Por Tatiana Meinhart Hahn
Publicado originalmente na Cátedras.
Com a aproximação do fim da agenda regulatória do biênio 2023-2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a agenda para o período 2025-2026 elaborada a partir das contribuições recebidas pela Autoridade por meio de tomada de subsídios e de tópicos das agendas anteriores. Trata-se do terceiro biênio regulatório da ANPD na implementação da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, trabalho iniciado em 2021 com a publicação da Portaria nº 11, de 27 de janeiro de 2021.[1]
A agenda regulatória é o instrumento pelo qual o regulador informa à sociedade e aos atores envolvidos o seu planejamento estratégico de atividades normativas, dando transparência quanto aos assuntos prioritários e, principalmente, previsibilidade aos regulados. Trata-se, por isso, de uma preparação ao ambiente regulatório e que atrai atenção a temas com maior destaque diante dos debates e estudos integrantes dos procedimentos regulatórios.
A primeira agenda da ANPD (2021-2022) listou 10 temas, dos quais dois seguirão na próxima. O primeiro sobre a regulamentação do relatório de impacto à proteção de dados pessoais, prevista na Fase 1 do primeiro biênio e que será objeto da Fase 1 do período 2025-2026. E o segundo, acerca dos direitos dos titulares em atenção ao que preveem os artigos 9º, 18, 19 e 20, da LGPD. igualmente indicado à primeira fase do próximo biênio.
Da primeira para a segunda agenda, a ANPD surpreendeu positivamente ao indicar 20 itens para o segundo biênio, o dobro comparado com a anterior. Nesses quatro anos, avanços importantes ampliaram a expectativa de implementação da lei nacional com destaque ao regulamento de dosimetria e aplicação de sanções administrativas (Resolução CD/ANPD nº 1, de 28 de outubro de 2021 e Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023), ao regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais (Resolução CD/ANPD nº 18, de 16 de julho de 2024), à regulamentação para a transferência internacional de dados e ao conteúdo das cláusulas-padrão contratuais (Resolução CD/ANPD nº 19, de 23 de agosto de 2024) e quanto à aplicação da LGPD para agentes de tratamento de pequeno porte (Resolução CD/ANPD nº 2, de 27 de janeiro de 2022).
Não apenas os conteúdos regulatórios acima deram estrutura ao ambiente regulatório em proteção de dados, mas todas as ações educativas promovidas pela ANPD, as publicações como manuais, guias, notas técnicas, participações em eventos e ações de incentivo à promoção da proteção de dados pessoais e privacidade no Brasil, como premiações aos trabalhos de graduação sobre LGPD.
A Autoridade também esteve à frente das discussões legislativas à regulamentação do uso da inteligência artificial (IA) no país. O tema integrava a Fase 3 do biênio 2023-2024 diante do que dispõe o artigo 20, da LGPD, e que comporá a Fase 1 do próximo biênio em continuidade às discussões iniciadas com a Tomada de Subsídios de novembro de 2024, para a fixação de parâmetros interpretativos ao direito de revisão das decisões automatizadas e aos contextos de treinamento e uso de sistemas de IA. A ANPD também publicou edital[2] de convocação para parceria com universidades e instituições públicas interessadas em oferecer serviço de consultoria para o ambiente regulatório experimental em IA (sandbox regulatório[3]), o que convida a sociedade e a comunidade academia e científica ao estudo e propagação do tema.
Nota-se, ademais, que a agenda aprovada pela Resolução nº 23, de 9 de dezembro de 2024, publicada em 11 de dezembro de 2024, para o biênio 2025-2026, equilibrou o volume de itens ao indicar 16 iniciativas que poderão ter o início do processo regulatório. Os itens foram divididos em quatro fases por ordem de priorização cronológica.
Dos 16 itens descritos no Anexo da Resolução nº 23/2024, quatro inovam temáticas em relação às agendas anteriores, os quais sejam: i) agregadores de dados para trazer a discussão quanto à conformidade da raspagem de dados pessoais; ii) dados de saúde na temática dos dados pessoais sensíveis; iii) o estabelecimento de parâmetros e orientações acerca dos requisitos a serem observados na utilização da hipótese legal do consentimento (art. 7º, inciso I, art. 8º, art. 10, inciso I); iv) a hipótese legal de proteção ao crédito, prevista no art. 7º, X, da LGPD com orientações aos agentes de tratamento.
Logo, doze temas estão em pauta desde 2023. São eles: i) direitos dos titulares; ii) regulamentos e procedimentos ao relatório de impacto à proteção de dados pessoais; iii) requisitos ao compartilhamento de dados pessoais pelo Poder Público e a regulamentação dos art. 26 e 27, da LGPD; iv) temas específicos sobre o tratamento de dados pessoais sensíveis de criança e adolescentes; v) estabelecimento de parâmetros que assegurem a realização do tratamento de dados biométricos; vi) medidas de segurança, técnicas e administrativas, inclusive padrões técnicos mínimos de segurança; vii) inteligência artificial ; viii) orientações e parâmetros aos agentes de tratamento, em especial os de pequeno porte, quanto ao tratamento de dados pessoais de alto risco; ix) orientações para as organizações religiosas; x) disposição de padrões técnicos à anonimização e pseudonimização (art. 12, §3º, da LGPD); xi) elaboração de diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade (art. 55-J, III, da LGPD) e; xii) regulamentação sobre regras de boas práticas e de governança.
Segundo o art. 1º da Resolução nº 23/2024, a fase 1 da agenda é composta por processos regulatórios da Agenda Regulatória 2023-2024, constante na Portaria nº 35, de 4 de novembro de 2022, com as alterações pela Resolução CD/ANPD nº 11, de 27 de dezembro de 2023. São, por isso, iniciativas com prevalência sobre os demais itens da Agenda. Já a Fase 2 contempla itens cujo início do processo regulatório acontecerá em até 1 ano. A Fase 3 terá, segundo previsto, início em até 1 ano e 6 meses e, por fim, a Fase 4 terá início do processo regulatório em até 2 anos. Frisa-se, porém, que esses prazos indicam apenas projeções do planejamento regulatório e podem não se concretizar.
A leitura da nova agenda enfatiza a continuidade da agenda anterior como critério central à divisão dos itens entre as 4 fases no anexo da Resolução nº 23/2024, na medida em que estabelece no parágrafo único do artigo 1º que os temas da Fase 1 terão prevalência, justamente por já integrarem a agenda anterior. Contudo, sob esse critério, dois temas da Fase 2 deveriam estar na Fase 1.
O primeiro item regulatório pautado desde o biênio anterior é a fixação de critérios e procedimentos ao reconhecimento e publicação pela ANPD das formulações do artigo 50, da LGPD, na linha prevista pelo §3º[4]. O tema[5], um dos mais complexos à regulamentação da lei nacional justamente por conferir a faculdade de os agentes de tratamento formularem regras próprias de leitura sob os pontos centrais da LGPD (condições de organização, o regime de funcionamento, os procedimentos em políticas e normatizações internas, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão, mitigação de riscos e aspectos relacionados ao tratamento de dados pessoais), anteciparia e prepararia o ambiente regulatório de forma mais ampla e multisetorial, notadamente diante da vindoura regulamentação de inteligência artificial que contempla estrutura normativa de adoção de códigos de condutas em grande semelhança à LGPD.
O segundo tema da Fase 2 da agenda 2025-2026, previsto no art. 55-J, inciso III, da LGPD, é sobre a fixação de diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade. Suas diretrizes estratégicas e os subsídios deverão ser propostos pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), na forma do art. 58-B, I, da lei. O item estava na Fase 2 da agenda 2023-2024 e sua presença na Fase 1, ao invés da Fase 2, seria o mais prioritário da agenda por seu conteúdo direcional e orientativo da atuação dos atores envolvidos no ecossistema de proteção de dados, inclusive da própria Autoridade Nacional. Seria, além disso, um alicerce ao início dos processos regulatórios de todos os itens da agenda.
Lembra-se, por oportuno, que o Conselho, órgão consultivo da ANPD, composto por membros da sociedade civil e representantes do poder público, enviou suas contribuições à agenda 2025-2026 em novembro de 2024[6] com 6 sugestões de temas parcialmente acolhidas pela ANPD: proteção de dados de crianças e adolescentes, definições sobre dados de saúde, genético e biométrico, conceito de alto risco, regulamentação do art. 50, da LGPD, tratamento de dados pessoais por pessoas jurídicas de direito privado para fins de segurança pública, e dados abertos e lei de acesso à informação. Desses temas, os dois últimos não constam especificamente na próxima agenda regulatória. A chegada da terceira agenda regulatória da ANPD apresenta um balanço positivo e coloca em evidência os temas mais urgentes para o biênio 2025-2026.
Os desafios regulatórios da ANPD seguem grandes. Além disso, a Autoridade contará com um novo fator de impacto pela esperada legislação que disciplinará o uso da inteligência artificial no Brasil e acrescerá suas funções regulatórias. Por outro lado, a ANPD ganha, a cada ano, mais força e reconhecimento nos cenários nacional e internacional, com expectativa favorável ao bom avanço nos temas da Fase 1 que abrirão o processo regulatório já no início do ano de 2025. Que venha, com muito êxito, a agenda regulatória 2025-2026!
Referências
[1] Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 15 dez. 2024.
[2] Sobre o tema consulta disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-edital-para-parceria-em-projeto-de-sandbox-de-inteligencia-artificial-e-protecao-de-dados Acesso em: 15 dez. 2024.
[3] Recentemente, em 21 de novembro de 2024, a Advocacia-Geral da União (AGU) em parceira com o Ministério do Desenvolvimento, Indústria, Comércio e Serviços (MDIC) lançaram o Guia de Sandbox Regulatório. O Guia Referencial de Sandbox Regulatório é um documento elaborado pelo Laboratório de Inovação da Advocacia-Geral da União (Labori/AGU), em parceria com a Secretaria de Competitividade e Política Regulatória do Ministério do Desenvolvimento, Indústria, Comércio e Serviços (SCPR/MDIC), que objetiva facilitar a implementação de sandboxes regulatórios no País, harmonizando entendimentos e procedimentos e trazendo segurança jurídica para o ambiente regulatório e à inovação. O documento de referência que estabelece parâmetros para a criação de ambientes regulatórios experimentais no âmbito da administração pública. Sugere-se a consulta em: https://www.gov.br/agu/pt-br/comunicacao/noticias/agu-e-mdic-lancam-guia-de-sandbox-regulatorio-para-dar-seguranca-juridica-a-inovacao. Acesso em: 15 dez. 2024.
[4] Sobre esse ponto específico da agenda, sugire-se: https://www.conjur.com.br/2024-set-22/oportunidades-e-convites-ao-ambiente-regulatorio-na-agenda-da-anpd/ Acesso em: 15 dez. 2024.
[5] Sobre o tema recomenda-se o livro: HAHN, Tatiana Meinhart. Regras de boas práticas e governança em privacidade na LGPD: conceitos, controles e projeções. Belo Horizonte: Fórum, 2024.
[6] A descrição mais específica dos temas consta na notícia disponível em: https://www.gov.br/anpd/pt-br/cnpd-2/cnpd-envia-contribuicoes-para-a-agenda-regulatoria-do-bienio-2025-2026-1. Acesso em: 15 dez. 2024.
TATIANA MEINHART HAHN – Procuradora Federal. Atua no contencioso prioritário finalístico e no Laboratório de Inovação da AGU (Labori). Autora do livro “Regras de boas práticas e governança em privacidade na LGPD: conceitos, controles e projeções.” Mestre em Direito Administrativo pelo Programa de Pós-Graduação em Direito da Universidade Federal de Santa Catarina. Especialista Direito Público. MBA Relações Internacionais. Co-autora de livros. Co-editora de revistas jurídicas.
