Portaria ANPD nº 35 DE 04/11/2022
Norma Federal - Publicado no DO em 08 nov 2022
Torna pública a Agenda Regulatória para o biênio 2023-2024.
O Diretor-Presidente da Autoridade Nacional de Proteção de Dados, no exercício das atribuições que lhe confere o art. 3º, § 2º, do Decreto nº 10.474, de 2020 ,
Considerando que a Agenda Regulatória é um instrumento de planejamento que agrega as ações regulatórias consideradas prioritárias e que serão objeto de estudo ou tratamento pela Autoridade durante sua vigência;
Considerando a deliberação tomada pelo Conselho-Diretor no Circuito Deliberativo nº 10/2022; e
Considerando o constante dos autos do processo nº 00261.001286/2022- 93,
Resolve:
Art. 1º Tornar pública a Agenda Regulatória da Autoridade Nacional de Proteção de Dados - ANPD para o biênio 2023-2024, na forma do Anexo a esta Portaria.
Art. 2º As iniciativas da Agenda Regulatória para o biênio 2023-2024 são classificadas em fases, por ordem de priorização:
I - Fase 1 - itens cujo processo regulatório foi iniciado durante a vigência da Agenda Regulatória para o biênio 2021-2022, aprovada pela Portaria nº 11, de 27 de janeiro de 2021;
II - Fase 2 - itens cujo início do processo regulatório acontecerá em até 1 ano;
III - Fase 3 - itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses;
IV - Fase 4 - itens cujo início do processo regulatório acontecerá em até 2 anos.
Parágrafo único. As iniciativas a que se refere o inciso I do caput deste artigo terão prevalência sobre os demais itens constantes da Agenda Regulatória.
Art. 3º A ANPD deverá considerar como prioritários os temas constantes da Agenda Regulatória para o biênio 2023-2024 quando do planejamento e da execução de ações educativas.
Art. 4º Esta Portaria entra em vigor na data de sua publicação.
WALDEMAR GONÇALVES ORTUNHO JUNIOR
ANEXO I
AGENDA REGULATÓRIA - 2023-2024
| Item | Iniciativa | Descrição | Priorização |
| 1 | Regulamento de Dosimetria e Aplicação de Sanções Administrativas | A LGPD determina que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na lei. | Fase 1 |
| 2 | Direitos dos titulares de dados pessoais | A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23. | Fase 1 |
| 3 | Comunicação de incidentes e especificação do prazo de notificação | De acordo com o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações. | Fase 1 |
| 4 | Transferência Internacional de Dados Pessoais | O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto. | Fase 1 |
| 5 | Relatório de Impacto à Proteção de Dados Pessoais | De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais. | Fase 1 |
| 6 | Encarregado de proteção de dados pessoais | Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. | Fase 1 |
| 7 | Hipóteses legais de tratamento de dados pessoais | Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele. | Fase 1 |
| 8 | Definição de alto risco e larga escala | Obrigação legal disposta no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014 , Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, dispôs sobre os critérios para definição do tratamento de alto risco ao titular de dados. | Fase 1 |
| 9 | Dados Pessoais Sensíveis - Organizações religiosas | Documento com finalidade de disseminar as medidas básicas para adequação ao disposto na LGPD pelas organizações religiosas. | Fase 1 |
| 10 | Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa | Documento com finalidade de fornecer aos agentes de tratamento recomendações e orientações que possam incentivar a adoção de boas práticas e respaldar o tratamento de dados pessoais realizado para fins acadêmicos e de estudos e pesquisas de forma compatível com a LGPD. | Fase 1 |
| 11 | Anonimização e pseudonimização | Documento com objetivo de orientar e esclarecer a utilização das técnicas de anonimização e de pseudonimização previstos na LGPD. | Fase 1 |
| 12 | Regulamentação do disposto no art. 62 da LGPD | O art. 62 da LGPD determina a edição de regulamento específico pela ANPD para acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004 . | Fase 1 |
| 13 | Compartilhamento de dados pelo Poder Público | O capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A lei determina que a ANPD disponha sobre as formas de publicidade das operações de tratamento, bem como que contratos e convênios estabelecidos entre o Poder Público e entidades privadas que tenham acesso a dados pessoais constantes de bases de dados deverão ser comunicadas à ANPD. Estudo objetiva a operacionalização dos art. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei. | Fase 2 |
| 14 | Tratamento de dados pessoais de crianças e adolescentes | A ANPD elaborou Estudo Preliminar sobre o tema, o qual teve por objetivo analisar as possíveis hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. No entanto, o estudo não teve pretensão de ser exaustivo, em razão de limitações de escopo e de tempo, que buscou promover a discussão pública e coletar contribuições da sociedade, a fim de, em um momento posterior, estabelecer interpretações e orientações mais conclusivas. Cumpre enfatizar que não foram consideradas as possíveis técnicas para aferição do consentimento ou para a aferição de idade de usuários de aplicações de internet. Além disso, observa-se necessidade de analisar os impactos de plataformas e jogos digitais na Internet na proteção de dados de crianças e de adolescentes. Embora relevantes para o tratamento de dados pessoais de crianças e adolescentes, a discussão sobre esses temas correlatos demanda uma abordagem mais ampla, levando em consideração outros contextos e aspectos técnicos e jurídicos. | Fase 2 |
| 15 | Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade | Em atenção a determinação legal disposta no art. 55-J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as demais políticas públicas publicadas, como por exemplo, Estratégia Digital, Plano Nacional de IoT, dentre outros. | Fase 2 |
| 16 | Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança | O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional. | Fase 2 |
| 17 | Dados Pessoais Sensíveis - Dados biométricos | A coleta da biometria é de fundamental importância para se evitar fraudes e uma salvaguarda relevante para a segurança do titular. A despeito da importância do assunto, a LGPD não supriu integralmente a necessidade de disciplina do tema. Neste sentido, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo sobre os contextos nos quais a coleta de dados sensíveis seria legítima. | Fase 3 |
| 18 | Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança) | Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei. | Fase 3 |
| 19 | Inteligência artificial | Para além da determinação legal de regulamentar o disposto na LGPD, em especial o disposto no art. 20 da Lei, que trata do direito do titular de solicitar revisão de decisões automatizadas, a ANPD pode endereçar melhor o tema por meio de documentos orientativos, como guias e estudos técnicos, uma vez que o assunto está sendo bastante utilizado pelos agentes de tratamento, frente à vulnerabilidade do titular que não possui conhecimento avançado sobre o tema. Torna-se fundamental que a ANPD estude e acompanhe o tema sob a perspectiva da proteção de dados pessoais e, em particular, da aplicação da LGPD. Tais diretrizes servirão de base para o desenvolvimento de outras regras que venham a ser necessárias para a disciplina de sistema de IA. | Fase 3 |
| 20 | Termo de Ajustamento de Conduta - TAC | Em atenção ao disposto no art. 55-J, XVII da LGPD e no art. 44 da Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, o Termo de Ajustamento de Conduta - TAC é instrumento que compõe o Processo de Fiscalização e o Processo Administrativo Sancionador da ANPD, possibilitando ao agente interessado a apresentação de proposta de acordo como alternativa ao regular andamento do processo sancionador. | Fase 4 |