Prévia do material em texto
Lei Geral de Proteção de Dados e a Administração Pública Módulo IV Lei Geral de Proteção de Dados: Regulação e Controle CURITIBA - 2021 Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br Sumário Apresentação ......................................................................................................... 5 Módulo IV LEI GERAL DE PROTEÇÃO DE DADOS: REGULAÇÃO E CONTROLE .............. 6 1.1 Introdução ................................................................................................ 6 1.2 Sujeitos Ativos da Regulação Nacional ................................................. 8 1.2.1 Autoridade Nacional de Proteção de Dados: Organização e Competências ............................................................................................ 10 1.2.2 Conselho Nacional de Proteção de Dados Pessoais e da Privacidade: Organização e Competências ..................................................................... 22 1.3 Responsabilidade de Entidades e Órgãos Públicos Estaduais em Relação à ANPD (arts. 31 e 32 da LGPD) ................................................ 24 1.4 Instâncias Estaduais: O Modelo Paranaense......................................... 28 1.5 O Papel do Controle Externo .................................................................. 30 1.5.1 Controle Externo em Sentido Amplo ........................................................... 30 1.5.2 Tribunal de Contas ..................................................................................... 32 Referências ............................................................................................................ 32 Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 5 Apresentação Trataremos no módulo IV sobre a regulação e o controle da Proteção de Dados. Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 6 Módulo IV LEI GERAL DE PROTEÇÃO DE DADOS: REGULAÇÃO E CONTROLE Diogo Luiz Cordeiro Rodrigues* * Doutorando em Direito Econômico e Financeiro pela Universidade de São Paulo. MSc in Regulation (Financial and Commercial Regulation) pela London School of Economics and Political Science - LSE (2018-2019). Mestre em Direito do Estado pela Faculdade de Direito da Universidade Federal do Paraná (2013-2015). "Visiting Researcher" na Universidade de Toronto (2014). Graduado em Direito pela Faculdade de Direito da Universidade do Estado do Rio de Janeiro (2009). Procurador do Estado do Paraná (2012 e atual). Membro da Associação Paranaense de Direito & Economia - ADEPAR. Membro e ex-Coordenador do Grupo Permanente de Trabalho em Orçamento e Finanças da Procuradoria-Geral do Estado do Paraná. Foi Conselheiro Titular do Conselho Estadual de Assistência Social (Decreto Estadual nº 9.989/2014). Foi Procurador da Assembleia Legislativa do Estado do Amazonas (2012) e também foi assistente de Ministro do STF (2010-2012). 1.1 Introdução A Lei Geral de Proteção de Dados Pessoais (LGPD) formaliza um regime regulatório. Como tal, compreende organizações, normas e procedimentos destinados à modificação de comportamentos com base em certos princípios, diretrizes, objetivos e metas, podendo envolver mecanismos de produção normativa (standard-setting), captura de informações e atividades de controle, monitoramento, influência ou punição dos órgãos, entidades e agentes regulados.1 Todo regime regulatório baseia-se em direitos fundamentais (p. ex. o direito à privacidade), marcos normativos constitucionais e legais, (como os artigos 2º e 6º da LGPD) e políticas públicas de alcance mais amplo, que norteiam a atividade regulatória propriamente dita, que se encontra no plano administrativo, mais concreto. No caso da LGPD, seu regime regulatório é norteado pela Política Nacional de Proteção de Dados Pessoais e da Privacidade, cuja elaboração e cujo monitoramento são protagonizados pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, de caráter político, e que integra a estrutura da Autoridade Nacional de Proteção de Dados (ANPD), a qual, por seu turno, detém o poder regulatório sobre a matéria em questão (proteção de dados pessoais). Pode-se dizer que a ANPD e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade são os principais sujeitos ativos do regime regulatório nacional de proteção de dados pessoais (cf. artigos 55-A a 58-B da LGPD). 1 Sobre o conceito de regime regulatório, cf. BLACK, 2006. Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 7 A LGPD contempla ainda certos instrumentos regulatórios, que cumprem as funções de modular comportamentos em prol da proteção de dados pessoais e de gerar informações para o exercício das funções de competência da ANPD. Além da edição de normas, instrumentos básicos da função regulatória (v. art. 55-J, incisos XIII, XVII e §2º), a LGPD prevê o relatório de impacto à proteção de dados pessoais, “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (cf. art. 5º, XVII; v. também art. 10, §3º; art. 32, art. 38; 55-J, XIII). A LGPD também prevê a instauração de processos administrativos, a fim de que, por meio do contraditório e da ampla defesa, a ANPD possa, e.g., verificar (e, eventualmente, impor) sanções pelo descumprimento da Lei (cf. art. 55-J, IX e XVII). Todos esses instrumentos, e outros, serão examinados quando da análise da competência da ANPD. Ademais, a LGPD prevê regras de responsabilidade de entidades e órgãos públicos em relação à ANPD (cf. arts. 31 e 32 da LGPD). Essas regras, que serão examinadas no momento oportuno, encarregam-se de conferir uniformidade ao regime na Administração Pública, ao mesmo tempo em que garantem aos órgãos públicos um espaço próprio de autonomia, diferindo eventual imposição de mandamentos e sanções típicas da regulação de “comando e controle”. Contudo, as empresas estatais que exercem atividades econômicas em sentido estrito (mas não as prestadoras de serviços públicos) podem se sujeitar às sanções previstas no art. 52 da LGPD em caráter imediato, em respeito ao princípio constitucional da livre concorrência e nos termos do art. 24 da LGPD, salvo na hipótese de seu parágrafo único (v. item 3 deste E-book). Convém lembrar, ainda, que a LGPD é uma lei nacional, cujos ditames aplicam-se não só à União, mas também aos Estados, Municípios e Distrito Federal (art. 1º, parágrafo único, da LGPD). Nada obstante, pode-se dizer que o regime regulatório da LGPD ostenta clara natureza multinível, razão pela qual se desdobra em regimes subnacionais, a exemplo daquele formalizado pelo Decreto nº 6.474/2020, que adapta o regime regulatório de proteção de dados pessoais às peculiaridades do Estado do Paraná. Sobre a competência do Estado para legislar sobre a matéria, cf. a lição de Ricardo Marcondes Martins: A disciplina das relações privadas é objeto do direito civil e é competência privativa da União legislar sobre direito civil (CF, art. 22, I). Essa utilização dá-se, muitas vezes, para fins lucrativos, sendo, pois, ínsita à atividade comercial. É também competência privativa da União legislar sobre direito comercialdo regime paranaense de proteção de dados pessoais, a CGE possui competências situadas precipuamente no campo da regulação suave (competências pedagógicas, informativas ou de cunho preventivo). Possui, ainda, competência normativa ou regulamentar, de caráter supletivo, no caso do RIPD, e competência fiscalizatória para fins de ouvidoria (art. 11, I) e do Observatório da Despesa Pública (art. 17). ATENÇÃO: O regime estadual paranaense preserva a competência da ANPD como única autoridade regulatória para a proteção de dados no Brasil, razão pela qual a CGE exerce um papel de coordenação do regime (mas não de regulação em sentido técnico). Competências da CGE: Art. 4º Cabe aos órgãos e entidades elencados no art. 1º deste Decreto preparar relatório de impacto à proteção de dados pessoais – RIPD, na forma e nos prazos indicados pela Controladoria-Geral do Estado e pela Autoridade Nacional de Proteção de Dados Pessoais, quando for o caso. Art. 5º Compete à Controladoria-Geral do Estado: I- orientar os encarregados dos órgãos e entidades quanto a implementação da LGPD; II- disponibilizar canal de atendimento ao titular de dados, considerando as atribuições da Coordenadoria de Ouvidoria da Controladoria-Geral do Estado; III- desenvolver ações que contribuam para a consolidação de uma cultura de ética, probidade e transparência no tratamento de dados pessoais; Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 29 IV- produzir manuais e documentos de apoio para a implementação da LGPD no Estado, observada a Política Nacional de Proteção de Dados Pessoais e da Privacidade. Art. 11. As manifestações do titular de dados ou seu representante legal serão atendidas: I- eletronicamente: através do Sistema Integrado para Gestão de Ouvidorias – SIGO, disponível no Portal da Controladoria Geral do Estado – CGE PR, no seguinte endereço eletrônico: http://www.cge.pr.gov.br/Pagina/Registre-sua-Reivindicacao observada a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos; II- presencialmente: junto a Ouvidoria-Geral da Controladoria Geral do Estado ou no órgão ou entidade onde os dados se encontram, mediante a apresentação de documentos oficiais que permitam a identificação. Art. 17. A Controladoria-Geral do Estado – CGE, por meio da sua unidade de operação Observatório da Despesa Pública (ODP), terá acesso aos dados pessoais disponíveis nos demais órgãos e entidades do Poder Público do Estado, comunicado o respectivo controlador, através do operador, para o exclusivo cumprimento das finalidades previstas no artigo 1º do Decreto nº 4.334, de 08 de junho de 2016. Parágrafo único. Os órgãos e entidades do Poder Público Estadual somente poderão acessar os dados pessoais disponíveis em outros órgãos ou entidades estatais, mediante autorização da Controladoria Geral do Estado, observado o disposto no artigo 15 deste Decreto. Procuradoria-Geral do Estado (PGE): responsável pela consultoria e pelo assessoramento jurídicos sobre a matéria. Art. 7º Compete à Procuradoria-Geral do Estado – PGE: I- disponibilizar minutas padronizadas de contratos, convênios, acordos de cooperação, termos de uso de sistema de informação da Administração Pública e demais instrumentos jurídicos congêneres necessários à implementação da Lei Federal nº 13.709, de 2018, nos termos do Decreto nº 3203, de 22 de Dezembro de 2015; II- responder a consultas específicas referentes à aplicação da LGPD no Estado, desde que encaminhadas pelo Controlador-Geral do Estado e observado o disposto no Regulamento da PGE (anexo que acompanha o Decreto nº 2.709, de 10 de setembro de 2019. Conselho de políticas de tecnologia da informação e comunicação (CETIC): responsável por editar políticas de TIC. Art. 6º Compete ao Conselho Estadual de Tecnologia da Informação e Comunicação – Paraná – CETIC – PR orientar a aplicação de soluções de TI e TIC relacionadas à proteção de dados pessoais. http://www.cge.pr.gov.br/Pagina/Registre-sua-Reivindicacao Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 30 CELEPAR: empresa de tecnologia da informação e comunicação responsável pela operação de dados pessoais em meios virtuais. Art. 6º § 1º Compete à Companhia de Tecnologia da Informação e Comunicação do Paraná – CELEPAR: I- propor ao CETIC padrões de desenvolvimento de novas soluções de Tecnologia da Informação – TI e Tecnologia da Informação e Comunicação – TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução; II- adequar os sistemas de TI e TIC de propriedade do Estado do Paraná às exigências da LGPD. 1.5 O Papel do Controle Externo 1.5.1 Controle Externo em Sentido Amplo A Autoridade Nacional de Proteção de Dados tem um claro papel de proeminência dentro do sistema nacional de proteção de dados inaugurado pela LGPD. Isso porque a tutela mais eficaz para a „prevenção da utilização indevida de dados‟, o que é possibilitado pelas competências fiscalizatórias atribuídas à ANPD. Além disso, a tutela jurisdicional possui algumas desvantagens na tutela da proteção de dados, uma vez que esta exige: agilidade na solução da demanda e amplos conhecimentos técnicos. Ainda que um sistema completo e eficiente não possa abrir mão do papel a ser cumprido pelo Poder Judiciário, inclusive por previsão constitucional, a ANPD foi arquiteta para poder agir com eficiência e tratar de todas as questões envolvendo o conflito entre o direito à proteção de dados e o uso econômico dos dados pessoais. [...] No entanto, existem fatores limitadores, como a falta de autonomia organizacional e, pior, a falta de real autonomia financeira, os quais podem tornar-se barreira fática a uma atuação independente, equânime e completa da ANPD (FERRAZ, 2020, p.621-643.) A esse respeito, vale lembrar que, independentemente da atuação reguladora da ANPD, a lei será aplicada a partir de agosto de 2020 e o seu cumprimento, conforme deixa claro o texto da LGPD, poderá ser exigido em esferas diferentes, tais como órgãos de proteção ao consumidor, atuação específica do Ministério Público, bem como pelo próprio Poder Judiciário. A judicialização do tema é evidentemente boa e necessária! A Lei nº 13.709/2018 precisa ser testada! No entanto, a mera interpretação da nova lei isoladamente pelo Poder Judiciário – com respostas descentralizadas e não uniformes – pode penalizar sobremaneira as partes envolvidas, até pela latente dificuldade de entendimento pelos representantes do Poder Judiciário acerca de questões técnicas e tecnológicas que estão diretamente envolvidas com a aplicação da nova norma. Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 31 De todo o exposto e considerando a função reguladora conferida à ANPD, as definições que a ela foram relegadas pela Lei Geral de Proteção de Dados devem ser tomadas como prioridade. A omissão ou demora no cumprimento dessa função privilegia uma enorme insegurança jurídica sobre o tema e tem o condão de colocar em risco a eficácia da própria legislação (BROTTO, 2020, p.91-103). Por evidente, o regime legal da LGPD não afasta eventual intervenção judicial para o fim de tutelar dados pessoais, já que a inafastabilidade da jurisdição radica no próprio texto constitucional (art. 5º, XXXV, da CRFB 88). De modo semelhante, ficam asseguradas as perrogativas do Ministério Público, que poderá, no âmbito de suas competências, agir administrativamente ou em juízo para a resguardar direitos coletivose difusos. Vale mencionar que a própria LGPD, em seu art. 52, §3º, menciona a Lei de Improbidade Administrativa (Lei nº 8.429/1992), que tem, no Ministério Público, um de seus protagonistas: LEI Nº 8.429, DE 2 DE JUNHO DE 1992 Art. 7º Quando o ato de improbidade causar lesão ao patrimônio público ou ensejar enriquecimento ilícito, caberá a autoridade administrativa responsável pelo inquérito representar ao Ministério Público, para a indisponibilidade dos bens do indiciado. Parágrafo único. A indisponibilidade a que se refere o caput deste artigo recairá sobre bens que assegurem o integral ressarcimento do dano, ou sobre o acréscimo patrimonial resultante do enriquecimento ilícito. Art. 15. A comissão processante dará conhecimento ao Ministério Público e ao Tribunal ou Conselho de Contas da existência de procedimento administrativo para apurar a prática de ato de improbidade. Parágrafo único. O Ministério Público ou Tribunal ou Conselho de Contas poderá, a requerimento, designar representante para acompanhar o procedimento administrativo. Art. 16. Havendo fundados indícios de responsabilidade, a comissão representará ao Ministério Público ou à procuradoria do órgão para que requeira ao juízo competente a decretação do seqüestro dos bens do agente ou terceiro que tenha enriquecido ilicitamente ou causado dano ao patrimônio público. § 1º O pedido de seqüestro será processado de acordo com o disposto nos arts. 822 e 825 do Código de Processo Civil. Art. 17. A ação principal, que terá o rito ordinário, será proposta pelo Ministério Público ou pela pessoa jurídica interessada, dentro de trinta dias da efetivação da medida cautelar. […] § 4º O Ministério Público, se não intervir no processo como parte, atuará obrigatoriamente, como fiscal da lei, sob pena de nulidade. Art. 22. Para apurar qualquer ilícito previsto nesta lei, o Ministério Público, de ofício, a requerimento de autoridade administrativa ou mediante representação formulada de acordo com o disposto no art. 14, poderá requisitar a instauração de inquérito policial ou procedimento administrativo. Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 32 1.5.2 Tribunal de Contas A nova Lei Geral de Proteção de Dados Pessoais veio proteger os direitos do indivíduo diante desse crescimento desenfreado dos relacionamentos digitais e do mundo virtual. Não possui, contudo, o condão de prejudicar ou obstaculizar a atuação fiscalizatória das cortes de contas no exercício do controle externo, mas apenas possibilitar e favorecer um controle límpido, ético, legítimo, focado em seus objetivos, sem, contudo, desrespeitar os interesses privados, assegurando o interesse de toda a coletividade que se sentirá segura e devidamente amparada. Ademais, é entendimento pacificado e consolidado que quando em conflito, o princípio da supremacia do interesse público acaba por limitar os efeitos do princípio da privacidade, já que o interesse coletivo deve estar acima dos interesses puramente privados. Restará a todo o Estado e também a suas cortes de contas se adequar ao conteúdo da nova lei, investindo em questões de segurança digital e em treinamento e capacitação de pessoal, ciente de que o texto legislativo veio contribuir e não prejudicar as atividades estatais, bem como o exercício da função fiscalizadora e sancionadora dos tribunais de contas. [...] No que concerne às cortes de contas, a nova Lei Geral de Proteção de Dados Pessoais brasileira não gera impactos negativos, sendo a eles aplicada, consoante o disposto em seu próprio texto legal que, por sua vez, já excetua da obrigatoriedade de observância normativa os casos de exercício das funções fiscalizadoras e sancionadoras, típicas (mas não únicas) dos tribunais de contas. Nesses casos, a lei prevê expressamente a sua inaplicabilidade no sentido de não ser obrigatório o consentimento prévio do titular dos dados pessoais, no entanto determina a observância dos princípios da finalidade, da necessidade, da proporcionalidade, de modo que devem utilizar tais dados com o intuito exclusivo de atender ao interesse público, limitando o seu compartilhamento para fins outros. A finalidade da lei é protetiva e seu impacto perante o exercício das funções dos tribunais de contas se dá no sentido de determinar responsabilidade no tratamento dos dados pessoais, mitigando o direito à privacidade e à intimidade dos indivíduos, a fim de garantir algo maior, qual seja: o bem-estar social (MACIEL, 2020). Referências AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Regimento Interno. Disponível em: . Acesso em: 14 jun. 2021. BLACK, Julia. What is regulatory innovation? In: BLACK, Julia; LODGE, Martin; THATCHER, Mark (Eds.). Regulatory innovation: a comparative analysis. Northampton: Edward Elgar Publishing, 2006. p. 1-15. BRASIL. Decreto nº 10.411 de 30 de junho de 2020. Regulamenta a análise de impacto regulatório, de que tratam o art. 5º da Lei nº 13.874, de 20 de setembro de 2019, e o art. 6º da Lei nº 13.848, de 25 de junho de 2019. Disponível em: Acesso em: 14 jun. 2021. BRASIL. Decreto nº 10.474, de 26 de agosto de 2020. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança. Disponível em:. Acesso em: 14 jun. 2021. https://www.gov.br/anpd/pt-br http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/DEC%2010.411-2020?OpenDocument http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/DEC%2010.474-2020?OpenDocument Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 33 BRASIL. Lei nº 13.848, de 25 de junho de 2019. Dispõe sobre a gestão, a organização, o processo decisório e o controle social das agências reguladoras, altera a Lei nº 9.427, de 26 de dezembro de 1996, a Lei nº 9.472, de 16 de julho de 1997, a Lei nº 9.478, de 6 de agosto de 1997, a Lei nº 9.782, de 26 de janeiro de 1999, a Lei nº 9.961, de 28 de janeiro de 2000, a Lei nº 9.984, de 17 de julho de 2000, a Lei nº 9.986, de 18 de julho de 2000, a Lei nº 10.233, de 5 de junho de 2001, a Medida Provisória nº 2.228-1, de 6 de setembro de 2001, a Lei nº 11.182, de 27 de setembro de 2005, e a Lei nº 10.180, de 6 de fevereiro de 2001. Disponível em: . Acesso em: 14 jun. 2021. BROTTO, Natália; CAMARGO, Pedro Henrique Dalgallo. Autoridade Nacional de Proteção de Dados, aspectos pendentes de regulação e cultura de proteção de dados. In: PIRONTI, Rodrigo (Coord.). Lei Geral de Proteção de Dados: estudos sobre um novo cenário de Governança Corporativa. Belo Horizonte: Fórum, 2020. p.91-103. CARNEIRO, Claudio; NEPOMUCENO, Augusto Moutella. LGPD e seus limites regulatórios no âmbito do direito administrativo. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes. LGPD & administração pública. São Paulo: RT, 2020. p.147-164. CONTROLADORIA-GERAL DA UNIÃO (CGU). Guia de boas práticas: Lei Geral de Proteção de Dados. Brasília: CGU, ago. 2020. Disponível em: . Acesso em: 14 jun. 2021. FERRAZ, Pedro da Cunha. Autoridade Nacional de Proteção de Dados (ANPD): apontamentos sobre sua natureza e regime jurídico. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes. LGPD & administração pública. São Paulo: RT, 2020. p.621- 643. GARCIA, Fábio Henrique Falcone; CUNHA FILHO, Alexandre Jorge Carneiro da. A regulação do uso de dados pessoais: desafios inerentes à atividade e perspectivas com o advento da LGPD: um novo risco? In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes.LGPD & administração pública. São Paulo: RT, 2020. p.123-136. MACIEL, Moises. Os tribunais de contas no exercício do controle externo de acordo com nova Lei Geral de Proteção de Dados Pessoais. Revista Controle: Doutrinas e artigos, v.18, n.1, p.20-45, 2020. MARTINS, Ricardo Marcondes. Lei Geral de Proteção de Dados Pessoais e direito administrativo: questões polêmicas. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes. LGPD & administração pública. São Paulo: RT, 2020. p.17-31. PARANÁ. Decreto º 6.474, de 14 de dezembro de 2020. Regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito da Administração Pública Estadual direta, autárquica e fundacional do Poder Executivo do Estado do Paraná. Disponível em: . Acesso em: 14 jun. 2021. SANTOS, Marcela de Oliveira; MOTTA, Fabricio. Regulação do tratamento de dados pessoais no Brasil – o estado da arte. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes. LGPD & administração pública. São Paulo: RT, 2020. p.81-103. TRIBUNAL DE CONTAS DA UNIÃO. Glossário de termos do controle interno. Disponível em: Acesso em: 14 jun. 2021. http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/lei%2013.848-2019?OpenDocument Rua: Jacy Loureiro de Campos, s/n - Térreo Centro Cívico | Curitiba/PR | CEP 80530-140 https://www.administracao.pr.gov.br/Escola-de-Gestao(CF, art. 22, I). Quando, porém, os dados são utilizados pela Administração Pública, seja a Administração Direta, seja a Indireta, a Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 8 disciplina da utilização diz respeito ao direito administrativo. Enquanto o direito civil disciplina as relações privadas em geral, e o direito comercial disciplina a exploração privada da atividade econômica, o direito administrativo é o conjunto de normas que rege a Administração Pública ou, em termos objetivos, o exercício da função administrativa. [...] Não compete à União legislar privativamente sobre o direito administrativo. [...] legislar sobre direito administrativo é decorrência direta da autonomia federativa. Assim, ao atribuir autonomia à União, Estados, Distrito Federal e Municípios, no art. 18, atribuiu a essas entidades a competência para legislar sobre direito administrativo. [...] Perceba-se: o acesso administrativo a dados privados diz respeito ao direito administrativo, ao exercício da função administrativa. Consequentemente, é competência de cada entidade federativa legislar sobre a utilização administrativa de dados privados (MARTINS, 2020, p.17-31.). Por fim, não se pode esquecer que, além dos mecanismos de controle e monitoramento próprios da LGPD, os controles interno e externo exercem relevante papel na conformação do regime regulatório de proteção de dados, tanto na esfera nacional quanto nas subnacionais (v. art. 55-J, XXII, da LGPD). Os sujeitos responsáveis pelos controles interno e externo serão brevemente examinados neste módulo, com ênfase no que dispõe a LGPD. 1.2 Sujeitos Ativos da Regulação Nacional O principal sujeito ativo do regime regulatório de proteção de dados pessoais é, certamente, a Autoridade Nacional de Proteção de Dados (ANPD). Neste trabalho, consideramos também como sujeito ativo do regime, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Ainda que o Conselho integre a estrutura da própria ANPD, a LGPD é clara no sentido de que esse colegiado é responsável por delinear a política pública que deve guiar o exercício das competências da ANPD, juntamente com os marcos normativos constitucionais e legais pertinentes. Vale ressaltar, também, que os próprios sujeitos regulados são também sujeitos ativos do regime regulatório, porquanto encarregados de elaborar suas próprias regras de boas práticas e de governança (v. art. 50 da LGPD). [...] os meios tecnológicos de compartilhamento de informações são muitos e é praticamente impossível rastrear de onde vem a massa de dados que é operada por cada uma das gigantes de tecnologia. Os usuários, por seu turno, aceitam os termos do serviço porque as facilidades que derivam da comunicação eletrônica proporcionada num e noutro caso superam os riscos que se imaginam em relação ao tratamento que é conferido a seus dados (isso para aqueles que suspeitam de tal risco, o qual possivelmente é ignorado, à vista da mais completa falta de informações a respeito, pela grande maioria das pessoas). Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 9 É como se a privacidade individual não correspondesse a um bem digno de tutela, já que: a) ninguém se interessaria por conversas privadas de terceiros, sobretudo, as quais não se revistam de teor mais significativo; b) como o tratamento de dados seria feito por algoritmos, algo um tanto etéreo, não haveria o porquê cada um buscar acautelar-se contra eventuais abusos. No entanto, a lei não tem como tutelar a privacidade sem garantir a liberdade econômica para o desenvolvimento de plataformas que usam o fluxo informacional como ativo, pois do contrário esses serviços sequer existiriam. Daí a tentativa de regulação por um modelo de corregulação ou autorregulação regulada (MARANHÃO; CAMPOS, 2018, p.219-220). Trata-se de um modelo normativo que procuraria combinar as vantagens da autorregulação (elevado conhecimento interno; eficiência na revisão de conceitos) com as da regulação por terceiro (que permite coercitivamente observância de valores e interesses não privados). A autorregulação regulada busca estimular o setor privado a contribuir para execução de tarefas públicas (GARCIA, 2020, p.123-136). Seção II Das Boas Práticas e da Governança Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. §1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. §2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá: I- implementar programa de governança em privacidade que, no mínimo: a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) conte com planos de resposta a incidentes e remediação; e h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 10 II- demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei. §3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional. Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais. 1.2.1 Autoridade Nacional de Proteção de Dados: Organização e Competências A LGPD, como se sabe, inspira-se no regime regulatório europeu de proteção de dados pessoais, denominado General Data Protection Regulation (EU) 2016/679 (GDPR), instituído em substituição à Diretiva 95/46. A principal inspiraçãoda LGPD foi a General Data Protection Regulation (GDPR), editada em 24 de maio de 2016 e que, após um período de vacância de dois anos para adequação das empresas, entrou em vigor no dia 25 de maio de 2018, enquadrando no regulamento todos os países da União Europeia; trata-se de instrumento regulatório que deve ser seguido na sua integralidade e de maneira obrigatória por todos os países-membros. A GDPR reforça a proteção de dados e impõe novas obrigações às instituições que façam tratamento de dados (CARNEIRO, 2020, p.147-164). O GDPR, assim como todos os regimes regulatórios, sustenta-se sobre a ideia de que a efetivação do seu objeto precípuo (proteção de dados pessoais, nesse caso específico) requer a instituição de entidades administrativas dotadas de regimes jurídicos especiais e autonomia reforçada, de modo que, insuladas do processo político, possam exercer, da maneira mais técnica e imparcial possível, a sua autoridade regulatória, derivada de suas competências legais. No caso da proteção de dados pessoais, entende-se, ainda, que a autoridade regulatória deve, sempre que possível, manejar instrumentos regulatórios suaves (em contraste com a imposição desmedida de sanções, comum na regulação de tipo “comando e controle”), tendo em vista as características da circulação de dados pessoais em meios virtuais, por exemplo. A LGPD, ao instituir a ANPD, teve por objetivo reproduzir o modelo de autoridade regulatória consagrado no GDPR, embora com certas peculiaridades. Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 11 Ademais, deve-se falar das entidades reguladoras de proteção de dados no exterior em um estudo comparado com a entidade brasileira que é a ANPD. Cada país na União Europeia possui sua entidade de proteção de dados e todas essas respeitam a Autoridade Europeia para Proteção de Dados (AEPD), sendo criada em 2004 e com sede em Bruxelas na Bélgica. O objetivo primário da autoridade é de servir como um centro de excelência imparcial para que seja executado os padrões estabelecidos na GDPR por outras entidades pertencentes à União Europeia. Um exemplo de entidade de proteção de dados de um país integrante da União Europeia é a Garante per la protezione dei dati personali, que se trata da Autoridade Italiana para proteção de dados pessoais, foi criada através da Lei de Privacidade de nº 675, de 1996, e foi modificada pelo Decreto Legislativo nº 101, de 2018, para se adequar à GDPR. A entidade de proteção de dados atua de forma autônoma e transparente, visto que é de fácil acesso as informações referentes aos dados que estão sendo tratados por agentes de tratamento. Outro exemplo de entidade de proteção de dados que segue a GDPR é a Commission Nationale de I‟Informatique et des Libertés – CNIL, que foi criada em 1978 e é a autoridade nacional francesa encarregada pela proteção de dados. Assim como a entidade italiana, a autoridade francesa foi atualizada conforme o tempo e se atualizou diante da GDPR. Outro detalhe que merece a devida atenção é que a entidade francesa goza de total autonomia das demais atividades executadas pelo Estado francês. [...] A Autoridade Nacional de Proteção de Dados tem como objetivo regular, fiscalizar e zelar o tratamento de dados e características de fiscalização. [...] A criação da ANPD é essencial para que a lei de proteção de dados seja cumprida na sua integralidade, a própria lei cita a agência que iria regular de maneira independente por diversas vezes. Portanto, é essencial para a melhor adaptação de todos que a agência já esteja funcionando normalmente desde o primeiro dia de implantação da LGPD. O propósito da ANPD é educativo e não tem como objetivo a aplicação de multas e, nos moldes em que foi previsto na Lei 13.709, objetiva uma maior efetividade no sistema de compliance e melhora na governança de dados (CARNEIRO, 2020, p.147-164). A dimensão não espacial e transnacional do ambiente interacional a ser regulado, a natureza privada da própria infraestrutura de rede e a dimensão inexorável de uma navegação que deixa rastros são fatores que tornam muito difícil o controle eficiente da atividade de tratamento de dados a partir de um modelo regulatório tradicional. Mesmo a noção de responsabilização dos intermediários, porque porosa e duvidosa a sua capacidade de domínio sobre o fluxo de dados que por eles trafegam, perturba a missão a cargo do controlador. Talvez por esses motivos as autoridades de diversos sistemas jurídicos têm preferido o manejo de técnicas de soft law no lugar daquelas que se valem de uma atuação estatal com foco em políticas de comando e controle com o propósito de perseguir a satisfação de pautas de interesse geral em tal âmbito (GARCIA, 2020, p.123-136). Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 12 A estrutura da ANPD está discriminada nos artigos 55-A a 55-I da LGPD, destacados abaixo: CAPÍTULO IX DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE Seção I Da Autoridade Nacional de Proteção de Dados (ANPD) Art. 55. (VETADO). Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República. (Incluído pela Lei nº 13.853, de 2019) §1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República. (Incluído pela Lei nº 13.853, de 2019) §2º A avaliação quanto à transformação de que dispõe o §1º deste artigo deverá ocorrer em até 2 (dois) anos da data da entrada em vigor da estrutura regimental da ANPD. (Incluído pela Lei nº 13.853, de 2019) §3º O provimento dos cargos e das funções necessários à criação e à atuação da ANPD está condicionado à expressa autorização física e financeira na lei orçamentária anual e à permissão na lei de diretrizes orçamentárias. (Incluído pela Lei nº 13.853, de 2019) Art. 55-B. É assegurada autonomia técnica e decisória à ANPD. Art. 55-C. A ANPD é composta de: (Incluído pela Lei nº 13.853, de 2019) I- Conselho Diretor, órgão máximo de direção; (Incluído pela Lei nº 13.853, de 2019) II- Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; (Incluído pela Lei nº 13.853, de 2019) III- Corregedoria; (Incluído pela Lei nº 13.853, de 2019) IV - Ouvdoria; (Incluído pela Lei nº 13.853, de 2019) V- órgão de assessoramento jurídico próprio; (Incluído pela Lei nº 13.853, de 2019) VI- unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei. (Incluído pela Lei nº 13.853, de 2019) Art. 55-D. O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente. (Incluído pela Lei nº 13.853, de 2019) §1º Os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, nos termos da alínea „f‟ do inciso III do art. 52 da Constituição Federal, e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superiores - DAS, no mínimo, de nível 5 (Incluído pela Lei nº 13.853, de 2019) §2º Os membros do Conselho Diretor serão escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados. (Incluído pela Lei nº 13.853, de 2019) §3º O mandato dos membros do Conselho Diretor será de 4 (quatro) anos. (Incluído pela Lei nº 13.853, de 2019) Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro CívicoI Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 13 §4º Os mandatos dos primeiros membros do Conselho Diretor nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e de 6 (seis) anos, conforme estabelecido no ato de nomeação. (Incluído pela Lei nº 13.853, de 2019) §5º Na hipótese de vacância do cargo no curso do mandato de membro do Conselho Diretor, o prazo remanescente será completado pelo sucessor. (Incluído pela Lei nº 13.853, de 2019) Art. 55-E. Os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar. (Incluído pela Lei nº 13.853, de 2019) §1º Nos termos do caput deste artigo, cabe ao Ministro de Estado Chefe da Casa Civil da Presidência da República instaurar o processo administrativo disciplinar, que será conduzido por comissão especial constituída por servidores públicos federais estáveis. (Incluído pela Lei nº 13.853, de 2019) §2º Compete ao Presidente da República determinar o afastamento preventivo, somente quando assim recomendado pela comissão especial de que trata o §1º deste artigo, e proferir o julgamento. (Incluído pela Lei nº 13.853, de 2019) Art. 55-F. Aplica-se aos membros do Conselho Diretor, após o exercício do cargo, o disposto no art. 6º da Lei nº 12.813, de 16 de maio de 2013. (Incluído pela Lei nº 13.853, de 2019) Parágrafo único. A infração ao disposto no caput deste artigo caracteriza ato de improbidade administrativa. (Incluído pela Lei nº 13.853, de 2019) Art. 55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD. (Incluído pela Lei nº 13.853, de 2019) §1º Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades. (Incluído pela Lei nº 13.853, de 2019) §2º O Conselho Diretor disporá sobre o regimento interno da ANPD. (Incluído pela Lei nº 13.853, de 2019) Art. 55-H. Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal. (Incluído pela Lei nº 13.853, de 2019) Art. 55-I. Os ocupantes dos cargos em comissão e das funções de confiança da ANPD serão indicados pelo Conselho Diretor e nomeados ou designados pelo Diretor-Presidente. (Incluído pela Lei nº 13.853, de 2019) Como se pode perceber, a ANPD possui natureza jurídica transitória. Trata-se atualmente de órgão público integrante da Presidência da República, que poderá ser transformado pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República (art. 55-A , caput e §1º da LGPD). A natureza jurídica transitória da ANPD gera controvérsias na doutrina, haja vista a necessidade de que essa entidade possua autonomia para regular a proteção de dados pessoais de maneira efetiva. Questiona-se também se a ANPD poderia ser transformada em autarquia de regime especial sem a edição de lei específica. Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 14 Além disso, é necessário que a Autoridade tenha independência e autonomia, que tendem a ser mais garantidas com a estruturação jurídico-subjetiva sob o modelo de autarquia. Como se sabe, a autarquia é pessoa jurídica de direito público instituída pelo Estado, por meio de lei, para realização de fins que lhe são próprios. Na clássica lição, trata-se da longa manus do Estado, submetida ao mesmo regime jurídico do ente federativo central. O reconhecimento de prerrogativas jurídicas instrumentais traz como contrapartida a submissão a restrições igualmente instrumentais, e a figura jurídica da autarquia, por ostentar a típica personalidade jurídica pública descentralizada, atualmente é a que se apresenta como mais adequada para o exercício de atividades de regulação. Como a criação de cada autarquia é feita por intermédio de lei, caberá a essa mesma lei estabelecer as características singulares do desenho institucional e do regime jurídico da instituição para que possa atender aos objetivos que justificaram sua criação (SANTOS, 2020, p.81-103). A repercussão decorrente da opção legislativa de se atribuir à LGPD a natureza de órgão em detrimento da de autarquia opera, principalmente, no plano da autonomia da qual a autoridade é dotada. Essa autonomia se reflete em dois planos: o do controle e o da influência, a serem exercidos pelo órgão à qual a ANPD está sujeita, no caso: a Presidência da República, conforme consta do art. 55-A, caput, da LGPD. [...] No entanto, a questão da autonomia da ANPD não pode ser tratada em termos genéricos, reconduzindo a discussão para os caracteres que compõem a natureza jurídica abstratamente considerada de órgão ou autarquia. O controle pelo ente central da Administração sempre dependerá das características que a lei conferiu ao sujeito administrativo criado. A LGPD assegura, expressamente, autonomia técnica e decisória à Autoridade Nacional de Proteção de Dados. Essas características do regime jurídico da ANPD devem ser consideradas em toda a sua potencialidade [...]. A ANPD, enquanto possuir natureza de órgão, está sujeita ao recurso hierárquico, com exceção de questões técnicas e decisórias, as quais não são passíveis de recursos hierárquicos próprios , pois o artigo 55-B, caput, da LGPD determinou estar „[...] assegurada autonomia técnica e decisória à ANPD‟. A autonomia técnica se refere ao exercício autônomo da competência de elaborar normas secundárias gerais e abstratas referentes a tratamento de dados pessoais, enquanto a autonomia decisória garante a não reconsideração das decisões que aplicam sanções e resolvem conflitos, em outras palavras, impede que os atos de produção de norma jurídica individual e concreta sejam reapreciados pela Presidência da República, Ambas as autonomias podem ser reunidas dentro do conceito de „autonomia funcional‟, a qual se refere à „capacidade de orientar o modo de exercício das competências recebidas por lei. Assim, as competências decisivas dentro do sistema brasileiro de proteção de dados (regulamentadora e fiscalizatória) podem ser exercidas pela ANPD, em termos jurídicos, com o mesmo grau de autonomia de que gozaria se tivesse sido atribuída para si personalidade jurídica própria. [...] Apesar de a ANPD já existir como órgão e a Lei autorizar a sua conversão em autarquia, tais fatos não são capazes de elidir a exigência de o veículo apto a qualificá-la como autarquia ser a lei e não decreto do Poder Executivo, como pretende o art. 55-A, §1º, da LGPD (FERRAZ, 2020, p.621-643). Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 15 De relevante, para os fins deste curso, destaca-se ainda que o Decreto Federal nº 10.474, de 26 de agosto de 2020 aprova a Estrutura Regimental da ANPD, conforme o art. 55-G, caput, da LGPD. Já o Regimento Interno da ANPD foi aprovado pela Portaria nº 1 do Conselho Diretor da ANPD, de 8 de março de 2021, nos termos do art. 55-G, §2º, da LGPD. As competências básicas da ANPD estão dispostas nos artigos 55-J e 55-K da LGPD, abaixo transcritos: Art. 55-J. Compete à ANPD: (Incluído pela Lei nº 13.853, de 2019) I- zelar pela proteção dos dados pessoais, nos termos da legislação; (Incluído pela Lei nº 13.853, de 2019) II- zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei; (Incluído pelaLei nº 13.853, de 2019) III- elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; (Incluído pela Lei nº 13.853, de 2019) IV- fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; (Incluído pela Lei nº 13.853, de 2019) V- apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; (Incluído pela Lei nº 13.853, de 2019) VI- promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; (Incluído pela Lei nº 13.853, de 2019) VII- promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade; (Incluído pela Lei nº 13.853, de 2019) VIII- estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; (Incluído pela Lei nº 13.853, de 2019) IX- promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional; (Incluído pela Lei nº 13.853, de 2019) X- dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial; (Incluído pela Lei nº 13.853, de 2019) XI- solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei; (Incluído pela Lei nº 13.853, de 2019) XII- elaborar relatórios de gestão anuais acerca de suas atividades; (Incluído pela Lei nº 13.853, de 2019) XIII- editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 16 proteção de dados pessoais previstos nesta Lei; (Incluído pela Lei nº 13.853, de 2019) XIV- ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento; (Incluído pela Lei nº 13.853, de 2019) XV- arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas; (Incluído pela Lei nº 13.853, de 2019) XVI- realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; (Incluído pela Lei nº 13.853, de 2019) XVII- celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942; (Incluído pela Lei nº 13.853, de 2019) XVIII- editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; (Incluído pela Lei nº 13.853, de 2019) XIX- garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso); (Incluído pela Lei nº 13.853, de 2019) XX- deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos; (Incluído pela Lei nº 13.853, de 2019) XXI- comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; (Incluído pela Lei nº 13.853, de 2019) XXII- comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal; (Incluído pela Lei nº 13.853, de 2019) XXIII- articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e (Incluído pela Lei nº 13.853, de 2019) XXIV- implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei. (Incluído pela Lei nº 13.853, de 2019) §1º Ao impor condicionantes administrativas ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei. (Incluído pela Lei nº 13.853, de 2019) §2º Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório. (Incluído pela Lei nº 13.853, de 2019) §3º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 17 e o tratamento de dados pessoais, na forma desta Lei. (Incluído pela Lei nº 13.853, de 2019) §4º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD. (Incluído pela Lei nº 13.853, de 2019) §5º No exercício das competências de que trata o caput deste artigo, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei. (Incluído pela Lei nº 13.853, de 2019) §6º As reclamações colhidas conforme o disposto no inciso V do caput deste artigo poderão ser analisadas de forma agregada, e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada. (Incluído pela Lei nº 13.853, de 2019) Art. 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública. (Incluído pela Lei nº 13.853, de 2019) Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação. (Incluído pela Lei nº 13.853, de 2019) As competências da ANPD podem ser assim classificadas:2 Competênciasregulamentares ou normativas: são aquelas que conduzem à edição de atos normativos regulamentares. Competências fiscalizatórias, de controle ou de ordenação administrativa: são aquelas exercidas mediante atos e processos administrativos com vistas à tutela dos dados pessoais com base na LGPD e nos regulamentos aplicáveis à matéria, inclusive aqueles editados pela própria ANPD. Compreende auditorias, soluções judicantes e consensuais de controvérsias, articulação com outros órgãos reguladores e de controle, bem como imposição de eventuais sanções.3 Competências pedagógicas, informativas ou de cunho-preventivo (regulação suave): trata-se do uso da influência e técnicas suaves de regulação sobre os agentes regulados. 2 Outras competências da ANPD: v. artigos 12, 30, 41, §3º e 46, §1º,da LGPD. 3 Fiscalização é o “poder-dever de vigilância, exame ou verificação atribuído por lei a órgão, entidade ou agente público” , conforme o Glossário de Controle de Termos do Controle Externo, elaborado pelo Tribunal de Contas da União (TCU). (Disponível em: ). A expressão “ordenação administrativa”, de alcance mais amplo e formulada por Carlos Ari Sundfeld, compreende (1) competências para impor condicionamentos; (2) para fiscalizar; (3) para reprimir a não observância dos condicionamentos; (4) para executar as medidas necessárias ao cumprimento dos condicionamentos. (Cf. FERRAZ, 2020, p.621-643). https://portal.tcu.gov.br/biblioteca-digital/glossario-de-termos-do-controle-externo.htm Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 18 Competências de gestão própria e accountability: trata-se de competências que possibilitam a prestação de contas da ANPD ao público e aos demais órgãos de controle a respeito de suas próprias atividades. O quadro a seguir sintetiza as competências da ANPD: Competências regulamentares ou normativas Competências fiscalizatórias, de controle ou de ordenação administrativa Competências pedagógicas, informativas ou de cunho-preventivo (regulação suave) Competências de gestão própria e accountability Art. 55-J, III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade. Art. 55-J. I - zelar pela proteção dos dados pessoais, nos termos da legislação. Art. 55-J. VI - promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança. Art. 55-J, XII - elaborar relatórios de gestão anuais acerca de suas atividades. Art. 55-J, X - dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial. Art. 55-J. II - zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei. Art. 55-J. VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade. Art. 55-J, XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas. Art. 55-J, XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei. Art. 55-J. IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. Art. 55-J. VIII - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis. Art. 55-J. XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento; ' Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 19 Competências regulamentares ou normativas Competências fiscalizatórias, de controle ou de ordenação administrativa Competências pedagógicas, informativas ou de cunho-preventivo (regulação suave) Competências de gestão própria e accountability Art. 55-J, XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei. Art. 55-J. V - apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação. Art. 55-J. IX - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional. Art. 55-J, XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos. Art. 55-J. XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público. Art. 55-J.XI - solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei. Art. 55-J, XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei. Art. 55-J. XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto- Lei nº 4.657, de 4 de setembro de 1942. Aet. 12. Dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais. Art. 55-J. XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso). Art. 55-J. XXIII - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação. Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 20 Competências regulamentares ou normativas Competências fiscalizatórias, de controle ou de ordenação administrativa Competências pedagógicas,informativas ou de cunho-preventivo (regulação suave) Competências de gestão própria e accountability Art. 41, §3º. A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Art. 55-J. XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos. Art. 46, §1º. A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei. Art. 55-J. XXI - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento. Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais. Art. 55-J. XXII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal. Art. 55-J. XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei. Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 21 Requisitos para o exercício das competências regulamentares ou normativas: Art. 55-J, §2º Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório. Consulta pública A consulta pública é o instrumento de apoio à tomada de decisão por meio do qual a sociedade é consultada previamente, por meio do envio de críticas, sugestões e contribuições por quaisquer interessados, sobre proposta de norma regulatória aplicável ao setor de atuação da agência reguladora (art. 9º, §1º, Lei nº 13.848/2019 – Lei das Agências Reguladoras). Audiência pública A audiência pública é o instrumento de apoio à tomada de decisão por meio do qual é facultada a manifestação oral por quaisquer interessados em sessão pública previamente destinada a debater matéria relevante (art. 10, §1º, Lei nº 13.848/2019 – Lei das Agências Reguladoras). Análise de impacto regulatório (AIR) procedimento, a partir da definição de problema regulatório, de avaliação prévia à edição dos atos normativos de que trata este Decreto, que conterá informações e dados sobre os seus prováveis efeitos, para verificar a razoabilidade do impacto e subsidiar a tomada de decisão (art. 2º, I, Decreto nº 10.411/2020) Relatório de impacto à proteção de dados pessoais (RIPD) O Relatório de Impacto à Proteção dos Dados Pessoais (RIPD) representa documento fundamental a fim de demonstrar os dados pessoais que são coletados, tratados, usados, compartilhados e quais medidas são adotadas para mitigação dos riscos que possam afetar as liberdades civis e direitos fundamentais dos titulares desses dados (CGU, 2020). Os dispositivos relevantes da LGPD sobre o relatório de impacto à proteção de dados pessoais são destacados abaixo: Art. 5º, XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I- apoio e promoção de atividades do controlador; e II- proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 22 expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. §1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. §2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. §3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público. Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Art. 55-J. XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei. 1.2.2 Conselho Nacional de Proteção de Dados Pessoais e da Privacidade: Organização e Competências A estrutura do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade está discriminada no art. 58-A da LGPD, abaixo transcrito: Seção II Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade Art. 58. (VETADO). Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 (vinte e três) representantes, titulares e suplentes, dos seguintes órgãos: (Incluído pela Lei nº 13.853, de 2019) I - 5 (cinco) do Poder Executivo federal; (Incluído pela Lei nº 13.853, de 2019) II - 1 (um) do Senado Federal; (Incluído pela Lei nº 13.853, de 2019) III- 1 (um) da Câmara dos Deputados; (Incluído pela Lei nº 13.853, de 2019) IV- 1 (um) do Conselho Nacional de Justiça; (Incluído pela Lei nº 13.853, de 2019) Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 23 V- 1 (um) do Conselho Nacional do Ministério Público; (Incluído pela Lei nº 13.853, de 2019) VI - 1 (um) do Comitê Gestor da Internet no Brasil; (Incluído pela Lei nº 13.853, de 2019) VII- 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais; (Incluído pela Lei nº 13.853, de 2019) VIII- 3 (três) de instituições científicas, tecnológicas e de inovação; (Incluído pela Lei nº 13.853, de 2019) IX- 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo; (Incluído pela Lei nº 13.853, de 2019) X- 2 (dois) de entidades representativas do setorempresarial relacionado à área de tratamento de dados pessoais; e (Incluído pela Lei nº 13.853, de 2019) XI- 2 (dois) de entidades representativas do setor laboral. (Incluído pela Lei nº 13.853, de 2019) §1º Os representantes serão designados por ato do Presidente da República, permitida a delegação. (Incluído pela Lei nº 13.853, de 2019) §2º Os representantes de que tratam os incisos I, II, III, IV, V e VI do caput deste artigo e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública. (Incluído pela Lei nº 13.853, de 2019) §3º Os representantes de que tratam os incisos VII, VIII, IX, X e XI do caput deste artigo e seus suplentes: (Incluído pela Lei nº 13.853, de 2019) I- serão indicados na forma de regulamento; (Incluído pela Lei nº 13.853, de 2019) II- não poderão ser membros do Comitê Gestor da Internet no Brasil; (Incluído pela Lei nº 13.853, de 2019) III- terão mandato de 2 (dois) anos, permitida 1 (uma) recondução. (Incluído pela Lei nº 13.853, de 2019) §4º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada. (Incluído pela Lei nº 13.853, de 2019) Quanto às competências do Conselho, transcreve-se abaixo o art. 58-B da LGPD: Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade: (Incluído pela Lei nº 13.853, de 2019) I- propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; (Incluído pela Lei nº 13.853, de 2019) II- elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; (Incluído pela Lei nº 13.853, de 2019) III- sugerir ações a serem realizadas pela ANPD; (Incluído pela Lei nº 13.853, de 2019) IV- elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e (Incluído pela Lei nº 13.853, de 2019) V- disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população. (Incluído pela Lei nº 13.853, de 2019) Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 24 1.3 Responsabilidade de Entidades e Órgãos Públicos Estaduais em Relação à ANPD (arts. 31 e 32 da LGPD) O tema da responsabilidade de órgãos públicos por infração à LGPD encontra-se disciplinado nos arts. 31 e 32 da Lei. Vejamos: Seção II Da Responsabilidade Art. 31. Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação. Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público. À luz dos artigos 31 e 32 da LGPD, como se pode perceber, a LGPD parece não atribuir à ANPD competência para impor as sanções administrativas previstas no art. 52 da Lei aos órgãos públicos. Sobre o tema, confira-se a lição de Ricardo Marcondes Martins: Apesar de a literalidade da Lei não deixar claro, não cabe à ANPD aplicar as referidas sanções administrativas às pessoas jurídicas de direito público. Não existe controle administrativo de uma entidade federativa sobre a outra. Assim, a União não tem competência para impor uma sanção administrativa a Estados e Municípios e vice- versa. A imposição de uma sanção administrativa pressupõe uma relação de sujeição, uma relação vertical entre o sancionador e o sancionado. Todas as entidades feerativas estão numa relação horizontal, não há sujeição administrativa entre uma e outra, e, por isso, inexiste possibilidade de uma entidade federativa impor, administrativamente, uma sanção sobre outra. Idêntica regra se estende às autarquias e fundações públicas, pessoas jurídicas de direito público, integrantes da Administração indireta da entidade que as instituiu. Da mesma forma que a ANPD não tem competência para sancionar Estados e Municípios, também não tem competência para sancionar as pessoas de direito público por eles instituídas. [...] Poder-se-ia argumentar: pode a ANPD impor sanção administrativa aos órgãos federais e às pessoas de direito público federal? [...] Em que pese eventuais discordâncias, não há razão jurídica para, no âmbito do controle interno, um órgão sancionar outro, ou uma entidade pública sancionar outra. Trata-se de uma regra elementar: a Administração pública não deve sancionar a si mesma. Todos os órgãos e entes públicos são regidos pelos princípios da cooperação e da coordenação, de modo que todos devem atuar como engrenagem da mesma Administração, cooperando uns com os outros e atuando em coordenação em prol do cumprimento eficiente das respectivas competências. Se um órgão ou uma entidade não cumpre suas funções, o controle interno deve responsabilizar os respectivos agentes públicos, mas não o próprio órgão ou entidade. [...] Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 25 Evidentemente, essa regra não se aplica ao controle externo, seja o controle administrativo, seja o controle jurisdicional. É perfeitamente possível que o Tribunal de Contas, no primeiro caso, ou o Poder Judiciário, no segundo, imponham sanções a pessoas de direito público. [...] Da mesma forma que descabe à ANPD sancionar autarquias federais – por força dos princípios da cooperação e da coordenação –, estaduais e municipais – por força da própria autonomia federativa –, também descabe a ela, pelos mesmos motivos, sancionar empresas estatais prestadoras de serviço públicom sejam empresas federais, sejam empresas estaduais ou municipais. As sanções administrativas, elencadas no art. 52, são, porém, aplicáveis às empresas estatais exploradoras de atividade econômica. [...] As estatais exploradoras de atividade econômica não podem ter tratamento privilegiado em relação às empresas particulares, sob pena de a concorrência entre elas ser desleal (MARTINS, 2020, p.17-31). Quanto à possibilidade de aplicação de sanções administrativas aos órgãos públicos, no entanto, confira-se o teor do art. 52 da LGPD, em especial o seu §3º: Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência) I- advertência, com indicação de prazo para adoção de medidas corretivas; II- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III- multa diária, observado o limite total a que se refere o inciso II; IV- publicização da infração após devidamente apurada e confirmada a sua ocorrência; V- bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI- eliminação dos dados pessoais a que se refere a infração; VII - (VETADO); VIII - (VETADO); IX - (VETADO). IX- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019) X- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853,de 2019) XI- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019) §1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: I - a gravidade e a natureza das infrações e dos direitos pessoais afetados; II - a boa-fé do infrator; III - a vantagem auferida ou pretendida pelo infrator; IV - a condição econômica do infrator; V - a reincidência; Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 26 VI - o grau do dano; VII- a cooperação do infrator; VIII- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do §2º do art. 48 desta Lei; IX- a adoção de política de boas práticas e governança; X - a pronta adoção de medidas corretivas; e XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção. §2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica. (Redação dada pela Lei nº 13.853, de 2019) §3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011. (Promulgação partes vetadas) §4º No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea. §5º O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995. (Incluído pela Lei nº 13.853, de 2019) §6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas: (Incluído pela Lei nº 13.853, de 2019) I- somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e (Incluído pela Lei nº 13.853, de 2019) II- em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos. (Incluído pela Lei nº 13.853, de 2019) §7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo. (Incluído pela Lei nº 13.853, de 2019) Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa. (Vigência) §1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei. Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 27 §2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária. Art. 54. O valor da sanção de multa diária aplicável às infrações a esta Lei deve observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional. (Vigência) Parágrafo único. A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento. Em relação aos órgãos públicos, portanto, fato é que o art. 52, §3º da LGPD, prevê a possibilidade de imposição, por parte da ANPD, das seguintes sanções administrativas: Advertência, com indicação de prazo para adoção de medidas corretivas (art. 52, I); Publicização da infração após devidamente apurada e confirmada a sua ocorrência (art. 52, IV); Bloqueio dos dados pessoais a que se refere a infração até a sua regularização (art. 52, V); Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador (art. 52, X); Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período (art. 52, XI); Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados (art. 52, XII). Nada obstante, concorda-se com Ricardo Marcondes Martins (2020), ao menos no sentido de que tais disposições (aquelas do art. 52) em nenhuma hipótese aplicam-se a órgãos e entidades estaduais, que ficam sujeitos exclusivamente à responsabilidade delineada nos artigos 31 e 32 da LGPD. Sobre a possibilidade de imposição das sanções previstas no art. 52 às empresas estatais exploradoras de atividade econômica, rememore-se o art. 24 da LGPD: Art. 24. As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta Lei. Parágrafo único. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos deste Capítulo. Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 28 Em razão disso, no caso do caput do art. 24 da LGPD, as estatais exploradoras de atividade econômica, inclusive as estaduais, podem vir a sofrer as sanções previstas no art. 52 da LGPD como se entidades puramente privadas fossem. No entanto, o critério adotado na LGPD suscita dúvidas, já que estatais que exercem atividade econômica, em sentido estrito, também podem capitanear políticas públicas. Quanto à responsabilidade administrativa dos agentes públicos, cf. módulo ministrado pelo Prof. Roberto Altheim. 1.4 Instâncias Estaduais: O Modelo Paranaense O regime estadual de proteção de dados pessoais foi estruturado pelo Decreto Estadual nº 6.474, de 14 de dezembro de 2020. Aplica-se à Administração Pública Estadual direta, autárquica e fundacional do Poder Executivo do Estado do Paraná e inclui os Serviços Sociais Autônomos (art. 1º). Os principais sujeitos ativos do regime regulatório paranaense são os seguintes: Controladoria-Geral do Estado (CGE): na condição de coordenadora
Mais conteúdos dessa disciplina
(31)994408961- RESOLVIDA- Roteiro Aula Pratica Seguranca de Dados- (31)994408961- RESOLVIDO-Aula Pratica Seguranca de Dados (2 atv)
- Mapa Mental - Segurança da Informação
- (31)994408961- RESOLVIDO-Projeto Integrado Analise e Desenvolvimento de Sistemas- TechMarket
- (31)994408961- RESOLVIDO-Projeto integrado inovacao Seguranca da informacao
- (31)994408961- RESOLVIDO-Projeto Integrado Maximus Building
- (31)994408961- RESOLVIDO-Projeto integrado Inovacao Computacao em Nuvem
- SEGURANÇA DA INFORMAÇÃO I
- Uma das classificações dos impactos ambientais os define como permanentes e temporários. Entre as alternativas, marque aquela que apresenta um impacto
- Em que tipo de criptografia é utilizada a mesma senha para encriptar e para desencriptar? Pergunta 13Selecione uma opção: a. Criptografia de senha pri
- o que causa estouro de buffer?
- A LGPD apresenta uma definição clara e específica de transferência internacional de dados pessoais, enquanto o GDPR não distingue entre transferênc...
- A regulação sobre transferências internacionais de dados é desnecessária, pois as legislações nacionais são suficientes para proteger os dados pess...
- Segundo a LGPD, a transferência internacional de dados pode ser realizada mesmo sem garantias adequadas de proteção se houver consentimento explíci...
- Normas de segurança eletronica não são necessarias para apdronizar praticas na proteção de pessoas e propriedades
- A educação digital não se limita ao uso de tecnologias para transmitir conhecimento; ela implica uma mudança de paradigma onde o estudante ocupa um...
- O acesso a cursos online de instituições renomadas e o uso de AVAs (Ambientes Virtuais de Aprendizagem) representam uma revolução no modo como o co...
- O pne é publicado em 2001 é um documento que traça metas e objetivos para a educação brasileira se quiser fazer uma pesquisa em educação sobre a hi...
- A tecnologia blockchain desempenha um papel fundamental na criação e no funcionamento dos NFTs (Tokens Não Fungíveis). Sobre esses conceitos, anali...
- L’etica dei dati comprende: Domanda 13Risposta a. le regole per la raccolta e classificazione dei dati personali degli utenti b. gli obblighi morali r
- 111. O failover é um processo manual onde o administrador do sistema precisa identificar a falha de um servidor primário e manualmente ativar o servid
- Considerando que o código-fonte a seguir foi construído com a linguagem de programação Python, indique qual das alternativas possui a sequência cor...
- As redes neurais são técnicas não-lineares capazes de modelar funções complexas. Essa técnica é utilizada quando a relação entre entradas e saídas ...
