Produto
Preços
Blog
Encontre seu DPO
Agende uma Demonstração

Como Agir Durante uma Fiscalização da ANPD?

A proteção de dados é um direito fundamental, protegido pelo direito brasileiro e consagrado no artigo 5º inciso LXXIX da Constituição Federal. A Lei Geral de Proteção de Dados do Brasil – em vigor desde setembro de 2020 - deve ser cumprida tanto pelo Setor Público quanto pelo Setor Privado, sendo que o ônus de demonstrar a conformidade é do agente de tratamento.

De acordo com o princípio da responsabilidade, as empresas devem ser capazes de demonstrar a conformidade das atividades de tratamento com a LGPD, inclusive a eficácia das medidas adotadas. Para isso, importante que sejam proativas e preservem evidências, fator este que é decisivo para limitar a responsabilidade e o risco.

Ocupe a organização o papel de controladora ou de operadora de dados, está sujeita a uma auditoria a qualquer momento. Por isso, todas as organizações precisam estar preparadas.

A Autoridade Nacional de Proteção de Dados do Brasil – ANPD é dotada de poderes Investigativos, Corretivos e Consultivos.

 ● Poderes  investigativos - para realizar fiscalizações e auditorias de proteção de dados e para notificar o controlador ou processador de uma  suposta violação;

Poderes corretivos – para emitir repreensões, ordenar a comunicação de uma violação de dados pessoais a um titular de dados ou publicamente, retirar uma certificação e impor multas administrativas;

Poderes consultivos – para esclarecer os agentes de tratamento em relação a como proceder em uma determinada atividade de tratamento de dados, adotar cláusulas contratuais padrão e  emitir certificações.

A ANPD realiza suas inspeções de acordo com sua agenda de fiscalização. Para isso, realiza uma análise de risco e leva em consideração também os recursos disponíveis para a realização de fiscalizações. Embora se reserve o direito de inspecionar aleatoriamente, a Autoridade considera uma série de fatores ao decidir quais  organizações privadas e órgãos públicos irá fiscalizar.

Tais fatores envolvem  as categorias de dados que os agentes  tratam (por exemplo, os dados de saúde são particularmente sensíveis), se tratam dados em larga escala, o número de denúncias recebidas sobre determinada  organização ou órgão público,  se a organização transfere dados regularmente e para quem.

No âmbito dos poderes investigativos, é notório que submeter-se a uma fiscalização da Autoridade Nacional de Proteção de Dados (ANPD) pode ser um momento desafiador para qualquer empresa, sobretudo para aquelas que não estão (ainda) preparadas para a conformidade de dados.

Com uma abordagem estratégica e organizada, entretanto, é possível demonstrar conformidade e minimizar riscos de penalizações.

Passos a Seguir Durante a Fiscalização

1. Cooperação e Transparência

a.    Responda prontamente às solicitações da ANPD – é importante que as empresas tenham suas informações documentadas LGPD prontas para serem disponibilizadas no primeiro prazo fixado pela Autoridade (ex: contratos com clientes e provedores de serviços, procedimentos, registros de atividades de processamento de dados, medidas de segurança e registros de treinamento, etc);

b.    Mantenha uma postura colaborativa e forneça informações claras e objetivas - informações precisas ajudam a evitar interpretações equivocadas que poderiam levar a conclusões desfavoráveis à empresa. Além disso, respostas objetivas economizam tempo, permitindo que a fiscalização avance sem atrasos causados por informações confusas ou incompletas, de modo que a organização evidencia seu compromisso com o princípio da transparência.

2. Identificação do Escopo da Fiscalização

a.    Certifique-se de compreender os aspectos específicos que estão sendo auditados, como tratamento de dados sensíveis ou compartilhamento de informações com terceiros - entender exatamente quais aspectos estão sendo auditados permite que a empresa direcione seus esforços e forneça as informações relevantes, evitando dispersão e economizando tempo.

3. Equipe Preparada

a.    Acione o Encarregado de Proteção de Dados (DPO) ou equipe de compliance para acompanhar o processo – estes profissionais possuem expertise para dar os encaminhamentos necessários no cumprimento das exigências da ANPD.  É altamente recomendável que exista uma “Equipe de Resposta” que inclua as principais pessoas encarregadas de gerenciar o processo fiscalizatório, envolvendo as pessoas chave da empresa dependendo do tipo da fiscalização. Saber exatamente como reagir,
quem notificar, quais documentos enviar e o que fazer após uma auditoria da ANPD é essencial;

b.    Caso não tenha um DPO interno, envolva consultores externos especializados.

Documentos Essenciais a Serem Apresentados

Para enfrentar uma fiscalização, a empresa deve manter à disposição uma série de documentos que comprovem sua conformidade com a Lei Geral de Proteção de Dados:

1. Mapeamento de Dados e Processos

a.    Registros de atividades de tratamento de dados (Art. 37 da LGPD).

b.    Identificação de bases legais para cada atividade de tratamento.

2. Políticas e Procedimentos

a.    Política de privacidade e termos de uso.

b.    Procedimentos internos para atender solicitações de titulares, como acesso, correção ou exclusão de dados.

3. Relatórios de Impacto à Proteção de Dados (RIPD)

a.    Relatórios avaliando riscos associados ao tratamento de dados pessoais e as medidas de mitigação implementadas.

4. Registros de Consentimento

a.    Evidências de consentimento obtido de titulares, quando necessário.

5. Contratos e Acordos com Terceiros

a.    Acordos de Processamento de Dados (Data Processing Agreements - DPAs) com fornecedores e parceiros.

6. Planos de Resposta a Incidentes

a.    Documentos que detalhem como a empresa identifica, reage e comunica incidentes de segurança.

7. Treinamentos e Auditorias Internas

a.    Registros de treinamentos realizados com funcionários sobre proteção de dados.

b.    Relatórios de auditorias internas periódicas.

Conclusão

Estar preparado para uma fiscalização da ANPD requer um trabalho contínuo de conformidade. A organização deve implementar processos sólidos e documentar cada passo do tratamento de dados pessoais. Isso não apenas facilita a fiscalização, mas também demonstra compromisso com a proteção de dados e a privacidade dos titulares.

Manter-se atualizado com as regulamentações e boas práticas é essencial para minimizar riscos legais e reputacionais.

Investir em uma cultura organizacional de proteção de dados é um diferencial competitivo no mercado atual. Empresas que priorizam a privacidade e a segurança dos dados destacam-se como organizações éticas e responsáveis, atraindo mais oportunidades de negócios e construindo relacionamentos sólidos e duradouros com seus clientes e parceiros.

Autora: Paola Roos - Advogada Corporativo, Mestre em Direito PUCRS, DPO Exin - especialista em LGPD/GDPR. Paola Roos Advocacia Corporativa & Proteção de Dados Pessoas. Fone: (48) 3748-0617 | (48) 98878-0206 | paola@paolaroos.com.br | www.paolaroos.com.br.

Descubra ECOMPLY na prática

Ao enviar sua solicitação, você concorda com os termos de nossa política de privacidade.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

ECOMPLY é seu sistema operacional para atividades de proteção de dados. Por essa razão, você precisa de um apoio pessoal e um software que atenda às suas necessidades. Em nossa demonstração, nós fazemos o melhor para entender suas necessidades e garantirmos que você obtenha a informação que está procurando.

Hauke Holtkamp, CEO ECOMPLY GmbH
ECOMPLY.io Logo