A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 4 de novembro, a Portaria 35/2022, que institui a Agenda Regulatória para o biênio 2023/2024. A publicação faz parte do papel de orientação e de regulamentação de dispositivos legais atribuídos ao órgão pela Lei Geral de Proteção de Dados (LGPD) e contou com contribuições feitas pela sociedade por meio de tomada de subsídios realizada previamente.
Entre os pontos estabelecidos na portaria para que cooperativas e outras organizações se adequem à Lei, está a finalização do processo de criação do Regulamento de dosimetria e aplicação de sanções administrativas, que vai definir como serão aplicadas as sanções administrativas às infrações, bem como os critérios que orientarão o cálculo do valor das multas. Segundo comunicado da ANPD, o documento encontra-se em fase final de elaboração.
A regulamentação da transferência internacional de dados também está prevista para a primeira fase da nova agenda regulatória. Para as cooperativas esse é um ponto bastante aguardado, uma vez que é comum para alguns ramos o relacionamento constante com parceiros localizados fora do território nacional e que resultam na necessidade de compartilhamento de dados pessoais para operacionalização das atividades. O tema foi recentemente objeto de tomada de subsídios e aguarda análise da ANPD para definição das normas.
Além disso, os itens que fazem parte da agenda regulatória vigente (biênio 2021/2022), e ainda não concluídos, foram alocados pela ANPD para a primeira fase do próximo ciclo regulatório. Ao todo, estão previstas 20 ações para o biênio 2023/2024), dividido em quatro fases:
Fase 1 – Composta por itens remanescentes da agenda 2021-2022 e novos temas:
- Regulamento de dosimetria e aplicação de sanções administrativas;
- Direitos dos titulares de dados pessoais;
- Comunicação de incidentes e especificação do prazo de notificação;
- Transferência Internacional de dados pessoais;
- Relatório de impacto à proteção de dados pessoais;
- Encarregado de proteção de dados pessoais;
- Hipóteses legais de tratamento de dados pessoais;
- Definição de alto risco e larga escala;
- Dados pessoais sensíveis – organizações religiosas;
- Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa;
- Anonimização e pseudonimização;
- Regulamentação do disposto no art. 62 da LGPD.
Fase 2 - Itens cujo início do processo regulatório acontecerá em até 1 ano:
- Compartilhamento de dados pelo Poder Público;
- Tratamento de dados pessoais de crianças e adolescentes;
- Diretrizes para a política nacional de proteção de dados pessoais e da privacidade;
- Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança.
Fase 3 - Itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses:
- Dados pessoais sensíveis - dados biométricos
- Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança
- Inteligência artificial
Fase 4 - Itens cujo início do processo regulatório acontecerá em até 2 anos:
- Termo de ajustamento de conduta – TAC
Importante destacar a preocupação da ANDP em ouvir os agentes de tratamento sobre os temas que acarretam maior impacto nas operações e merecem maior atenção no processo regulatório da proteção de dados pessoais no Brasil. A regulamentação da Lei está avançando e, com ela, a maturidade para que as cooperativas e demais organizações que tratam dados pessoais possam iniciar, avançar e/ou aprimorar seus Programas de Conformidade com a legislação.
