O Diretor-Presidente da Autoridade Nacional de Proteção de Dados (ANPD), por meio Portaria ANPD nº 35, de 04 de novembro de 2022, publicada no Diário Oficial da União em 08 de novembro de 2022, tornou pública a Agenda Regulatória da ANPD para o biênio 2023-2024.
Referida Agenda foi classificada em fases, conforme ordem abaixo mencionada, ficando determinado pela referida Portaria que a ANPD deverá considerar tais temas como prioritários quando do planejamento e da execução de ações educativas.
| Item | Iniciativa | Descrição | Priorização | |
| 1 | Regulamento de Dosimetria e Aplicação de Sanções Administrativas | A LGPD determina que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na lei. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 2 | Direitos dos titulares de dados pessoais | A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 3 | Comunicação de incidentes e especificação do prazo de notificação | De acordo com o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 4 | Transferência Internacional de Dados Pessoais | O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 5 | Relatório de Impacto à Proteção de Dados Pessoais | De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 6 | Encarregado de proteção de dados pessoais | Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 7 | Hipóteses legais de tratamento de dados pessoais | Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 8 | Definição de alto risco e larga escala | Obrigação legal disposta no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, dispôs sobre os critérios para definição do tratamento de alto risco ao titular de dados. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 9 | Dados Pessoais Sensíveis - Organizações religiosas | Documento com finalidade de disseminar as medidas básicas para adequação ao disposto na LGPD pelas organizações religiosas. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 10 | Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa |
|
Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 11 | Anonimização e pseudonimização | Documento com objetivo de orientar e esclarecer a utilização das técnicas de anonimização e de pseudonimização previstos na LGPD. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 12 | Regulamentação do disposto no art. 62 da LGPD | O art. 62 da LGPD determina a edição de regulamento específico pela ANPD para acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004. | Fase 1: Itens iniciados na vigência da Agenda Regulatória 2021-2022 | |
| 13 | Compartilhamento de dados pelo Poder Público | O capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A lei determina que a ANPD disponha sobre as formas de publicidade das operações de tratamento, bem como que contratos e convênios estabelecidos entre o Poder Público e entidades privadas que tenham acesso a dados pessoais constantes de bases de dados deverão ser comunicadas à ANPD. Estudo objetiva a operacionalização dos art. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei. | Fase 2: Itens cujo início do processo regulatório acontecerá em até 1 ano | |
| 14 | Tratamento de dados pessoais de crianças e adolescentes | A ANPD elaborou Estudo Preliminar sobre o tema, o qual teve por objetivo analisar as possíveis hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. No entanto, o estudo não teve pretensão de ser exaustivo, em razão de limitações de escopo e de tempo, que buscou promover a discussão pública e coletar contribuições da sociedade, a fim de, em um momento posterior, estabelecer interpretações e orientações mais conclusivas. Cumpre enfatizar que não foram consideradas as possíveis técnicas para aferição do consentimento ou para a aferição de idade de usuários de aplicações de internet. Além disso, observa-se necessidade de analisar os impactos de plataformas e jogos digitais na Internet na proteção de dados de crianças e de adolescentes. Embora relevantes para o tratamento de dados pessoais de crianças e adolescentes, a discussão sobre esses temas correlatos demanda uma abordagem mais ampla, levando em consideração outros contextos e aspectos técnicos e jurídicos. | Fase 2: Itens cujo início do processo regulatório acontecerá em até 1 ano | |
| 15 | Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade | Em atenção a determinação legal disposta no art. 55-J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as demais políticas públicas publicadas, como por exemplo, Estratégia Digital, Plano Nacional de IoT, dentre outros. | Fase 2: Itens cujo início do processo regulatório acontecerá em até 1 ano | |
| 16 | Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança | O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional. | Fase 2: Itens cujo início do processo regulatório acontecerá em até 1 ano | |
| 17 | Dados Pessoais Sensíveis - Dados biométricos | A coleta da biometria é de fundamental importância para se evitar fraudes e uma salvaguarda relevante para a segurança do titular. A despeito da importância do assunto, a LGPD não supriu integralmente a necessidade de disciplina do tema. Neste sentido, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo sobre os contextos nos quais a coleta de dados sensíveis seria legítima. | Fase 3: itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses | |
| 18 | Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança) | Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei. | Fase 3: itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses | |
| 19 | Inteligência artificial | Para além da determinação legal de regulamentar o disposto na LGPD, em especial o disposto no art. 20 da Lei, que trata do direito do titular de solicitar revisão de decisões automatizadas, a ANPD pode endereçar melhor o tema por meio de documentos orientativos, como guias e estudos técnicos, uma vez que o assunto está sendo bastante utilizado pelos agentes de tratamento, frente à vulnerabilidade do titular que não possui conhecimento avançado sobre o tema. Torna-se fundamental que a ANPD estude e acompanhe o tema sob a perspectiva da proteção de dados pessoais e, em particular, da aplicação da LGPD. Tais diretrizes servirão de base para o desenvolvimento de outras regras que venham a ser necessárias para a disciplina de sistema de IA. | Fase 3: itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses | |
| 20 | Termo de Ajustamento de Conduta - TAC | Em atenção ao disposto no art. 55-J, XVII da LGPD e no art. 44 da Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, o Termo de Ajustamento de Conduta - TAC é instrumento que compõe o Processo de Fiscalização e o Processo Administrativo Sancionador da ANPD, possibilitando ao agente interessado a apresentação de proposta de acordo como alternativa ao regular andamento do processo sancionador. | Fase 4: itens cujo início do processo regulatório acontecerá em até 2 anos |
Nosso escritório está à disposição para orientar sobre as novidades trazidas por esta norma.