Legislação
Decreto 10.474, de 26/08/2020
(D.O. 27/08/2020)
- Ao Conselho Diretor, órgão máximo de direção da ANPD, compete:
I - solicitar:
a) ao controlador de que trata a Lei 13.709/2018, o relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial;
b) aos órgãos e às entidades do Poder Público que realizam operações de tratamento de dados pessoais, as informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado;
c) a agentes públicos, a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público; e
d) informações suplementares e realizar diligências de verificação quanto às operações de tratamento, no contexto da aprovação de transferências internacionais de dados;
II - regulamentar:
a) a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, permitida a sua vedação, ouvidos os órgãos públicos setoriais competentes;
b) observadas as competências das autoridades da área de saúde e sanitárias, o acesso a base de dados pessoais por órgãos de pesquisa quando realizarem estudos em saúde pública, assegurados o tratamento das informações em ambiente controlado e seguro, os padrões éticos relacionados a estudos e pesquisas e, sempre que possível, a anonimização ou a pseudonimização dos dados;
c) a portabilidade de dados pessoais entre fornecedores de serviços ou produtos, resguardadas as competências dos órgãos reguladores que possuem definição sobre tais procedimentos em suas áreas de atuação;
d) o formato de apresentação dos dados encaminhados, mediante solicitação, aos titulares, de forma que permita sua utilização subsequente; e
e) a comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado, observado o disposto no parágrafo único do art. 27 da Lei 13.709/2018; [[Lei 13.709/2018, art. 27.]]
III - dispor sobre:
a) os padrões e as técnicas utilizados em processos de anonimização e verificar a sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
b) as formas de publicidade das operações de tratamento de dados realizadas por pessoas jurídicas de direito público;
c) os padrões de interoperabilidade para fins de portabilidade, o livre acesso aos dados, a segurança dos dados e o tempo de guarda dos registros, consideradas a necessidade e a transparência; e
d) os padrões mínimos para a adoção de medidas de segurança, técnicas e administrativas de proteção de dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, ressalvadas as competências de que trata o art. 10, caput, IV e V, da Lei 13.844, de 18/06/2019; [[Lei 13.844/2019, art. 10.]]
IV - determinar:
a) o término do tratamento de dados pessoais quando houver violação às disposições da Lei 13.709/2018; e
b) a realização de auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais, na hipótese de não atendimento ao disposto no § 1º do art. 20 da Lei 13.709/2018; [[Lei 13.709/2018, art. 20.]]
V - determinar ao controlador de dados pessoais:
a) a elaboração do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento de dados, incluídos os dados sensíveis, observados os segredos comercial e industrial; e
b) a adoção de providências para a salvaguarda dos direitos dos titulares, a partir da verificação da gravidade de incidentes de segurança;
VI - encaminhar:
a) as petições de titulares de dados pessoais apresentados à ANPD contra o controlador, para avaliação da unidade competente; e
b) informe com medidas cabíveis para fazer cessar violações às disposições da Lei 13.709/2018, por órgãos públicos;
VII - estabelecer prazos para o atendimento às requisições de que tratam os incisos I e II do caput do art. 19 da Lei 13.709/2018, para setores específicos, mediante avaliação fundamentada, observado o disposto no § 4º do art. 19 da referida Lei; e [[Lei 13.709/2018, art. 19.]]
VIII - estabelecer normas complementares:
a) para as atividades de comunicação e de uso compartilhado de dados pessoais realizadas por pessoas jurídicas de direito público; e
b) sobre a definição e as atribuições do encarregado pelo tratamento de dados pessoais de que trata a Lei 13.709/2018, inclusive nas hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados;
IX - emitir parecer técnico complementar para garantir o cumprimento da Lei por órgãos e entidades públicos;
X - autorizar a transferência internacional de dados pessoais, mediante fundamentação;
XI - avaliar:
a) os requerimentos encaminhados à ANPD sobre o nível de proteção de dados pessoais conferido por outro País ou por organismo internacional; e
b) o nível de proteção de dados de país estrangeiro ou de organismos internacionais que proporcionem grau de proteção de dados pessoais e sua adequação às disposições da Lei 13.709/2018;
XII - definir:
a) o conteúdo de cláusulas padrão e verificar, diretamente ou mediante designação de organismo de certificação, a garantia de cláusulas contratuais específicas, normas corporativas globais ou selos, certificados e códigos de conduta para transferência internacional por controlador de dados pessoais;
b) o prazo para a comunicação pelo controlador de dados pessoais à ANPD e ao titular dos dados sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano ao titular; e
c) as metodologias que orientarão o cálculo do valor-base das sanções de multa previstas na Lei 13.709/2018, e publicá-las para ciência dos agentes de tratamento;
XIII - designar e fiscalizar organismos de certificação para a verificação da permissão para a transferência de dados internacional;
XIV - rever atos realizados por organismos de certificação e, na hipótese de descumprimento das disposições da Lei 13.709/2018, anular os referidos atos;
XV - reconhecer e divulgar regras de boas práticas e de governança estabelecidas por controladores e operadores relacionadas ao tratamento de dados pessoais;
XVI - incentivar a adoção de padrões técnicos que facilitem o controle dos dados pessoais por seus titulares;
XVII - elaborar a proposta sobre sanções administrativas e infrações de que trata a Lei 13.709/2018, observadas a gradação e a proporcionalidade das sanções, de acordo com a infração cometida, e submeter a proposta a consulta pública;
XVIII - aplicar as sanções administrativas previstas no art. 52 da Lei 13.709/2018; e [[Lei 13.709/2018, art. 52.]]
XIX - consultar os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental previamente à aplicação das sanções previstas no art. 52 da Lei 13.709/2018. [[Lei 13.709/2018, art. 52.]]
- Os órgãos e as entidades da administração pública federal, direta, autárquica e fundacional prestarão toda a assistência e colaboração solicitada pela ANPD, inclusive por meio da elaboração de pareceres técnicos sobre as matérias de sua competência, sob pena de responsabilidade.