Decreto 10.474, de 26/08/2020

Capítulo III - DOS ÓRGÃOS DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (Ir para)

Seção I - DAS COMPETÊNCIAS DO CONSELHO DIRETOR (Ir para)

- Ao Conselho Diretor, órgão máximo de direção da ANPD, compete:

I - solicitar:

a) ao controlador de que trata a Lei 13.709/2018, o relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial;

b) aos órgãos e às entidades do Poder Público que realizam operações de tratamento de dados pessoais, as informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado;

c) a agentes públicos, a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público; e

d) informações suplementares e realizar diligências de verificação quanto às operações de tratamento, no contexto da aprovação de transferências internacionais de dados;

II - regulamentar:

a) a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, permitida a sua vedação, ouvidos os órgãos públicos setoriais competentes;

b) observadas as competências das autoridades da área de saúde e sanitárias, o acesso a base de dados pessoais por órgãos de pesquisa quando realizarem estudos em saúde pública, assegurados o tratamento das informações em ambiente controlado e seguro, os padrões éticos relacionados a estudos e pesquisas e, sempre que possível, a anonimização ou a pseudonimização dos dados;

c) a portabilidade de dados pessoais entre fornecedores de serviços ou produtos, resguardadas as competências dos órgãos reguladores que possuem definição sobre tais procedimentos em suas áreas de atuação;

d) o formato de apresentação dos dados encaminhados, mediante solicitação, aos titulares, de forma que permita sua utilização subsequente; e

e) a comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado, observado o disposto no parágrafo único do art. 27 da Lei 13.709/2018; [[Lei 13.709/2018, art. 27.]]

III - dispor sobre:

a) os padrões e as técnicas utilizados em processos de anonimização e verificar a sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;

b) as formas de publicidade das operações de tratamento de dados realizadas por pessoas jurídicas de direito público;

c) os padrões de interoperabilidade para fins de portabilidade, o livre acesso aos dados, a segurança dos dados e o tempo de guarda dos registros, consideradas a necessidade e a transparência; e

d) os padrões mínimos para a adoção de medidas de segurança, técnicas e administrativas de proteção de dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, ressalvadas as competências de que trata o art. 10, caput, IV e V, da Lei 13.844, de 18/06/2019; [[Lei 13.844/2019, art. 10.]]

IV - determinar:

a) o término do tratamento de dados pessoais quando houver violação às disposições da Lei 13.709/2018; e

b) a realização de auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais, na hipótese de não atendimento ao disposto no § 1º do art. 20 da Lei 13.709/2018; [[Lei 13.709/2018, art. 20.]]

V - determinar ao controlador de dados pessoais:

a) a elaboração do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento de dados, incluídos os dados sensíveis, observados os segredos comercial e industrial; e

b) a adoção de providências para a salvaguarda dos direitos dos titulares, a partir da verificação da gravidade de incidentes de segurança;

VI - encaminhar:

a) as petições de titulares de dados pessoais apresentados à ANPD contra o controlador, para avaliação da unidade competente; e

b) informe com medidas cabíveis para fazer cessar violações às disposições da Lei 13.709/2018, por órgãos públicos;

VII - estabelecer prazos para o atendimento às requisições de que tratam os incisos I e II do caput do art. 19 da Lei 13.709/2018, para setores específicos, mediante avaliação fundamentada, observado o disposto no § 4º do art. 19 da referida Lei; e [[Lei 13.709/2018, art. 19.]]

VIII - estabelecer normas complementares:

a) para as atividades de comunicação e de uso compartilhado de dados pessoais realizadas por pessoas jurídicas de direito público; e

b) sobre a definição e as atribuições do encarregado pelo tratamento de dados pessoais de que trata a Lei 13.709/2018, inclusive nas hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados;

IX - emitir parecer técnico complementar para garantir o cumprimento da Lei por órgãos e entidades públicos;

X - autorizar a transferência internacional de dados pessoais, mediante fundamentação;

XI - avaliar:

a) os requerimentos encaminhados à ANPD sobre o nível de proteção de dados pessoais conferido por outro País ou por organismo internacional; e

b) o nível de proteção de dados de país estrangeiro ou de organismos internacionais que proporcionem grau de proteção de dados pessoais e sua adequação às disposições da Lei 13.709/2018;

XII - definir:

a) o conteúdo de cláusulas padrão e verificar, diretamente ou mediante designação de organismo de certificação, a garantia de cláusulas contratuais específicas, normas corporativas globais ou selos, certificados e códigos de conduta para transferência internacional por controlador de dados pessoais;

b) o prazo para a comunicação pelo controlador de dados pessoais à ANPD e ao titular dos dados sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano ao titular; e

c) as metodologias que orientarão o cálculo do valor-base das sanções de multa previstas na Lei 13.709/2018, e publicá-las para ciência dos agentes de tratamento;

XIII - designar e fiscalizar organismos de certificação para a verificação da permissão para a transferência de dados internacional;

XIV - rever atos realizados por organismos de certificação e, na hipótese de descumprimento das disposições da Lei 13.709/2018, anular os referidos atos;

XV - reconhecer e divulgar regras de boas práticas e de governança estabelecidas por controladores e operadores relacionadas ao tratamento de dados pessoais;

XVI - incentivar a adoção de padrões técnicos que facilitem o controle dos dados pessoais por seus titulares;

XVII - elaborar a proposta sobre sanções administrativas e infrações de que trata a Lei 13.709/2018, observadas a gradação e a proporcionalidade das sanções, de acordo com a infração cometida, e submeter a proposta a consulta pública;

XVIII - aplicar as sanções administrativas previstas no art. 52 da Lei 13.709/2018; e [[Lei 13.709/2018, art. 52.]]

XIX - consultar os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental previamente à aplicação das sanções previstas no art. 52 da Lei 13.709/2018. [[Lei 13.709/2018, art. 52.]]