preloader
Português
Your address will show here +12 34 56 78
Fique por Dentro, LGPD
O privacy by design é um conceito que começou a aparecer bastante recentemente, inclusive no compliance. Apesar de ser originalmente pensado para setores da tecnologia, se tornou muito importante para quem trabalha com regulamentação.

Isso porque a General Data Protection Regulation (GDPR), que originou a LGPD, menciona a estratégia nominalmente e explica a importância dela para a proteção de dados pessoais.

O que é privacy by design?

O privacy by design é uma abordagem à engenharia de sistemas que, basicamente, diz que um produto ou sistema precisa ser pensado para proteger os dados dos usuários desde sua concepção.

Ou seja, o sistema teria que ser criado já pensando em salvaguardas e funcionalidades para proteger os dados.

Para que isso seja feito de forma padronizada e para guiar os engenheiros de sistemas, existem os pilares do privacy by design:

  • Proativo não reativo; preventiva não corretiva: No privacy by design, não existe a reação a problemas de privacidade e sim a antecipação dos problemas. Também conta com monitoração para identificar riscos e constantemente criar soluções antecipadamente;
  • Privacidade incorporada ao design: O usuário terá o controle para alterar as configurações padrão e optar por fornecer ou não seus dados sem perder o acesso ao produto ou serviço;
  • Funcionalidade completa: O produto ou serviço deve ser plenamente utilizável se o usuário não alterar as configurações de privacidade. Não pode haver vantagem ao usuário caso altere a configuração de privacidade.
  • Segurança de ponta a ponta: Quando o usuário autorizar a coleta de algum dado, o tratamento deve ser de forma segura durante todo o ciclo de vida do dado;
  • Visibilidade e transparência: O produto ou sistema precisa, obrigatoriamente, ser facilmente auditável por terceiros, como organizações de fiscalização. É preciso que a empresa tenha forma de apresentar evidências de seus esforços em proteger os dados pessoais;
  • Respeito pela privacidade do usuário: Devem ser estabelecidas diretrizes de segurança da informação que assegurem: confidencialidade, integridade e disponibilidade dos dados e informações durante todo o ciclo de vida;
  • Privacidade como configuração padrão (Privacy by Default): Essa é uma garantia dentro do desenho da privacidade.

O que tem a ver com a LGPD?

O privacy by design tem a ver com a LGPD porque tem a ver com a GDPR. Na lei brasileira, não é citado o conceito nominalmente, mas as referências diretas aos princípios são perceptíveis.

Já na lei europeia, no Artigo 25 intitulado “Data protection by design and by default” é dito que:

“O controlador deve, tanto no momento da determinação dos meios de processamento quanto no próprio processamento, implementar medidas técnicas e organizacionais apropriadas […] para implementar princípios de proteção de dados […] de maneira eficaz e integrar as salvaguardas necessárias ao processamento”.

Ou seja, mesmo que não dito explicitamente na nossa lei, fica bem detalhado os processos e princípios como obrigação das empresas.

Além disso, como a GDPR é mais abrangente, é uma boa prática se basear principalmente nela para implantação de programas de compliance de privacidade de dados.

No entanto, é importante lembrar que a LGPD tem suas particularidades, e empresas precisam conhecer bem ela também.

Qual o dever do profissional de compliance?

Por enquanto, o que vimos é principalmente relacionada à concepção de produtos e sistemas. Por exemplo, que o sistema da empresa apague completamente dados automaticamente, encerrando seu ciclo de vida.

O que ainda acontece em muitos casos é que os dados são armazenados pela empresa após o tratamento inicial. Podem até chegar a serem utilizados novamente para outro fim no futuro.

Com as novas leis isso é ilegal, visto que o titular precisa autorizar os diferentes fins que terão esses dados.

Mas o profissional de compliance ainda terá muito trabalho, não só os profissionais de TI. São 4 principais funções para o compliance com a LGPD e o privacy by design:

  • Guiar a empresa com seu conhecimento sobre as leis
  • Comunicar sobre o tema
  • Monitoramento
  • Produzir evidências

Guiar a empresa com seu conhecimento sobre as leis

Primeiramente, nenhum funcionário deverá conhecer melhor as leis sobre privacidade de dados que o profissional de compliance.

Esse conhecimento profundo sobre o que a empresa precisa e pode fazer é o que servirá para guiar os outros setores a implementarem seus processos.

Por isso, uma função do compliance será acompanhar de perto a implementação de todas as normas previstas nas leis sobre proteção de dados com a ajuda do DPO.

Comunicar sobre o tema

Outra atribuição do profissional de compliance sobre privacy by design é assegurar que o conceito esteja bem comunicado dentro da empresa. Isso inclui campanhas internas, como também treinamentos periódicos e políticas e processos bem compreendidos pelos funcionários.

Monitoramento

Outra responsabilidade do compliance é fazer o monitoramento desses processos e das campanhas implementadas. Isso também pode ser feito com o acompanhamento do DPO, dependendo da empresa.

Produzir evidências

A última responsabilidade do compliance é produzir evidências do seu programa de compliance de dados. Ou seja, estar preparado para mostrar a autoridades fiscalizadores os dados que mostram que a empresa tem se esforçado para estar em compliance.

Em ambas as leis (LGPD e GDPR) e nos princípios do privacy by design é deixado explícito que é dever da empresa fornecer dados que comprovem seus esforços em mitigar os riscos relacionados à privacidade de dados.
0

LGPD
Todo mundo fala muito sobre proteção de dados pessoais e como é importante com a LGPD. No entanto, às vezes ainda ficamos com dúvidas sobre coisas que o compliance pode fazer na prática.

O conceito de proteção de dados, a Lei e a de repente necessidade de implementação deixou pouco tempo para pesquisa e elaboração de uma estratégia. Por isso, listamos abaixo algumas práticas reais e de fácil implementação que o compliance pode realizar.

1. Mapear entrada e saída de dados pessoais

Um exercício importante para o profissional de compliance entender melhor a parte técnica da proteção de dados, e ainda criar uma estratégia para o compliance, é mapear a entrada e saída de dados pessoais da empresa.

Isso significa documentar todos os pontos em que dados entram, como por exemplo:

  • Inscrições em campanhas de marketing
  • Coleta de cookies no site da empresa
  • Coleta de informações sobre clientes
  • Pesquisas de mercado

Além disso, é preciso mapear os pontos de saída, como por exemplo:

  • Compartilhamento com distribuidores (endereços, telefone, etc.)
  • Transferência internacional
  • Inserção em ferramentas terceirizadas*

*O clickCompliance, por exemplo, está desenvolvendo uma ferramenta de anonimização de dados. No entanto, deixamos claro que ninguém da nossa equipe tem qualquer contato com os dados, nem os armazenamos. É importante checar se as suas ferramentas também fazem isso.

É claro que as entradas e saídas podem ser infinitas, depende da atuação da empresa. Por isso, não se atenha a esses exemplos.

2. Mapear o tratamento dos dados e os riscos

O próximo passo é pegar esses dados e mapear como eles são tratados entre a entrada e a saída. Você terá que conversar com as diversas áreas envolvidas nesse tratamento, mesmo que seja com um terceiro.

Esse relatório também é conhecido como o ROPA (Record of Processing Activities ou Registro de operações).

Aqui, você deve documentar, por exemplo:

  • Quem trata os dados (a área, e até a pessoa ou função específica)
  • Quais ferramentas são usadas no tratamento
  • Com que frequência os dados são tratados
  • Para quais finalidades os dados pessoais são tratados

Lembre-se de que esses são alguns exemplos, mas o tratamento varia muito de empresa para empresa. Procure saber em detalhes como funciona na sua.

3. Categorizar os dados tratados pela empresa

Agora, chegou a hora de categorizar os dados que são tratados. Isso é importante porque você vai entender quais precisam de mais cuidado e vai ajudar na hora de criar políticas, criar o relatório de impacto, etc.

Alguns exemplos de categorizações são:

  • Pessoais
  • Sensíveis
  • Anonimizados
  • Diretos
  • Indiretos
  • De criança ou adolescente


4. Elaborar o relatório de impacto

O relatório de impacto à proteção de dados pessoais (RIPD) ou Data Protection Impact Assessment (DPIA) é um documento feito sobre dados considerados de risco. Por isso é importante fazer a categorização na etapa anterior.

Esse relatório deve conter:

  • O motivo da coleta desses dados sensíveis
  • Como os dados serão tratados (no mesmo modelo do ROPA)
  • Explicar porque esse tratamento é compatível com o motivo da coleta
  • As medidas e os processos da empresa para redução e mitigação dos riscos
  • As medidas colocadas em prática de proteção de dados

5. Criar políticas corporativas sobre proteção de dados

Depois de tudo isso, é o momento da criação de políticas corporativas sobre proteção de dados pessoais. Ou seja, esses documentos vão especificar a visão da empresa e as exigências dela em relação a dados pessoais.

Elas serão referentes às áreas que foram estabelecidas no início do mapeamento. Ou seja, aquelas que fazem coleta, distribuição ou tratamento de dados considerados de risco.

Essas políticas devem ser feitas de forma clara e direta, apresentando exatamente qual o procedimento para se lidar com os dados para cada área.

Detalhe o que pode ser feito, o que não pode ser feito, outros documentos que precisam ser preenchidos na hora do registro ou tratamento de dados, etc.

Depois, é preciso distribuir essas políticas para aprovação de toda a hierarquia competente, e depois as áreas e pessoas que precisam ler e aceitar.

6. Fazer treinamentos sobre proteção de dados

Um bom complemento para essas políticas é fazer treinamentos de compliance que explicam de forma mais didática o que está nas políticas.

Ou seja, explique de forma mais completa e explicada, dando exemplos práticos, de como seguir os processos da empresa na hora de lidar com dados.

Esses treinamentos podem ser gerais, como para evitar vazamento de dados, ou específicos, como para o departamento de marketing e o que não pode mais com a LGPD.

Procure aplicar algumas boas práticas nesses treinamentos:

  • Usar exemplos e situações reais
  • Fazer treinamentos periodicamente para estarem atualizados
  • Use conteúdos multimídia para manter funcionários engajados
  • Tenha relatórios de presença, desempenho, e outros do treinamento

7. Exigir compliance de dados de terceiros

A sua empresa pode ter a melhor estratégia proteção de dados pessoais. No entanto, de nada adianta se os seus terceiros não estiverem em conformidade também, já que sua empresa pode ser responsabilizada por ações deles também.

Por isso, é preciso solicitar aos terceiros esses mesmos documentos e relatórios detalhados anteriormente. Além disso, inclua terceiros nos treinamentos sobre a proteção de dados na sua empresa.

Além disso, faça políticas direcionadas especificamente para terceiros. Deixe claro o que a sua empresa espera desses terceiros em todos os aspectos da proteção de dados.
0

Eventos, LGPD
Em meio à crise do COVID-19 (coronavírus), o clickCompliance, de acordo com sugestões de profissionais de saúde e dos governos federal e estaduais, não recomenda a ida a nenhum evento presencial para assim evitar a contaminação própria e dos outros. Muitos deles, inclusive estão sendo prorrogados ou cancelados devido à pandemia. Atualizaremos este post com eventos com datas mais distantes.

O objetivo do clickCompliance sempre foi mais do que ser apenas um software de Compliance. Buscamos ajudar a difundir o conhecimento sobre compliance, as novidades e inovações que existem no setor.

Por isso, criamos esse post com os próximos e principais eventos sobre LGPD e compliance. Todos estão convidados a comentar algum evento que você acha que esteja faltando ou que você quer divulgar (não garantimos a inclusão das sugestões no post. Só incluiremos eventos presenciais e com link externo com mais informações como site ou página do evento).


LGPD: O que precisa ser feito na Prática para se adequar à Legislação – 26/03/2020 – adiado para 29/04



Esse workshop tem o objetivo de instruir gestores do compliance e de outras áreas da importância de se preocupar com as novas regulamentações. Também busca mostrar a importância de todas as áreas dialogarem e terem o mesmo objetivo de estarem em compliance com a LGPD.

Horário: 9h – 18h00

Evento Pago

Inscrições: Sympla

Realização: BI Gestão e TI e Duplo Foco

Compliance Summit – 06/04/2020 – adiado para 07/05



Esse evento vau reunir em São Paulo diversos profissionais de compliance de grandes empresas para discutirem a implementação prática do compliance.

Entre os temas que serão discutidos estão monitoramento e tecnologia, a LGPD, terceiros, investigações e o valor do compliance para o negócio.

Horário: 8h30 – 18h

Evento Pago

Inscrições: http://compliance.corpbusiness.com.br/

Realização: Corpbusiness


Secure Talks – 14/04/2020 – adiado para 29/05

 



O Workshop “Secure Talks” vai abordar o tema “Papel dos Sistemas de Governança de Dados na Adequação à LGPD”. Acontece em 14 de abril no CUBO em São Paulo.

Horário: 9h – 12h

Evento Pago

Inscrições: Sympla, Telefone/Whatsapp ((11) 3138-4619), E-mail (info@tiinside.com.br)

Realização: TI Inside

Lei Geral de Proteção de Dados (LGPD) – 29/04/2020



Este encontro em São Paulo tem o objetivo de ajudar profissionais da área de compliance a se adequares à nova LGPD e a conseguir formular regras de boas práticas e de governança de acordo com a lei.

Será ministrado por uma professora de pós-graduação e MBA da Fundação Getúlio Vargas, e de mestrado da Universidade Alemã de Steinbeis. O curso oferecerá material, almoço, coffee break e certificados.

Horário: 8h30 – 18h

Evento Pago

Inscrições: Eventbrite

Realização: Propagar Training

1º Brazilian Data Protection and Privacy Summit – 04,05/06/2020 – adiado para 05,06/08



Este evento, que será em São Paulo, será a primeira edição e vai buscar sanar as dúvidas que vêm surgindo com as novas legislações sobre privacidade de dados. É organizado pela ESENI e o Instituto ARC, organizadores do Compliance Across Americas.

O evento visa educar e engajar executivos dos departamentos jurídicos, de Compliance e da área de TI sobre os preceitos da LGPD e de sua aplicação e impacto nas atividades das empresas. Vai reunir especialistas de diversas áreas, nacionais e internacionais, para debater o tema.

Horário: 05/08: 8h00 – 19h
06/08: 08h00 – 18h30

Evento Pago

Inscrições: Sympla

Realização: ESENI

CPDP Latam 2020 – 23,24,25/06/2020 – adiado para 2021



Este evento contará com as edições latino-americanas das conferências Computers, Privacy and Data Protection (CPDP), MyData, e Privacy Law Scholars Conference (PLSC). Será no Rio de Janeiro, e o foco é a Proteção de Dados na América Latina, incluindo questões sobre democracia, inovação e regulação.

Informações: https://cpdp.lat/ 

Realização: CPDP 

2º Congresso Internacional de Proteção de Dados – 06,07/11/2020



Esse evento vai cobrir, com ainda mais urgência do que na primeira edição, o tema da proteção de dados e a LGPD. Contará com um Workshop Day e um dia de sessões plenárias, com palestras e painéis, também divididos por trilhas de conhecimento.

Horário: 06/11: 8h00 – 18h00

07/11: 8h00 – 18h15

Evento Pago

Inscrições: https://congressodeprotecaodedados.com.br/inscricoes/  

Realização: LEC e Opice Blum Academy

11º Seminário de Proteção à Privacidade e aos Dados Pessoais – Sem data confirmada



Este evento, que acontecerá em São Paulo, já está na 11ª edição. Desde a última edição, a LGPD é um tema que é foco da conversa, e em 2020 não será diferente. 

Conta com participações de especialistas de diversos setores e reconhecidos nacional e internacionalmente, entre eles representantes do governo, da comunidade científica e tecnológica, de empresas e do terceiro setor.

Informações: https://seminarioprivacidade.cgi.br/ 

Realização: Comitê Gestor da Internet no Brasil (CGI.br) e o Núcleo de Informação e Coordenação do Ponto BR (NIC.br)


 
0

Legislação, LGPD
No geral, a Lei Geral de Proteção de Dados Pessoais (LGPD) e a General Data Protection Regulation (GDPR) são muito próximas. Afinal, a lei brasileira foi baseada na europeia. No entanto, existem algumas diferenças e considerações importantes para profissionais do compliance entenderem.

Abrangência


O principal fator, e o mais óbvio, é que, por ser uma legislação europeia, a princípio é referente a mais países. No entanto, a LGPD também foi razoavelmente abrangente no que diz respeito a quem pode ser afetado por ela.

Essa lei afeta todos aqueles que possuam alguma etapa do processo de tratamento de dados no Brasil. Ou seja, mesmo que a empresa seja do exterior, se o titular dos dados for brasileiro, a Lei se aplica a ela.

Já a GDPR é semelhante. Todas as empresas que tenham alguma parte do processo de tratamento dos dados na União Europeia terão que se adequar às normas dela. Ou seja, empresas brasileiras agora precisam se preocupar com a LGPD, e a GDPR se eles forem o detentor dos dados, o controlador ou o titular.

O texto

O texto das leis também é muito parecido. A grande diferença é que a LGPD é muito mais curta e muito menos específica. Por exemplo, a GDPR usa exemplos para explicar situações enquanto a LGPD deixa cenários mais abertos.

Outra coisa deixada em aberto pela lei brasileira é o prazo para entregar solicitações à autoridade competente (no nosso caso, a ANPD, provavelmente). Ela simplesmente diz “em um prazo razoável”. Já a Lei Europeia especifica que a entrega deve ser feita em, no máximo, 72 horas.

Quando o tratamento de dados é considerado legal?

Outra diferença importante que costuma ser citada é as hipóteses de legalidade. São os momentos em que é considerado legal fazer o tratamento de dados, independente das considerações da lei. 

Hipóteses de legalidade LGPD:

  • Mediante o fornecimento de consentimento pelo titular (deve atender a uma finalidade específica e pode ser retirado a qualquer momento).
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador.
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas (por meio da previsão legal ou contratual).
  • Para a realização de estudos por órgão de pesquisa (garantida, sempre que possível, a anonimização dos dados pessoais).
  • Quando necessário para a execução de contrato ou de procedimentos relacionados a contrato do qual o titular seja parte (caso solicitado).
  • No exercício regular de direitos em processo judicial, administrativo ou arbitral.
  • Para a proteção da vida ou da integridade física (do titular ou de terceiro).
  • Para a tutela da saúde (em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias).
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro (devendo observar se os interesses são razoáveis e como eles afetam os direitos e liberdades fundamentais do titular).
  • Para a proteção do crédito.

Na GDPR, as hipóteses de legalidade são as mesmas, tirando a última, em situações de proteção de crédito.

Faço meu programa de compliance digital baseado na GDPR ou na LGPD?

Como vimos, a GDPR é mais rígida e bem detalhada do que a LGPD. Além disso, empresas brasileiras em muitos casos terão que estar em compliance com a GDPR também. Por isso, recomendamos basear a atuação e os processos da sua empresa na legislação europeia.
No entanto, não deixe de conhecer bem a brasileira, porque ela pode conter algumas pequenas particularidades.
0

Legislação, LGPD
Decidimos reunir uma lista de termos e destaques para ajudar a entender melhor o que é a LGPD. O conteúdo é baseado em material feito por Marcos Sêmola, sócio da Ernst & Young para Cybersecurity.

Sobre a LGPD

A Lei se aplica a: Empresas estabelecidas no Brasil e empresas que ofereçam serviços a brasileiros.

A Lei não se aplica a: Dados corporativos e de negócio, dados para fins particulares e não econômicos e dados para fins jornalísticos, artísticos, acadêmicos, penais, investigativos, e de segurança pública.

Termos

Dado pessoal: Informação relacionada à uma pessoa natural identificada ou identificável;

Dado pessoal sensível: Raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico ou dados de crianças;

Dado anonimizado: Aquele cujo titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Uma vez anonimizado, o dado não é mais considerado pessoal salvo quando o processo de anonimização puder ser revertido;

Estado dos dados: Podem ser: em uso, em movimento, em nuvem, em repouso, estruturados e não estruturados;

Tratamento de dados pessoais: Se refere à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração dos dados;

Titular do dado: Pessoa natural que detém direitos estabelecidos pela LGPD sobre seus dados pessoais;

Controlador do dado: Pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais;

Operador do dado: Pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.

Siglas:

ROPA (Record of Processing Activities) – Registro de operações: O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem desde a sua coleta até a sua exclusão, indicando quais dados serão coletados, sua base legal, finalidades, tempo de retenção, e as práticas de segurança;

DPIA (Data Protection Impact Assessment) – Relatório de impacto: Ferramenta para ajudar a identificar e minimizar os riscos na proteção de dados, que poderá ser requerida pela ANPD.

É a documentação com as atividades de tratamento de dados que podem gerar riscos aos titulares, bem como informações sobre a implementação de medidas de mitigação de danos;

ANPD (Autoridade Nacional de Proteção de Dados): É uma autoridade pública federal independente estabelecida para supervisionar e fiscalizar a execução da Lei Geral de Proteção de Dados (13.709/2018).

Deverá funcionar da mesma forma que outras agências reguladoras, podendo estabelecer diretrizes para a proteção de dados pessoais no Brasil.

Será composta por um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de apoio jurídico e unidades especializadas para à aplicação da LGPD.

Enquanto a ANPD não estiver formada, o decreto que estrutura a ANPD ainda pode sofrer alterações. Até aqui, ele traz três eixos temáticos: normatização, educação e articulação institucional, e fiscalização e supervisão;

DPO (Data Protection Officer): Pessoa física ou jurídica nomeada pelo controlador, que atuará como um canal de comunicação entre o controlador, os titulares dos dados e a autoridade de proteção de dados (no caso do Brasil a ANPD).
2

Fique por Dentro
A Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade em formação que será orientadora e fiscalizadora das empresas de acordo com o previsto na LGPD. Inclusive, a lei garante a autonomia técnica necessária para a autoridade realizar suas atividades de forma imparcial, apesar de ser ligada à Presidência da República.

Primeiramente, sua responsabilidade será de orientação das empresas quanto às exigências da nova Lei, principalmente no primeiro momento em que ainda podem surgir dúvidas e dificuldades na aplicação de medidas.

Além disso, provavelmente terá uma atuação menos pró-ativa, sendo acionada a partir de denúncias ou pedidos de orientação pelas próprias empresas. Isso devido à dificuldade natural em ativamente fiscalizar a grande quantidade de empresas que serão afetadas pela LGPD.

Não só a ANPD terá a característica orientadora, como também será um espaço para a sociedade enviar dúvidas e sugestões. Também é onde devem ser enviadas denúncias relacionadas à LGPD para serem apuradas e investigadas.

Depois de orientar e fiscalizar, a Autoridade Nacional de Proteção de Dados também poderá advertir empresas que não estejam em concordância com a LGPD. Por fim, se ainda houver descumprimento, ela poderá penalizar empresas conforme as especificações no último tópico.

Como foi criada

A criação da autoridade já estava prevista na Lei Geral de Proteção de Dados Pessoais. Porém, o dispositivo da lei que criava a ANPD foi vetado por Michel Temer. Logo depois, em dezembro de 2018, através de uma medida provisória, foi recriada. Depois, foi aprovada em maio de 2019 pela Câmara e pelo Senado, e sancionada em julho de 2019 pelo presidente da República.

Para que serve

De acordo com o Artigo 55-J da LGPD, compete à ANPD, entre outras obrigações:
  • zelar pela proteção dos dados pessoais, nos termos da legislação;
  • elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  • promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  • promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  • solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
  • realizar auditorias, ou determinar sua realização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
  • celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos;
  • comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
  • implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

Será composta por quem?

A ANPD será composta por um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de apoio jurídico e unidades especializadas para à aplicação da LGPD.

O colegiado do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por 23 titulares, não remunerados, com mandato de dois anos. Serão esses:
  • 6 do Executivo Federal;
  • 1 do Senado Federal;
  • 1 da Câmara dos Deputados;
  • 1 do Conselho Nacional de Justiça;
  • 1 do Conselho Nacional do Ministério Público;
  • 1 do Comitê Gestor da Internet no Brasil;
  • 4 da sociedade civil com atuação comprovada em proteção de dados pessoais;
  • 4 de instituição científica, tecnológica e de inovação e
  • 4 de entidade do setor empresarial ligado à área de tratamento de dados pessoais.

O objetivo do governo é preencher em torno de 15 funções previstas ainda em 2019. Dentre essas 15 estariam cinco assentos do conselho diretor, seus assessores e profissionais para a área de coordenação geral de normatização.

Isso porque, como a existência da ANPD está prevista na LGPD, ela poderia já ter possibilidade de operar em agosto de 2020, quando a lei entrará em vigor. Inclusive, a falta de estruturação da ANPD é um dos argumentos na proposta que busca prorrogar essa data para 2022.

O que ela vai poder fazer?

A Autoridade Nacional de Proteção de Dados terá também o caráter punitivo, em casos de descumprimento contínuo da LGPD após advertências. No entanto, é importante lembrar que, de acordo com a Serpro, a atividade principal será orientação.

De acordo com o Capítulo VIII, Seção I, Artigo 52 da LGPD, “Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração.”
0