A aplicação da LGPD (Lei Geral de Proteção de Dados) tem uma agenda regulatória definida para aplicação no biênio 2023-24, e é importante entender o mecanismo. De acordo com o site LGPD Brasil, a primeira informação envolve a Autoridade Nacional de Proteção de Dados (ANPD), órgão do governo federal que possui as funções de fiscalizar, auxiliar as instituições e punir quem não atende ao que determina a LGPD. A ANPD também é responsável por entender os assuntos em debate para a próxima agenda regulatória, usando consultas públicas. Outra função é a de realizar a divulgação da regulamentação do novo ano.
Leia também: Conheça a jornada de adequação da sua empresa à LGPD
O segundo ponto a se entender é a própria agenda regulatória, que começa a partir do levantamento dos temas em consulta pública, que serão tratados por resolução, guias de boas práticas ou portaria, após a avaliação da ANPD, que foca em dez matérias. Os temas, por sua vez, também recebem uma priorização, que funciona assim:
- fase 1 (que pode ter o processo regulatório realizado em até 1 ano)
- fase 2 (que pode ter o processo regulatório realizado em até 1 ano e 6 meses)
- fase 3 (que pode ter o processo regulatório realizado em até 2 anos).
De acordo com artigo do escritório de advocacia Martinelli Advogados, a agenda da ANPD deverá continuar o trabalho de regulamentação de temas relevantes em 2023 e 2024. Os especialistas do escritório destacam quatro pontos importantes nesse sentido.
1. Direitos dos titulares de dados pessoais
A Autoridade deve orientar os agentes de tratamento sobre a regulamentação de temas relevantes como, por exemplo, a forma de confirmação da identidade do titular que solicitou o exercício de determinado direito perante a organização.
Isso já foi feito por autoridades de proteção de dados na União Europeia – a autoridade inglesa (ICO) – que orienta as organizações sobre como lidar com as verificações de identidade dos titulares requerentes e as situações em que a organização pode, por exemplo, relativizar a confirmação da identidade de determinado titular.
2. Transferência internacional de dados pessoais
A Autoridade deve regulamentar os art. 33, 34 e 35 da LGPD e avaliar o nível de proteção de dados do país ou organismo internacional para regular as hipóteses em que serão permitidas as transferências internacionais de dados pessoais.
3. Encarregado pelo tratamento de dados pessoais
A ANPD deve estabelecer regramentos complementares sobre a função do encarregado, listando, inclusive, hipóteses sobre a dispensa da necessidade de indicação, o que pode ser extremamente relevante para empresas cuja atividade não envolve, substancialmente, o tratamento de dados de pessoas físicas.
4. Relatório de impacto e definição de “alto risco” e “larga escala”
A ANPD sinalizou que deve regulamentar a elaboração de relatórios de impacto por parte dos controladores para os casos em que o tratamento representa alto risco. Provavelmente caminhará em paralelo à definição do que é tratamento de “alto risco” ao titular de dados e “larga escala” – conceitos trazidos pela LGPD, mas cuja ausência de definição causa dúvidas aos agentes de tratamento e consultorias.