Autoridade Nacional de Proteção de Dados: Atuação e Precedentes
A Autoridade Nacional de Proteção de Dados (ANPD) consolidou-se como peça central na regulação do tratamento de dados pessoais no Brasil, e conhecer sua atuação é essencial para qualquer estratégia de due diligence.
O Papel da ANPD no Ecossistema de Proteção de Dados
Quando analisamos o cenário regulatório brasileiro de proteção de dados pessoais, percebemos que a criação da Autoridade Nacional de Proteção de Dados representou um marco institucional decisivo. Estabelecida pela Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) e estruturada pelo Decreto nº 10.474/2020, a ANPD nasceu com a missão de zelar pela proteção dos dados pessoais, fiscalizar o cumprimento da legislação e aplicar sanções administrativas em caso de tratamento irregular de dados.
Verificamos que a ANPD não atua de forma isolada. Sua competência dialoga com outros órgãos, como o Ministério Público, os Procons estaduais e o Comitê Gestor da Internet no Brasil. Essa articulação interinstitucional é fundamental para que a proteção de dados alcance efetividade prática, evitando lacunas de fiscalização e sobreposições de competência. A própria LGPD, em seu artigo 55-J, estabelece um rol extenso de atribuições para a Autoridade, que vão desde a elaboração de diretrizes para a Política Nacional de Proteção de Dados até a realização de auditorias sobre o tratamento de dados pessoais.
Do ponto de vista da due diligence de dados, compreendemos que qualquer organização que colete, armazene ou processe dados pessoais no território nacional precisa acompanhar de perto as resoluções, notas técnicas e guias orientativos publicados pela ANPD. Esses documentos, embora nem sempre possuam força vinculante direta, orientam a interpretação da lei e sinalizam os parâmetros que a Autoridade adotará em eventuais procedimentos fiscalizatórios. Ignorar essa produção normativa equivale a operar às cegas em um ambiente regulatório cada vez mais exigente.
Atuação Regulatória: Resoluções e Guias Orientativos
Observamos que a ANPD tem construído seu arcabouço regulatório de forma progressiva. Entre as medidas mais relevantes, destacamos a Resolução CD/ANPD nº 2/2022, que aprovou o Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte. Essa resolução trouxe flexibilizações importantes para microempresas, empresas de pequeno porte e startups, reconhecendo que a conformidade regulatória precisa ser proporcional à capacidade econômica e ao volume de dados tratados por cada organização.
Outra produção normativa que merece destaque é a Resolução CD/ANPD nº 4/2023, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Esse regulamento definiu os critérios e parâmetros para a aplicação de multas e demais penalidades previstas na LGPD, incluindo fatores agravantes e atenuantes. Para quem conduz processos de due diligence, esse documento é indispensável, pois permite estimar o risco financeiro associado a eventuais irregularidades no tratamento de dados.
Analisamos também os guias orientativos publicados pela ANPD, que abordam temas como tratamento de dados pessoais pelo Poder Público, cookies e rastreadores, relatórios de impacto à proteção de dados pessoais e definições de agentes de tratamento. Esses guias funcionam como um mapa interpretativo da legislação. Embora não substituam a análise jurídica específica de cada caso, oferecem parâmetros concretos para a estruturação de programas de conformidade e para a avaliação de riscos em operações societárias, contratos de tecnologia e parcerias comerciais que envolvam compartilhamento de dados.
Identificamos que a ANPD também tem se posicionado sobre temas emergentes, como inteligência artificial e tratamento de dados de crianças e adolescentes. Essas manifestações indicam a direção que a regulação deve tomar nos próximos anos e permitem que as organizações se antecipem às exigências futuras, incorporando salvaguardas desde a fase de concepção de novos produtos e serviços.
Acompanhar a atuação da ANPD não é apenas uma questão de conformidade legal, é uma estratégia de gestão de riscos que pode definir o sucesso ou o fracasso de operações empresariais envolvendo dados pessoais.
Precedentes Administrativos e Processos Sancionadores
Quando examinamos a atuação fiscalizatória da ANPD, constatamos que a Autoridade tem adotado uma abordagem gradual, priorizando a orientação e a conscientização antes de partir para a aplicação de sanções mais severas. Essa postura, entretanto, não significa ausência de rigor. A ANPD já instaurou diversos processos administrativos sancionadores e aplicou penalidades que vão desde advertências até multas pecuniárias.
Entre os casos que geraram repercussão no meio jurídico, verificamos que a ANPD direcionou sua atenção tanto para o setor público quanto para o setor privado. Órgãos governamentais foram notificados e fiscalizados em razão de práticas inadequadas de tratamento de dados, evidenciando que a Autoridade não faz distinção entre agentes públicos e privados quando se trata de proteger os direitos dos titulares. Empresas de diversos portes e segmentos também foram alvo de procedimentos, o que reforça a necessidade de programas de conformidade robustos independentemente do setor de atuação.
Percebemos que a análise desses precedentes administrativos é particularmente valiosa para profissionais que atuam com due diligence de dados. Cada decisão da ANPD revela como a Autoridade interpreta conceitos fundamentais da LGPD, como base legal para tratamento, finalidade, necessidade, transparência e segurança. Esses precedentes funcionam como balizas interpretativas que permitem avaliar, com maior precisão, o grau de conformidade de uma organização e os riscos associados a eventuais deficiências em seus processos de tratamento de dados.
Registramos que a ANPD também tem utilizado instrumentos como o Termo de Ajustamento de Conduta (TAC) e medidas preventivas, que permitem a correção de irregularidades sem a necessidade de imposição imediata de multas. Essa flexibilidade procedimental é um aspecto positivo da atuação da Autoridade, pois incentiva a adequação voluntária e reduz o custo regulatório para organizações que demonstram boa-fé e disposição para corrigir suas práticas.
Due Diligence de Dados: Implicações Práticas
Ao conduzirmos processos de due diligence que envolvem dados pessoais, consideramos a atuação da ANPD como um fator determinante na avaliação de riscos. Em operações de fusão, aquisição ou investimento, por exemplo, a existência de procedimentos administrativos em curso perante a ANPD, o histórico de incidentes de segurança comunicados à Autoridade e o grau de aderência da organização-alvo aos parâmetros regulatórios vigentes são elementos que impactam diretamente a valoração do negócio e a estruturação de cláusulas contratuais de proteção.
Entendemos que um programa de due diligence de dados eficaz deve contemplar, no mínimo, a verificação da existência de registro de operações de tratamento (conforme artigo 37 da LGPD), a análise das bases legais utilizadas para cada categoria de tratamento, a avaliação dos contratos com operadores e suboperadores de dados, a verificação da existência de um encarregado (DPO) designado e a análise do histórico de respostas a requisições de titulares e de comunicações de incidentes à ANPD.
Constatamos que organizações que mantêm um relacionamento proativo com a ANPD, participando de consultas públicas, tomadas de subsídios e audiências públicas promovidas pela Autoridade, tendem a apresentar um nível de maturidade regulatória superior. Esse engajamento demonstra não apenas conhecimento da legislação, mas também compromisso institucional com a proteção de dados, o que é um indicador relevante em qualquer processo de avaliação.
Ressaltamos ainda que a ANPD tem celebrado acordos de cooperação técnica com autoridades de proteção de dados de outros países e com organismos internacionais. Essa dimensão internacional da atuação da Autoridade é especialmente relevante para operações de due diligence que envolvem transferência internacional de dados, tema regulado pelos artigos 33 a 36 da LGPD e que demanda atenção redobrada em um cenário globalizado.
Perspectivas e Evolução Institucional
Acompanhamos com atenção a transformação institucional da ANPD, que passou de autarquia vinculada à Presidência da República para autarquia de natureza especial, dotada de maior autonomia técnica e decisória. Essa mudança, concretizada pela Lei nº 14.460/2022, fortaleceu a independência da Autoridade e sinalizou o amadurecimento do modelo regulatório brasileiro de proteção de dados.
Avaliamos que a tendência é de intensificação da atividade fiscalizatória nos próximos anos, à medida que a ANPD consolida sua estrutura organizacional, amplia seu quadro de servidores e acumula experiência institucional. O aumento do número de denúncias e petições de titulares recebidas pela Autoridade confirma essa expectativa e reforça a importância de manter programas de conformidade atualizados e efetivos.
Consideramos fundamental que advogados, gestores de compliance e profissionais de tecnologia da informação acompanhem sistematicamente a agenda regulatória da ANPD, incluindo as consultas públicas em andamento, as tomadas de subsídios e os estudos técnicos em elaboração. Essa vigilância regulatória permite antecipar mudanças normativas, ajustar processos internos tempestivamente e, em última análise, transformar a conformidade com a LGPD em vantagem competitiva.
Concluímos que a ANPD, apesar de sua juventude institucional, já produziu um corpo significativo de normas, orientações e precedentes que impactam diretamente a prática jurídica e empresarial relacionada ao tratamento de dados pessoais. Para quem atua com due diligence de dados, acompanhar essa produção não é opcional, é condição para uma atuação responsável e tecnicamente fundamentada.
Perguntas Frequentes
Qual é a função principal da ANPD na proteção de dados?
A ANPD é responsável por zelar pela proteção dos dados pessoais no Brasil, fiscalizar o cumprimento da LGPD e aplicar sanções administrativas quando identificar irregularidades no tratamento de dados. Além disso, a Autoridade elabora diretrizes, guias orientativos e regulamentos que orientam organizações públicas e privadas sobre as melhores práticas de conformidade com a legislação de proteção de dados.
Como a atuação da ANPD impacta processos de due diligence?
Os precedentes administrativos e os regulamentos da ANPD são elementos essenciais na avaliação de riscos durante processos de due diligence que envolvem dados pessoais. A existência de procedimentos sancionadores, o histórico de incidentes de segurança e o grau de conformidade com os parâmetros da Autoridade influenciam diretamente a valoração de negócios em operações de fusão, aquisição ou investimento.
Quais sanções a ANPD pode aplicar em caso de descumprimento da LGPD?
A ANPD pode aplicar diversas sanções previstas no artigo 52 da LGPD, incluindo advertência, multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais relacionados à irregularidade. A escolha da sanção segue os critérios estabelecidos no Regulamento de Dosimetria aprovado pela Autoridade.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
