá recurso administrativo ao Conselho Diretor da ANPD, no prazo de 10 dias da intimação, recurso este que deve ser endereçado ao CCF, sendo que este poderá manifestar pelo arquivamento ou não conhecimento do recurso, como por exemplo, recurso manejado fora do prazo. O CCF poderá também reconsiderar a decisão e caso não o faça, deverá submeter o recurso ao Conselho Relator, onde este será apreciado pelo relator, com voto dos demais membros, o que poderá se dar, primeiramente, pela admissibilidade ou não, e posteriormente, pelo provimento total ou parcial ou pelo indeferimento do recurso interposto.
A decisão se torna irrecorrível a partir de então na via administrativa, ressalvado, no entanto, que a qualquer momento poderá ocorrer a revisão de decisão que aplicou sansões, de oficio ou a requerimento da parte, desde que se comprove a existência de novos fatos ou circunstâncias relevantes que possam afastar a punição. A exemplo, um agente que não conseguiu provar que não deu causa ao vazamento de dados, mas que posteriormente, obtém novos dados resultantes de perícia particular e que indica responsabilidade de terceiros.
Em encerramento, transitado em julgado, a Coordenação-Geral de Fiscalizacão (CGF) acompanhará o cumprimento da decisão no prazo nesta fixado e se cumprida a decisão, os autos serão arquivados. Por outro lado, em se tratando de sanção pecuniária e não havendo o pagamento, o devedor será intimado da inscrição de seu nome no Cadastro Informativo de Créditos não quitados no Setor Público Federal (CADIN) bem como inscrição na dívida ativa, com processo encaminhado à Advocacia Geral da União para as providências cabíveis. O primeiro ciclo de monitoramento fiscalizatório terá início em janeiro de 2022 e poderá ocorrer a edição de novas portarias para complementar o regulamento, que como visto, define claramente as regras de fiscalização, como os agentes de tratamento devem cooperar e todas as etapas do processo administrativo, diante de atuações como começarão a ocorrer.
Acesse a resolução na íntegra em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpdn1-de-28-de-outubro-de-2021-355817513
José Antonio Milagre, é Advogado especialista em Direito Digital e Proteção de Dados, Analista de Sistemas, Mestre e Doutor pela UNESP, DPO Exin, PECB Lead Implementer, e Diretor do PrivcyOffice, grupo de privacidade e proteção de dados da CyberExperts. http://www.privacyoffice.com.br
Advocacia José Milagre https://www.direitodigital.adv.br