Autoridade Nacional divulga nova agenda regulatória da LGPD

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 4 de novembro, a Portaria 35/2022, que institui a Agenda Regulatória para o biênio 2023/2024. A publicação faz parte do papel de orientação e de regulamentação de dispositivos legais atribuídos ao órgão pela Lei Geral de Proteção de Dados (LGPD) e contou com contribuições feitas pela sociedade por meio de tomada de subsídios realizada previamente.

Entre os pontos estabelecidos na portaria para que cooperativas e outras organizações se adequem à Lei, está a finalização do processo de criação do Regulamento de dosimetria e aplicação de sanções administrativas, que vai definir como serão aplicadas as sanções administrativas às infrações, bem como os critérios que orientarão o cálculo do valor das multas. Segundo comunicado da ANPD, o documento encontra-se em fase final de elaboração.

A regulamentação da transferência internacional de dados também está prevista para a primeira fase da nova agenda regulatória. Para as cooperativas esse é um ponto bastante aguardado, uma vez que é comum para alguns ramos o relacionamento constante com parceiros localizados fora do território nacional e que resultam na necessidade de compartilhamento de dados pessoais para operacionalização das atividades. O tema foi recentemente objeto de tomada de subsídios e aguarda análise da ANPD para definição das normas.

Além disso, os itens que fazem parte da agenda regulatória vigente (biênio 2021/2022), e ainda não concluídos, foram alocados pela ANPD para a primeira fase do próximo ciclo regulatório. Ao todo, estão previstas 20 ações para o biênio 2023/2024), dividido em quatro fases:

Fase 1 – Composta por itens remanescentes da agenda 2021-2022 e novos temas:

• Regulamento de dosimetria e aplicação de sanções administrativas;
• Direitos dos titulares de dados pessoais;
• Comunicação de incidentes e especificação do prazo de notificação;
• Transferência Internacional de dados pessoais;
• Relatório de impacto à proteção de dados pessoais;
• Encarregado de proteção de dados pessoais;
• Hipóteses legais de tratamento de dados pessoais;
• Definição de alto risco e larga escala;
• Dados pessoais sensíveis – organizações religiosas;
• Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa;
• Anonimização e pseudonimização;
• Regulamentação do disposto no art. 62 da LGPD.

Fase 2 - Itens cujo início do processo regulatório acontecerá em até 1 ano:

• Compartilhamento de dados pelo Poder Público;
• Tratamento de dados pessoais de crianças e adolescentes;
• Diretrizes para a política nacional de proteção de dados pessoais e da privacidade;
• Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança.

Fase 3 - Itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses:

• Dados pessoais sensíveis - dados biométricos
• Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança
• Inteligência artificial

Fase 4 - Itens cujo início do processo regulatório acontecerá em até 2 anos:

• Termo de ajustamento de conduta – TAC

Importante destacar a preocupação da ANDP em ouvir os agentes de tratamento sobre os temas que acarretam maior impacto nas operações e merecem maior atenção no processo regulatório da proteção de dados pessoais no Brasil. A regulamentação da Lei está avançando e, com ela, a maturidade para que as cooperativas e demais organizações que tratam dados pessoais possam iniciar, avançar e/ou aprimorar seus Programas de Conformidade com a legislação.