Competências
As competências da ANPD estão descritas na Lei Geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018), conforme transcrito abaixo:
“Conforme estabelecido no art. 55-J, da Lei nº 13.709, de 14 de agosto de 2018, compete à ANPD:
I - zelar pela proteção dos dados pessoais, nos termos da legislação;
II - zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
V - apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
VI - promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
VIII - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
IX - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
X - dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
XI - solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
XII - elaborar relatórios de gestão anuais acerca de suas atividades;
XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
XXI - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
XXII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
XXIII - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
"Art. 4º Ao Conselho Diretor, órgão máximo de direção da ANPD, compete:
I - solicitar:
a) ao controlador de que trata a Lei nº 13.709, de 2018, o relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial;
b) aos órgãos e às entidades do Poder Público que realizam operações de tratamento de dados pessoais, as informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado;
c) a agentes públicos, a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público; e
d) informações suplementares e realizar diligências de verificação quanto às operações de tratamento, no contexto da aprovação de transferências internacionais de dados;
II - regulamentar:
a) a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, permitida a sua vedação, ouvidos os órgãos públicos setoriais competentes;
b) observadas as competências das autoridades da área de saúde e sanitárias, o acesso a base de dados pessoais por órgãos de pesquisa quando realizarem estudos em saúde pública, assegurados o tratamento das informações em ambiente controlado e seguro, os padrões éticos relacionados a estudos e pesquisas e, sempre que possível, a anonimização ou a pseudonimização dos dados;
c) a portabilidade de dados pessoais entre fornecedores de serviços ou produtos, resguardadas as competências dos órgãos reguladores que possuem definição sobre tais procedimentos em suas áreas de atuação;
d) o formato de apresentação dos dados encaminhados, mediante solicitação, aos titulares, de forma que permita sua utilização subsequente; e
e) a comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado, observado o disposto no parágrafo único do art. 27 da Lei nº 13.709, de 2018;
III - dispor sobre:
a) os padrões e as técnicas utilizados em processos de anonimização e verificar a sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
b) as formas de publicidade das operações de tratamento de dados realizadas por pessoas jurídicas de direito público;
c) os padrões de interoperabilidade para fins de portabilidade, o livre acesso aos dados, a segurança dos dados e o tempo de guarda dos registros, consideradas a necessidade e a transparência; e
d) os padrões mínimos para a adoção de medidas de segurança, técnicas e administrativas de proteção de dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, ressalvadas as competências de que trata o art. 10, caput, incisos IV e V, da Lei nº 13.844, de 18 de junho de 2019;
IV - determinar:
a) o término do tratamento de dados pessoais quando houver violação às disposições da Lei nº 13.709, de 2018; e
b) a realização de auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais, na hipótese de não atendimento ao disposto no § 1º do art. 20 da Lei nº 13.709, de 2018;
V - determinar ao controlador de dados pessoais:
a) a elaboração do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento de dados, incluídos os dados sensíveis, observados os segredos comercial e industrial; e
b) a adoção de providências para a salvaguarda dos direitos dos titulares, a partir da verificação da gravidade de incidentes de segurança;
VI - encaminhar:
a) as petições de titulares de dados pessoais apresentados à ANPD contra o controlador, para avaliação da unidade competente; e
b) informe com medidas cabíveis para fazer cessar violações às disposições da Lei nº 13.709, de 2018, por órgãos públicos;
VII - estabelecer prazos para o atendimento às requisições de que tratam os incisos I e II do caput do art. 19 da Lei nº 13.709, de 2018, para setores específicos, mediante avaliação fundamentada, observado o disposto no § 4º do art. 19 da referida Lei; e
VIII - estabelecer normas complementares:
a) para as atividades de comunicação e de uso compartilhado de dados pessoais realizadas por pessoas jurídicas de direito público; e
b) sobre a definição e as atribuições do encarregado pelo tratamento de dados pessoais de que trata a Lei nº 13.709, de 2018, inclusive nas hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados;
IX - emitir parecer técnico complementar para garantir o cumprimento da Lei por órgãos e entidades públicos;
X - autorizar a transferência internacional de dados pessoais, mediante fundamentação;
XI - avaliar:
a) os requerimentos encaminhados à ANPD sobre o nível de proteção de dados pessoais conferido por outro País ou por organismo internacional; e
b) o nível de proteção de dados de país estrangeiro ou de organismos internacionais que proporcionem grau de proteção de dados pessoais e sua adequação às disposições da Lei nº 13.709, de 2018;
XII - definir:
a) o conteúdo de cláusulas padrão e verificar, diretamente ou mediante designação de organismo de certificação, a garantia de cláusulas contratuais específicas, normas corporativas globais ou selos, certificados e códigos de conduta para transferência internacional por controlador de dados pessoais;
b) o prazo para a comunicação pelo controlador de dados pessoais à ANPD e ao titular dos dados sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano ao titular; e
c) as metodologias que orientarão o cálculo do valor-base das sanções de multa previstas na Lei nº 13.709, de 2018, e publicá-las para ciência dos agentes de tratamento;
XIII - designar e fiscalizar organismos de certificação para a verificação da permissão para a transferência de dados internacional;
XIV - rever atos realizados por organismos de certificação e, na hipótese de descumprimento das disposições da Lei nº 13.709, de 2018, anular os referidos atos;
XV - reconhecer e divulgar regras de boas práticas e de governança estabelecidas por controladores e operadores relacionadas ao tratamento de dados pessoais;
XVI - incentivar a adoção de padrões técnicos que facilitem o controle dos dados pessoais por seus titulares;
XVII - elaborar a proposta sobre sanções administrativas e infrações de que trata a Lei nº 13.709, de 2018, observadas a gradação e a proporcionalidade das sanções, de acordo com a infração cometida, e submeter a proposta a consulta pública;
XVIII - aplicar as sanções administrativas previstas no art. 52 da Lei nº 13.709, de 2018; e
XIX - consultar os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental previamente à aplicação das sanções previstas no art. 52 da Lei nº 13.709, de 2018.
Art. 25. Ao Diretor-Presidente do Conselho Diretor incumbe:
I - apresentar anualmente ao Conselho Diretor relatório circunstanciado dos trabalhos da ANPD;
II - ordenar as despesas referentes à ANPD;
III - convocar as reuniões e determinar a organização das pautas;
IV - submeter a proposta orçamentária da ANPD à aprovação do Conselho Diretor;
V - firmar os compromissos e os acordos aprovados pelo Conselho Diretor; e
VI - firmar contratos e convênios com órgãos ou entidades nacionais.
Art. 26. Compete aos Diretores do Conselho Diretor:
I - votar nos processos e nas questões submetidas ao Conselho Diretor;
II - proferir despachos e lavrar as decisões nos processos em que forem relatores;
III - requisitar informações e documentos de pessoas, órgãos, autoridades e entidades públicas ou privadas relacionados ao exercício de suas atribuições, que serão mantidos sob sigilo legal, quando necessário, e determinar as diligências que se fizerem necessárias;
IV - adotar medidas preventivas e fixar o valor da multa diária pelo seu descumprimento;
V - solicitar a realização de diligências e a produção das provas que entenderem pertinentes nos autos do processo administrativo, na forma da Lei nº 13.709, de 2018;
VI - requerer a emissão de parecer jurídico nos processos em que forem relatores, quando necessário e em despacho fundamentado; e
VII - submeter termo de compromisso de cessação e acordos à aprovação do Conselho Diretor."