Bate Papo com a ANPD: o que esperar da Autoridade?

No último dia 26 de agosto, representantes da Autoridade Nacional de Proteção de Dados (ANPD) participaram do painel “Papo sobre proteção de dados com a ANPD”, no 16º Seminário de Proteção à Privacidade e aos Dados Pessoais, organizado pelo CGI.br e pelo NIC.br.

O painel contou com a participação de Fabrício Guimarães Madruga Lopes, Coordenador-Geral de Fiscalização da ANPD, e Rodrigo Santana, Coordenador-Geral de Normatização do órgão, que conduziram a conversa, apresentando a evolução da agenda regulatória, os temas prioritários em análise e a abordagem adotada pela Autoridade no exercício de suas atividades fiscalizatórias.

Nossos advogados estavam presentes no evento e destacam abaixo os principais pontos da conversa.

NORMATIZAÇÃO

A ANPD reforçou que seus processos regulatórios seguem modelo baseado em risco e priorizam a preservação de direitos fundamentais. Entre os temas em andamento, destacam-se:

• Direitos dos titulares: A ANPD está trabalhando na regulamentação dos artigos 9º, 18 e 20 da Lei Geral de Proteção de Dados (LGPD). Os debates envolvem temas como maior transparência em avisos de privacidade, incluindo, por exemplo, a disponibilização de informações mais claras sobre compartilhamento de dados, parâmetros para o exercício do direito de correção de dados incompletos, inexatos ou desatualizados e prazos para resposta. Também estão em estudo as condições para o exercício do direito de revisão de decisões automatizadas (e.g. tomada de decisão por meio de algoritmos de Inteligência Artificial), incluindo a definição de quando deve haver intervenção humana nessa revisão.
• Compartilhamento de dados pelo Poder Público: Encontra-se em fase de deliberação a abertura de consulta pública para definir as condições em que órgãos públicos poderão compartilhar dados pessoais com o setor privado, observadas as exceções legais e os instrumentos jurídicos aplicáveis.
• Crianças e adolescentes: A agenda regulatória contempla padrões mínimos para o tratamento de dados de crianças e adolescentes, exigência de consentimento específico, mecanismos de verificação de idade e salvaguardas baseadas no princípio do melhor interesse da criança. A Autoridade ressaltou, ainda, os potenciais impactos do Projeto de Lei n.º 2628/2023, popularmente chamado de “ECA digital”, que aguarda sanção presidencial.
• Dados biométricos: Após a conclusão de tomada de subsídios sobre o tema, a Autoridade avalia questões relacionadas à definição de dado biométrico, hipóteses legais de tratamento (com ênfase em consentimento e prevenção à fraude), confiabilidade de sistemas de reconhecimento facial e requisitos de segurança e transparência.
• Tratamento de alto risco: O Conselho Diretor da ANPD deve deliberar sobre parâmetros específicos para agentes que realizem atividades de tratamento de dados classificadas como de alto risco.
• Inteligência artificial: Encontra-se em elaboração um guia sobre uso de sistemas de Inteligência Artificial (IA), que deverá abordar hipóteses legais aplicáveis, práticas de webscraping, salvaguardas técnicas e jurídicas, bem como os desafios para o exercício de direitos em sistemas de IA.
• Anonimização: A Autoridade conduz novo estudo para avaliar a utilização da anonimização como medida de mitigação de riscos, especialmente em aplicações de IA.
• Política Nacional de Proteção de Dados: A ANPD coordena a formulação da Política Nacional de Proteção de Dados Pessoais, a partir das diretrizes propostas pelo Conselho Nacional de Proteção de Dados. Entre os eixos centrais, destacam-se a educação e disseminação da cultura de proteção de dados e a integração institucional entre reguladores setoriais, órgãos públicos e sociedade civil.

FISCALIZAÇÃO

Com relação à sua atividade fiscalizatória, foram ressaltados os seguintes pontos:

• Atuação responsiva: A ANPD reforçou sua estratégia de atuação responsiva, modelo que busca combinar orientação e cooperação com a aplicação de sanções proporcionais, reservadas a situações de resistência à adequação ou de tratamento de dados de alto risco sem as salvaguardas adequadas. A lógica é a de privilegiar resultados concretos para os titulares dos dados, promovendo correções rápidas sempre que possível, mas sem deixar de aplicar penalidades quando necessárias.
• Monitoramento: O órgão mantém uma área dedicada ao monitoramento de denúncias e reclamações, que atualmente recebe cerca de mil demandas mensais por meio da plataforma gov.br. Essas manifestações, juntamente com as comunicações de incidentes de segurança realizadas pelos próprios agentes de tratamento, alimentam os ciclos de monitoramento conduzidos pela fiscalização. O ciclo referente ao biênio 2023–2025 está sendo concluído e servirá de base para o próximo Mapa de Temas Prioritários, documento que definirá os focos da atuação da Autoridade nos próximos dois anos.
• Incidentes de segurança: Atualmente, os incidentes mais reportados são casos de engenharia social e ataques de ransomware. A ANPD ressaltou que a comunicação de incidentes não acarreta automaticamente a aplicação de sanção; ao contrário, na maioria das vezes resulta em recomendações. Por outro lado, a omissão na comunicação é considerada falta grave e tende a ensejar sanção.

A Autoridade reforçou, ainda, que a LGPD não foi criada para impedir a utilização de dados, mas para permitir sua circulação de maneira correta e responsável, em benefício da sociedade.

CONCLUSÕES

As falas dos representantes da ANPD evidenciam uma Autoridade em processo de consolidação. O órgão vem buscando estabelecer normas claras e proporcionais sobre temas importantes, como direitos dos titulares, dados biométricos, crianças e adolescentes e IA, além de aprimorar um modelo de fiscalização responsiva, que combina orientação, monitoramento e sanções proporcionais.

Além disso, a mensagem para os agentes de tratamento é clara: documentar práticas de governança, adotar mecanismos efetivos de transparência e implementar medidas de segurança compatíveis com o risco do tratamento são passos indispensáveis para demonstrar boa-fé e mitigar a exposição a sanções.

Nosso time de Direito Digital e Proteção de Dados acompanha de forma contínua a evolução legislativa e atuação da ANPD, permanecendo à disposição para apoiar sua organização na adequação regulatória e estratégica à LGPD.