RESOLUÇÃO ANPD Nº 023, DE 09.12.2024
Aprova a Agenda Regulatória para o biênio 2025-2026.
O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS - ANPD, no uso das atribuições legais, considerando o disposto no art. 55-J, XIII, da Lei nº 13.709, de 14 de agosto de 2018, e o disposto no art. 7º da Portaria CD/ANPD nº 16 de 8 de julho de 2021, bem como a deliberação tomada no processo nº 00261.005081/2024-49, resolve:
Art. 1º Fica aprovada, na forma do Anexo, a Agenda Regulatória da Autoridade Nacional de Proteção de Dados - ANPD, para o biênio 2025-2026.
Art. 2º As iniciativas da Agenda Regulatória para o biênio 2025-2026 são classificadas em fases, por ordem de priorização:
I - Fase 1: itens cujos processos regulatórios são provenientes da Agenda Regulatória para o biênio 2023-2024, aprovada pela Portaria nº 35, de 4 de novembro de 2022, com as alterações efetuadas pela Resolução CD/ANPD nº 11, de 27 de dezembro de 2023;
II - Fase 2: itens cujo início do processo regulatório acontecerá em até 1 ano;
III - Fase 3: itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses; e
IV - Fase 4: itens cujo início do processo regulatório acontecerá em até 2 anos.
Parágrafo único. As iniciativas a que se refere o inciso I do caput deste artigo terão prevalência sobre os demais itens constantes da Agenda Regulatória.
Art. 3º A ANPD deverá considerar como prioritários os temas constantes da Agenda Regulatória para o biênio 2025-2026 quando do planejamento e da execução de ações educativas.
Art. 4º Esta Resolução entra em vigor na data de sua publicação.
WALDEMAR GONÇALVES ORTUNHO JÚNIOR
Diretor-Presidente
(DOU de 11.12.2024 – págs. 115 e 116 – Seção 1)
ANEXO
AGENDA REGULATÓRIA - 2025-2026
|
Item |
Iniciativa |
Descrição |
Priorização |
|
1 |
Direitos dos titulares |
A LGPD estabelece os direitos dos titulares, mas diversos pontos demandam regulamentação, em especial os artigos 9º, 18, 19 e 20. |
Fase 1 |
|
2 |
Relatório de Impacto à Proteção de Dados Pessoais |
De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe à ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais. |
Fase 1 |
|
3 |
Compartilhamento de dados pelo Poder Público |
O Capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A ação regulatória tem por objetivo estabelecer os requisitos a serem observados nas hipóteses de compartilhamento de dados pessoais pelo Poder Público. Destaca-se, em particular, o disposto no art. 30 da LGPD, que atribui à ANPD competência para estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais. Além disso, é necessária a regulamentação dos arts. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei. |
Fase 1 |
|
4 |
Tratamento de dados pessoais de crianças e adolescentes |
O principal objetivo desta ação regulatória é estabelecer procedimentos e orientações com vistas à garantia de direitos e à proteção de dados pessoais de crianças e adolescentes, especialmente no ambiente digital. Conforme abordado na Tomada de Subsídios realizada entre junho e agosto de 2024, integram o escopo do projeto os seguintes temas: (i) o princípio do melhor interesse; (ii) o consentimento fornecido por pais e responsáveis; (iii) a coleta de informações por jogos e aplicações de internet; (iv) a transparência das operações realizadas com dados pessoais de crianças e adolescentes; (v) os mecanismos de aferição de idade de usuários de jogos e aplicações de internet; e (vi) a definição de orientações e a identificação de boas práticas, que expressem um conjunto de princípios normativos, tecnologias e medidas de design, que promovam e assegurem a privacidade e a efetiva proteção de dados pessoais de crianças e adolescentes em jogos e aplicações de internet. |
Fase 1 |
|
5 |
Dados Pessoais Sensíveis - Dados biométricos |
Conforme abordado no estudo "Biometria e reconhecimento facial" (Radar Tecnológico, ANPD, 2024), o tratamento de dados biométricos se ampliou e se popularizou nos últimos anos, em especial para fins de verificação de identidade com técnicas de reconhecimento facial em contextos diversos, tais como o ambiente escolar, controle de fronteiras, estádios de futebol e transações financeiras. Se, por um lado, o tratamento desses dados pode ampliar a segurança e auxiliar a prevenção de fraudes; por outro lado, também são ampliados os riscos sobre os titulares, a exemplo de impactos negativos decorrentes de erros dos sistemas utilizados e de efeitos discriminatórios sobre grupos vulneráveis. Considerando a relevância do assunto, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo, com vistas ao estabelecimento de parâmetros que assegurem a realização do tratamento de dados biométricos de forma equilibrada e compatível com a legislação de proteção de dados pessoais. |
Fase 1 |
|
6 |
Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança) |
Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei. |
Fase 1 |
|
7 |
Inteligência Artificial |
O projeto dará continuidade às discussões iniciadas com a Tomada de Subsídios sobre o tema, divulgada em novembro de 2024. Será considerado, especialmente, o estabelecimento de parâmetros interpretativos para a aplicação do art. 20 da LGPD, que dispõe sobre o direito de revisão de decisões automatizadas. Além disso, tendo em vista a aplicação da LGPD nos contextos de treinamento e uso de sistemas de IA, também serão considerados no projeto os seguintes aspectos: (i) direitos dos titulares; (ii) princípios da LGPD; (iii) hipóteses legais; e (iv) boas práticas e governança. |
Fase 1 |
|
8 |
Tratamento de Dados Pessoais de Alto Risco |
O projeto atende ao disposto no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. O objetivo principal é disponibilizar aos agentes de tratamento, em especial os de pequeno porte, orientações e parâmetros para a definição e a identificação de hipóteses de tratamento de dados pessoais de alto risco. |
Fase 1 |
|
9 |
Organizações religiosas |
A ação regulatória tem por objetivo estabelecer orientações para as organizações religiosas quanto às medidas necessárias para a sua adequação à LGPD, considerando as suas especificidades. |
Fase 1 |
|
10 |
Anonimização e pseudonimização |
Em atendimento ao art. 12, § 3º, da LGPD, a ação regulatória tem por objetivo dispor sobre padrões e técnicas utilizados em processos de anonimização e de pseudonimização, de forma a apresentar orientações e esclarecimentos sobre o tema, em conformidade com o previsto na LGPD. |
Fase 1 |
|
11 |
Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade |
Em atenção à determinação legal disposta no art. 55- J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as diretrizes estratégicas e os subsídios que devem ser propostos pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), conforme previsto no art. 58-B, I, da LGPD. |
Fase 2 |
|
12 |
Regras de boas práticas e de governança |
O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional. |
Fase 2 |
|
13 |
Agregadores de dados pessoais |
Conforme previsto no Mapa de Temas Prioritários 2024-2025, a atividade de agregadores de dados pessoais foi incluída entre os temas prioritários da fiscalização da ANPD. Os agregadores frequentemente utilizam a raspagem de dados, uma prática que levanta questões críticas sobre sua conformidade com os princípios da LGPD, especialmente quanto à finalidade, à boa-fé e à proteção dos direitos dos titulares. Fornecer orientação clara acerca das medidas de transparência a serem adotadas, das hipóteses legais adequadas aos tratamentos de dados pessoais realizados pelos agregadores e dos limites ao uso de dados públicos e tornados manifestamente públicos, entre outros aspectos, é essencial para melhor guiar os agentes de tratamento e prevenir abusos. |
Fase 2 |
|
14 |
Dados pessoais sensíveis: dados de saúde |
A LGPD estabelece regras mais rígidas ao tratamento de dados pessoais sensíveis, notadamente dados de saúde. Um dos aspectos considerados pela LGPD é o compartilhamento de dados pessoais referentes à saúde com fins econômicos. Nesse sentido, o art. 11, § 3º, determina que a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da ANPD, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. Por sua vez, o § 4º do mesmo artigo veda a comunicação ou o uso compartilhado de dados pessoais referentes à saúde entre controladores com objetivo de obter vantagem econômica, ressalvadas as exceções previstas no mesmo dispositivo e em seus incisos. Outros aspectos relevantes a serem considerados pela ação regulatória são: (i) o conceito de dado pessoal sensível referente à saúde; e (ii) as hipóteses legais específicas relacionadas à área de saúde, especialmente as previstas no art. 7º, VIII e no art. 11, II, "f", da LGPD. A ação regulatória deverá considerar as especificidades do Sistema Único de Saúde (SUS) e dos agentes de tratamento que atuam no setor, tais como as operadoras de saúde suplementar. Além disso, serão observados os requisitos e as especificidades decorrentes da regulação setorial. |
Fase 2 |
|
15 |
Hipótese Legal - Consentimento |
A ação regulatória tem por objetivo estabelecer parâmetros e orientações acerca dos requisitos a serem observados na utilização da hipótese legal do consentimento. A validade do consentimento depende de elementos como a liberdade de escolha, a clareza das informações prestadas, a finalidade específica do tratamento e a possibilidade de revogação a qualquer momento, sem ônus para o titular. |
Fase 3 |
|
16 |
Hipótese Legal -Proteção ao Crédito |
Em um cenário onde as informações financeiras dos indivíduos são cada vez mais utilizadas para análises e decisões de concessão de crédito, a proteção desses dados torna-se crucial para garantir a privacidade e a segurança dos titulares. A iniciativa regulatória sobre a hipótese legal de proteção ao crédito, prevista no art. 7º, X, da LGPD, poderá fornecer orientações aos agentes de tratamento acerca da sua aplicação, permitindo o equilíbrio entre o direito à privacidade dos titulares e a necessidade das instituições financeiras e demais agentes de tratamento de acessar informações relevantes para a análise de risco de crédito. |
Fase 4 |
