Anotações à nova

Agenda Regulatória
da ANPD.
A Autoridade
Nacional de
Proteção de
Dados (ANPD) e
suas funções
Conceito e atribuições – A ANPD é o
órgão da administração pública
responsável por zelar, implementar e
fiscalizar o cumprimento da LGPD em todo
o território nacional (art. 5º, XIX). Em
resumo, a ANPD cumpre essa missão
institucional de 3 formas:

(i) conscientização: cabe à ANPD

promover na população o conhecimento
das normas e políticas públicas sobre
proteção de dados pessoais, bem como das
medidas de segurança;

(ii) regulamentação: cabe à ANPD

elaborar diretrizes para a Política Nacional
de Proteção de Dados Pessoais e da
Privacidade, bem como regulamentos e
procedimentos. Segundo Miriam Wimmer,
a LGPD deixa espaços abertos para
disputas interpretativas. O esforço é
traduzir essa lei e relacioná-la com outras
normas já existentes.

(iii) fiscalização e sancionamento:

cabe à ANPD zelar pela proteção dos
dados pessoais, fiscalizando os agentes de
tratamento e aplicando sanções em caso de
infrações ou irregularidades.
Vinculação institucional – A ANPD é
um órgão da administração pública direta,
integrante da Presidência da República.
Todavia, especula-se que essa vinculação
tem natureza transitória, pois entende-se
mais adequado o enquadramento da
ANPD como autarquia especial, tal como
as agências reguladoras. De todo modo, a
lei já assegura à ANPD a autonomia
técnica e decisória (art. 55-B da LGPD), em
conformidade com os padrões
internacionais, que exigem autoridades
independentes.

Estrutura da ANPD – a ANPD é

composta de:
1. Conselho Diretor (órgão máximo de
direção, com cinco diretores, dos quais
um é Diretor-Presidente);
2. Conselho Nacional de Proteção de
Dados Pessoais e da Privacidade (23
representantes, titulares e suplentes);
3. Corregedoria;
4. Ouvidoria;
5. Órgão de assessoramento jurídico
próprio;
6. unidades administrativas; e
7. unidades especializadas para aplicação
da LGPD.
Membros atuais da ANPD – Criada em
2018, a ANPD foi formalmente instituída
apenas em 06/11/2020, data de nomeação
e posse de seus cinco diretores.
Paulatinamente, esse corpo diretivo
promove a constituição de seu corpo
técnico (servidores e especialistas), que
ainda está incompleto. Até esse momento,
15 servidores foram nomeados para as
posições-chave da organização, mas o
processo de nomeações e recrutamento de
servidores continuará ao longo de 2021.

Conselho Nacional de Proteção de

Dados Pessoais e da Privacidade – A
ANPD já publicou editais para constituição
do Conselho. São 5 editais que convocam:
organizações da sociedade civil,
instituições científicas, tecnológicas e de
inovação, Confederações Sindicais
representativas das categorias econômicas
do setor produtivo e entidades
representativas do setor empresarial
relacionado à área de tratamento de
dados pessoais (para saber mais, clique
aqui).
Conscientização da sociedade –
Segundo diretores, o papel inicial da ANPD
será sensibilizar, educar e orientar os
agentes de tratamento a lidarem com
dados pessoais. Esse posicionamento vai ao
encontro do disposto no ANEXO I do
Decreto nº 10.474/2020:

Art. 2º (...) § 1º Na imposição de condicionantes

administrativas ao tratamento de dados
pessoais por agente de tratamento privado,
sejam eles limites, encargos ou sujeições, a ANPD
deve observar a exigência de mínima
intervenção, assegurados os fundamentos, os
princípios e os direitos dos titulares previstos no
art. 170 da Constituição e na Lei nº 13.709, de
2018.

Todavia, mesmo que a ANPD paute pela

conscientização num momento inicial, as
punições são uma previsão legal e serão
aplicadas aos agentes de tratamento em
na não conformidade com a LGPD.

A conscientização é um desafio no Brasil,

pois não há aqui uma cultura arraigada de
privacidade, proteção de dados e
segurança da informação como na Europa,
por exemplo.
Convém mencionar que o Decreto nº
10.474/2020 especifica as funções do
órgão, dispostas no art. 2º do ANEXO I:

I - zelar pela proteção dos dados

pessoais, nos termos da legislação;

II - zelar pela observância dos segredos

comercial e industrial, observada a
proteção de dados pessoais e do sigilo das
informações, quando protegido por lei ou
quando a quebra do sigilo violar os
fundamentos do art. 2º da Lei nº 13.709, de
2018;

III - elaborar diretrizes para a Política

Nacional de Proteção de Dados Pessoais e
da Privacidade;

IV - fiscalizar e aplicar sanções na

hipótese de tratamento de dados realizado
em descumprimento à legislação, mediante
processo administrativo que assegure o
contraditório, a ampla defesa e o direito de
recurso;
V - apreciar petições de titular contra
controlador após a comprovação pelo titular
da apresentação de reclamação ao
controlador não solucionada no prazo
estabelecido em regulamentação;

VI - promover na população o
conhecimento das normas e das políticas
públicas sobre proteção de dados pessoais e
das medidas de segurança;

VII - promover e elaborar estudos sobre as

práticas nacionais e internacionais de
proteção de dados pessoais e privacidade;

VIII - estimular a adoção de padrões

para serviços e produtos que facilitem o
exercício de controle dos titulares sobre seus
dados pessoais, os quais deverão levar em
consideração as especificidades das
atividades e o porte dos responsáveis;

IX - promover ações de cooperação com

autoridades de proteção de dados pessoais
de outros países, de natureza internacional
ou transnacional;

X - dispor sobre as formas de publicidade

das operações de tratamento de dados
pessoais, respeitados os segredos comercial e
industrial;
XI - solicitar, a qualquer momento, aos
órgãos e às entidades do Poder Público que
realizam operações de tratamento de dados
pessoais, informe específico sobre o
âmbito, a natureza dos dados e os demais
detalhes do tratamento realizado, com a
possibilidade de emitir parecer técnico
complementar para garantir o cumprimento
da Lei nº 13.709, de 2018;

XII - elaborar relatórios de gestão

anuais acerca de suas atividades;

XIII - editar regulamentos e

procedimentos sobre proteção de dados
pessoais e privacidade e sobre relatórios de
impacto à proteção de dados pessoais para
os casos em que o tratamento representar
alto risco à garantia dos princípios gerais de
proteção de dados pessoais previstos na Lei
nº 13.709, de 2018;

XIV - consultar os agentes de tratamento e

a sociedade em matérias de interesse
relevante e prestar contas sobre suas
atividades e seu planejamento;

XV - arrecadar e aplicar suas receitas e

publicar, nos relatórios de gestão a que se
refere o inciso XII, o detalhamento de suas
receitas e despesas;
XVI - realizar auditorias ou
determinar sua realização, no âmbito da
atividade de fiscalização de que trata o
inciso IV e com observância ao disposto no
inciso II, sobre o tratamento de dados
pessoais efetuado pelos agentes de
tratamento, incluído o Poder Público;

XVII - celebrar, a qualquer momento,

compromisso com agentes de
tratamento para eliminar irregularidade,
incerteza jurídica ou situação contenciosa, no
âmbito de processos administrativos, de
acordo com o previsto no Decreto-Lei nº
4.657, de 4 de setembro de 1942;

XVIII - editar normas, orientações e

procedimentos simplificados e
diferenciados, inclusive quanto aos prazos,
para que microempresas, empresas de
pequeno porte e iniciativas empresariais de
caráter incremental ou disruptivo que se
autodeclarem startups ou empresas de
inovação possam adequar-se ao disposto na
Lei nº 13.709, de 2018;

XIX - garantir que o tratamento de

dados de idosos seja efetuado de maneira
simples, clara, acessível e adequada ao seu
entendimento, nos termos da Lei nº 13.709,
de 2018, e da Lei nº 10.741, de 1º de outubro
de 2003 - Estatuto do Idoso;
XX - deliberar, na esfera administrativa,
em caráter terminativo, sobre a Lei nº
13.709, de 2018, as suas competências e
os casos omissos, sem prejuízo da
competência da Advocacia-Geral da União
estabelecida pela Lei Complementar nº 73,
de 10 de fevereiro de 1993;

XXI - comunicar às autoridades

competentes as infrações penais das
quais tiver conhecimento;

XXII - comunicar aos órgãos de

controle interno o descumprimento do
disposto na Lei nº 13.709, de 2018, por
órgãos e entidades da administração
pública federal;

XXIII - articular-se com as

autoridades reguladoras públicas
para exercer suas competências em setores
específicos de atividades econômicas e
governamentais sujeitas à regulação; e

XXIV - implementar mecanismos

simplificados, inclusive por meio eletrônico,
para o registro de reclamações sobre o
tratamento de dados pessoais em
desconformidade com a Lei nº 13.709, de
2018.
O que é a
agenda
regulatória da
ANPD?
Em 28/01/2021, a ANPD publicou a Agenda
Regulatória para o biênio 2021-2022
através da Portaria 11, de 27 de janeiro de
2021 (“Portaria 11”), que define a Agenda
Regulatória como “instrumento de
planejamento que agrega as ações
regulatórias consideradas prioritárias e que
serão objeto de estudo ou tratamento pela
Autoridade durante sua vigência”.

Trata-se de um documento que revela o

entendimento oficial da ANPD sobre as
prioridades de regulamentação. Essa
publicidade é muito importante até para
orientar os planos de implementação da
LGPD nas organizações. Afinal, é suposto
que, de agora em diante, deve-se moldar
os projetos de compliance para o timming
em que forem sendo expedidas as
regulamentações.

Segundo o Diretor-Presidente da ANPD, a

“publicação propicia a previsibilidade para
sociedade quanto às ações da Autoridade,
além de facilitar o planejamento interno
da ANPD. A expectativa é que os prazos
para o início dos procedimentos de
regulamentação sigam o previsto no anexo
da portaria.” (BRASIL, ANPD, 2021b).
Trata-se de um ato publicado pelo Diretor-
presidente da ANPD, no exercício das
atribuições que lhe confere o art. 3º, §2º, do
Decreto nº 10.474, de 2020. Não obstante,
seu conteúdo foi fruto de “deliberação
tomada pelo Conselho-Diretor em sua
Reunião Deliberativa nº 1, realizada em 20
de janeiro de 2021”. Isso significa que,
embora juridicamente o ato emane apenas
do Diretor-presidente, o conteúdo da
Agenda Regulatória reflete entendimento
deliberado por todo o corpo diretivo.

Os atos regulamentares serão efetuados

basicamente por meio de dois
instrumentos típicos da seara
administrativa: portarias e resoluções.
Enquanto as portarias são atos normativos
de caráter mais pontual, as resoluções têm
como escopo matérias mais abrangentes.

Excepcionalmente, a última matérias da

Agenda – Hipóteses legais de tratamento
de dados pessoais – será regulamentada
por meio de um guia de boas práticas.
Trata-se de um documento mais
orientativo que vinculante. Mas é evidente
que é extremamente recomendado a todos
seguir essas recomendações.
Quais são as fases
da Agenda
Regulatória da
ANPD?
A atividade regulamentar da ANPD para o
biênio 2021-2022 seguirá em três fases, com
início em até 12, 18 e 24 meses.

Nessas 3 fases, são distribuídos 10 temas

prioritários para regulamentação. Essa
divisão é o planejamento inicial, mas não
engessa outras possibilidades de
regulamentação, pois outros assuntos podem
ser considerados caso assim decida o
Conselho-diretor (art. 2º, da Portaria 11).

Além disso, mediante deliberação do

Conselho-Diretor, o Diretor-Presidente
poderá alterar as metas previstas
conforme a conveniência e oportunidade da
ANPD. Nessa disposição, a ANPD relembra
que o planejamento da atividade de
regulamentação é um ato discricionário,
podendo ser revisto a qualquer tempo sem
necessidade de anulação (art. 6º da Portaria
11).

Nesse sentido, a Coordenação-Geral de

Normatização elaborará, semestralmente, o
relatório de acompanhamento das
iniciativas, avaliando a necessidade de
readequação das iniciativas e metas (arts. 4º
e 5º da Portaria 11).
Fase 1 - início em
até 1 ano (2021)
1. Regimento Interno da ANPD.
Embora o Decreto nº 10.474/2020,
regulamente a “estrutura regimental” da
ANPD, faculta ao órgão – assim como ao
Conselho Nacional de Proteção de Dados
Pessoais e da Privacidade – a edição de
um regimento interno. Essa foi a opção
do atual corpo diretivo da ANPD.

2. Planejamento Estratégico da
ANPD (2021-2023). Envolve os
objetivos a serem alcançados pela ANPD
e os seus respectivos prazos e as ações
estratégicas vinculadas. O documento foi
publicado em 01/02/2021 (clique aqui
para acessá-lo).

3. Adequações para pequenas e

médias empresas, startups e pessoas
físicas que tratam dados pessoais
com fins econômicos. Tanto o art. 55-J
da LGPD, quanto o Decreto nº
10.474/2020, preveem a necessidade de
regulamentação diferenciada para
negócios menores, com exigências
simplificadas.
4. Aplicação das sanções. A LGPD prevê
que a ANPD deve editar regulamento
próprio sobre sanções administrativas a
infrações. Dentre outras matérias, essa
normativa estabelecerá as
circunstâncias e as condições para a
adoção de multas, inclusive
detalhando as metodologias para o
cálculo do valor-base dessas sanções.

5. Comunicação de incidentes e prazo

de notificação. De acordo com o art.
48 da LGPD, o controlador deverá
comunicar à autoridade nacional e ao
titular a ocorrência de incidente de
segurança que possa acarretar risco ou
dano relevante. Embora a lei estabeleça
critérios mínimos, a ANPD precisa
regulamentar alguns itens (prazos,
formulários, forma de encaminhamento,
etc). Essa regulamentação já foi iniciada
com expedição da Nota Técnica nº
3/2021, bem como de formulário para
“tomada de subsídios” (para saber mais,
clique aqui).
6. Relatório de Impacto à Proteção de
Dados Pessoais. De acordo com o
Decreto nº 10.474/2020 e com o art. 55-
J, XIII da LGPD, cabe à ANPD editar
regulamentos sobre relatórios de
impacto à proteção de dados pessoais
para os casos em que o tratamento
representar alto risco à garantia dos
princípios gerais de proteção de dados
pessoais.
Fase 2 - início em
até 1 ano e meio
(2022)
7. Encarregado de proteção dedados
pessoais. Nos termos do art. 41, § 3º da
LGPD, a ANPD pode estabelecer
normas complementares sobre a
definição e as atribuições do
encarregado. Um dos itens mais
esperados dessa regulamentação são as
hipóteses de dispensa da necessidade
de indicação do DPO, conforme a
natureza e o porte da entidade ou o
volume de operações de tratamento de
dados.

8. Transferência Internacional de
Dados Pessoais. Esse tipo de atividade
demandará extensa regulamentação. Isso
porque a transferência internacional de
dados pessoais somente é permitida para
países ou organismos internacionais que
proporcionem grau adequado de
proteção de dados pessoais, conforme
classificação da ANPD (art. 33, I c/c art.
34, LGPD), com possibilidade do uso de
cláusulas contratuais padrão, também
estabelecidas pela ANPD (art. 35, LGPD).
Fase 3 - início em
até 2 anos (2022)
9. Direitos dos titulares dedados
pessoais. Diversos pontos da LGPD
sobre direitos dos titulares merecem
regulamentação. Daí a importância
desse regulamento, que regulamentará
artigos 9º, 18, 20 e 23, sem prejuízo de
outras disposições que abordem direitos
de titulares de dados pessoais (inclusive
de outras leis, como o Marco Civil da
Internet e a Lei do Cadastro Positivo,
por exemplo).

10. Hipóteses legais de tratamento de

dados pessoais. É muito importante
que a ANPD regulamente as bases legais
de aplicação da LGPD, sobretudo as
hipóteses legais descritas nos artigos 7º e
11. Tendo em vista o caráter complexo,
abrangente e impactante dessa matéria,
a ANPD optou por efetuar essa
regulamentação mediante um Código de
Boas Práticas.
Referências
BRASIL. ANPD. ANPD convoca sociedade para
formação do Conselho Nacional de Proteção de
Dados Pessoais e da Privacidade. Publicado em 04 fev.
2021. Disponível em: https://bit.ly/2O8a24S. Acesso em: 01 fev.
2021.

BRASIL. ANPD. ANPD inicia processo de

regulamentação sobre incidentes de segurança com
tomada de subsídios. Publicado em: 22 fev. 2021.
Disponível em: https://bit.ly/3e0XWoW. Acesso em : 27 fev.
2021.

BRASIL. ANPD. ANPD publica Planejamento

Estratégico para 2021-2023. Publicado em: 01 fev. 2021.
Disponível em: https://bit.ly/3dRwGtd. Acesso em : 27 fev.
2021.

BRASIL. ANPD. Com dois meses de existência, a ANPD

avança na sua estruturação. O órgão já conta com 15
servidores nomeados e prepara medidas para 2021.
Publicado em: 11 jan. 2021a. Disponível em:
https://bit.ly/2P5CEMH. Acesso em : 01 fev. 2021.

BRASIL. ANPD. No Dia da Proteção de Dado, ANPD

publica agenda regulatória bianual da autoridade
para 2021-2022. A Portaria elenca os 10 itens prioritários
para Autoridade para esse marco temporal. Publicado em:
28 jan. 2021b. Disponível em: https://bit.ly/3pLmAwn. Acesso
em :01 fev. 2021.

BRASIL. ANPD. Portaria nº 11 de 27 de janeiro de 2021.

Torna pública a agenda regulatória para o biênio 2021-
2022. Disponível em: https://bit.ly/2OYiuE9. Acesso em :01
fev. 2021.
Autoria
 Elaboração

Revisão

Aprovação

Seja membro da
ANPPD! Solicite um
convite clicando na
imagem ao lado.