Qual é a função da ANPD – Autoridade Nacional de Proteção de Dados?

ANPD é o órgão da administração pública federal, integrante da Presidência da República, com autonomia técnica e decisória, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. É composta por um Conselho Diretor, órgão máximo de direção, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, a Corregedoria, a Ouvidoria, um órgão de assessoramento jurídico próprio e unidades administrativas ou especializadas necessárias à aplicação da LGPD (conforme o art. 55-C, LGPD).

Responsabilidades Gerais de a ANPD

A principal responsabilidade de a ANPD é zelar pela proteção dos dados pessoais, nos termos da legislação (art. 55-J, inciso I, LGPD), ou seja, fiscalizar e fazer cumprir a aplicação da LGPD com o objetivo de proteger os direitos e liberdades fundamentais das pessoas naturais em relação ao tratamento. Outra importante responsabilidade é promover a conscientização pública e a compreensão dos riscos, regras, salvaguardas e direitos em relação ao tratamento de dados pessoais. A lista de competências detalhadas no Artigo 55-J da LGPD é longa e aberta.

Abaixo algumas das competências foram resumidas em alguns pontos de destaque.

Acompanhar e fazer cumprir a aplicação da lei

A ANPD fiscaliza a aplicação da LGPD. Isso pode ter um aspecto preventivo, fiscalizando desenvolvimentos relevantes ou conduzindo investigações, sempre que possam gerar impacto na proteção de dados pessoais. Pode também ter um aspecto remediador, investigando operações de tratamento que infringiram a lei, incluindo investigações baseadas em reclamações de titulares de dados, organizações ou associações e em informações recebidas de outra autoridade pública.

Aconselhar e promover a conscientização

Uma das competências de atuação da ANPD é promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, e promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade. Também pode emitir orientações e elaborar diretrizes na matéria.
Administrar incidentes com dados pessoais e outras infrações
Cabe à ANPD receber as comunicações dos controladores sobre incidentes com dados pessoais, bem como fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.

Estabelecer Padrões

A ANPD tem a responsabilidade de estabelecer normas e diretrizes para os temas sem definições no texto da LGPD.
Cláusulas-padrão contratuais, normas corporativas globais, selos, certificados e códigos de conduta De acordo com o artigo 35 da LGPD, compete à ANPD a definição do conteúdo de cláusulas padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta. Papeis e Responsabilidades Relacionadas a Incidentes de Segurança com Dados Pessoais. Quando a ANPD recebe uma notificação de um incidente de segurança com dados pessoais, deve avaliar a gravidade do ocorrido e como a proteção de dados foi implementada pelo controlador e pelo operador ou operadores envolvidos. A avaliação dos riscos para os titulares dos dados e as medidas mitigadoras que já foram ou ainda devem ser tomadas são claramente urgentes.

Em princípio, o controlador é responsável por:

• investigar o incidente com dados pessoais, as circunstâncias em que ocorreu
• realizar a avaliação dos riscos envolvidos para os titulares de dados
• adotar medidas de mitigação para minimizar as consequências negativas para os direitos e liberdades dos titulares dos dados e de outras pessoas envolvidas.

No entanto, a ANPD pode receber amplos poderes para monitorar essa investigação e ordenar que os controladores e operadores envolvidos tomem outras medidas ou medidas extras para alinhar as operações de tratamento com a LGPD e até para restringir ou bloquear o tratamento. Poderes da Autoridade Nacional de Proteção de Dados (ANPD) na aplicação da LGPD Uma das principais responsabilidades da ANPD é fazer cumprir a aplicação da LGPD. Além dos poderes consultivos, a ANPD possui amplos poderes de investigação e correção para impor a implementação da LGPD. Isso inclui, quando necessário, a aplicação de multas e outras sanções administrativas.

Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Poderes de investigação da ANPD

Ela tem o poder:
• fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
• realizar auditorias, ou determinar sua realização, no âmbito das atividades de fiscalização;
• solicitar ao controlador relatório de impacto à proteção de dados pessoais, inclusive quando o tratamento tiver como fundamento seu interesse legítimo;
• realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.

Poderes corretivos da ANPD

• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária, observado o limite total do valor acima;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Condições gerais para a imposição de multas administrativas.

As multas administrativas devem ser proporcionais e dissuasivas, levando em consideração as peculiaridades do caso concreto.

Proporcional

Quando a ANPD decidir impor uma multa administrativa, além de outras medidas, ela deve dar a devida atenção às circunstâncias. Os critérios para essa decisão são:
• a gravidade e a natureza das infrações e dos direitos pessoais afetados;
• a boa-fé do infrator;
• a vantagem auferida ou pretendida pelo infrator;
• a condição econômica do infrator;
• a reincidência;
• o grau do dano;
• a cooperação do infrator;
• a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
• a adoção de política de boas práticas e governança;
• a pronta adoção de medidas corretivas; e
• a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

A cooperação com a ANPD para remediar uma infração e mitigar os possíveis efeitos adversos da infração poderá ser favorável aos controladores e operadores.

Dissuasivo

Qualquer que seja o custo da implementação de medidas para cumprir a LGPD em uma organização, nenhuma empresa deve arriscar ignorar as regras, porque as multas vão muito além do que custará a conformidade. Ainda assim, a intenção é incentivar as empresas a cumprir a LGPD, e não as destruir financeiramente. Transferência Internacional de Dados

Definição

A transferência de dados é, segundo o inciso X do artigo 5º da LGPD, um tipo de tratamento, pois constitui uma operação realizada com dados pessoais. Já a transferência internacional de dados é definida pelo inciso XV do mesmo artigo como: Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro Fonte: Lei Geral de Proteção de Dados (LGPD), Lei n.13.709/2018 (art. 5º, XV)

Normas aplicáveis à transferência internacional de dados

Em geral, as transferências de dados entre fronteiras para um destinatário em um país terceiro só podem ocorrer se a transferência for feita para uma ‘jurisdição adequada’ ou se a parte ou partes que exportam os dados tiverem implementado um mecanismo legal de transferência de dados.

Transferências para país ou organismo avaliado pela ANPD como adequado

A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; […] Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional. Fonte: Lei Geral de Proteção de Dados (LGPD), Lei n.13.709/2018 (art. 33)
A ANPD precisa analisar e garantir que o país ou organismo destinatário dos dados pessoais objeto de transferência apresenta um nível adequado de proteção de dados pessoais em razão de sua legislação interna ou dos compromissos internacionais assumidos.

Fonte: https://dam.exin.com/