Norma
28/01/2021
#190527

PORTARIA Nº 11, DE 27 DE JANEIRO DE 2021

Torna pública a agenda regulatória da ANPD para o biênio 2021-2022 com prioridades e cronograma de regulamentações.

Torna pública a agenda regulatória para o biênio 2021-2022.

O DIRETOR-PRESIDENTE DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, no exercício das atribuições que lhe confere o art. 3º, §2º, do Decreto nº 10.474, de 2020,

CONSIDERANDO que a Agenda Regulatória é um instrumento de planejamento que agrega as ações regulatórias consideradas prioritárias e que serão objeto de estudo ou tratamento pela Autoridade durante sua vigência;

CONSIDERANDO a deliberação tomada pelo Conselho-Diretor em sua Reunião Deliberativa nº 1, realizada em 20 de janeiro de 2021;

CONSIDERANDO o constante dos autos do Processo nº 00261.000027/2021-64, resolve:

Art. 1º Tornar pública a Agenda Regulatória da Autoridade Nacional de Proteção de Dados - ANPD para o biênio 2021-2022, na forma do Anexo a esta Portaria, aprovada pelo Conselho-Diretor na Reunião Deliberativa nº 1.

Art. 2º Os Projetos de Regulamentação recebem as seguintes classificações de priorização nesta Agenda Regulatória:

Fase 1 - iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 ano;

Fase 2 - iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 ano e 6 meses;

Fase 3 - iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 2 anos.

Parágrafo único. Os itens da agenda regulatória serão considerados na elaboração das diretrizes da Política Nacional de Proteção de Dados Pessoais e da Privacidade pela ANPD, nos termos do art. 55-J, inciso III, da Lei nº 13.709 de 14 de agosto de 2018, sem prejuízo de outros assuntos e subsídios que podem ser considerados pela Autoridade.

Art. 4º A Coordenação-Geral de Normatização elaborará, semestralmente, o relatório de acompanhamento das iniciativas regulamentares constantes da Agenda ora aprovada.

Art. 5º A Coordenação-Geral de Normatização avaliará a necessidade de readequação das iniciativas e metas constantes da Agenda, no último relatório de acompanhamento do ano de 2021, conforme o caso.

Art. 6º O Diretor-Presidente poderá alterar as metas previstas no Anexo da presente portaria, mediante deliberação do Conselho-Diretor, conforme a conveniência e oportunidade da ANPD.

Art. 7º Esta Portaria entra em vigor na data de sua publicação.

ANEXO I

AGENDA REGULATÓRIA - 2021-2022

Item

Tema

Descrição

Priorização

Previsão de início do processo de regulamentação

Instrumento

1º/2021

2º/2021

1º/2022

2º/2022

1

Regimento Interno da ANPD

Publicação do primeiro Regimento Interno da ANPD.

Fase 1

Portaria

2

Planejamento Estratégico da ANPD

Publicação do Planejamento Estratégico de 2021-2023, contendo os objetivos a serem alcançados pela ANPD e os seus respectivos prazos e as ações estratégicas vinculadas.

Fase 1

Portaria

3

Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos

A LGPD prevê regulamentação diferenciada para microempresas e empresas de pequeno porte, com a edição de normativo sobre o assunto, conforme estabelece o art. 55-J da referida lei.

Fase 1

Resolução

4

Direitos dos titulares de dados pessoais

A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

Fase 3

Resolução

5

Estabelecimento de normativos para aplicação do art. 52 e seguintes da LGPD

O art. 53 da LGPD prevê que a ANPD deve definir, via regulamento próprio sobre sanções administrativas a infrações da referida lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

A regulamentação também estabelecerá as circunstâncias e as condições para a adoção de multa.

Fase 1

Resolução

6

Comunicação de incidentes e especificação do prazo de notificação

De acordo com o art. 48 da LGPD, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.

Fase 1

Resolução

7

Relatório de Impacto à Proteção de Dados Pessoais

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

Fase 1

Resolução

8

Encarregado de proteção de dados pessoais

Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Fase 2

Resolução

9

Transferência Internacional de Dados Pessoais

O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.

Fase 2

Resolução

10

Hipóteses legais de tratamento de dados pessoais

Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.

Fase 3

Guia de boas

Gpráticas

Item

Tema

Descrição

Priorização

Previsão de início do processo de regulamentação

Instrumento

1º/2021

2º/2021

1º/2022

2º/2022

1

Regimento Interno da ANPD

Publicação do primeiro Regimento Interno da ANPD.

Fase 1

Portaria

2

Planejamento Estratégico da ANPD

Publicação do Planejamento Estratégico de 2021-2023, contendo os objetivos a serem alcançados pela ANPD e os seus respectivos prazos e as ações estratégicas vinculadas.

Fase 1

Portaria

3

Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos

A LGPD prevê regulamentação diferenciada para microempresas e empresas de pequeno porte, com a edição de normativo sobre o assunto, conforme estabelece o art. 55-J da referida lei.

Fase 1

Resolução

4

Direitos dos titulares de dados pessoais

A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

Fase 3

Resolução

5

Estabelecimento de normativos para aplicação do art. 52 e seguintes da LGPD

O art. 53 da LGPD prevê que a ANPD deve definir, via regulamento próprio sobre sanções administrativas a infrações da referida lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

A regulamentação também estabelecerá as circunstâncias e as condições para a adoção de multa.

Fase 1

Resolução

6

Comunicação de incidentes e especificação do prazo de notificação

De acordo com o art. 48 da LGPD, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.

Fase 1

Resolução

7

Relatório de Impacto à Proteção de Dados Pessoais

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

Fase 1

Resolução

8

Encarregado de proteção de dados pessoais

Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Fase 2

Resolução

9

Transferência Internacional de Dados Pessoais

O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.

Fase 2

Resolução

10

Hipóteses legais de tratamento de dados pessoais

Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.

Fase 3

Guia de boas

Gpráticas

Item

Tema

Descrição

Priorização

Previsão de início do processo de regulamentação

Instrumento

Item

Item

Tema

Tema

Descrição

Descrição

Priorização

Priorização

Previsão de início do processo de regulamentação

Previsão de início do processo de regulamentação

Instrumento

Instrumento

1º/2021

2º/2021

1º/2022

2º/2022

1º/2021

1º/2021

2º/2021

2º/2021

1º/2022

1º/2022

2º/2022

2º/2022

1

Regimento Interno da ANPD

Publicação do primeiro Regimento Interno da ANPD.

Fase 1

Portaria

1

1

Regimento Interno da ANPD

Regimento Interno da ANPD

Publicação do primeiro Regimento Interno da ANPD.

Publicação do primeiro Regimento Interno da ANPD.

Fase 1

Fase 1

Portaria

Portaria

2

Planejamento Estratégico da ANPD

Publicação do Planejamento Estratégico de 2021-2023, contendo os objetivos a serem alcançados pela ANPD e os seus respectivos prazos e as ações estratégicas vinculadas.

Fase 1

Portaria

2

2

Planejamento Estratégico da ANPD

Planejamento Estratégico da ANPD

Publicação do Planejamento Estratégico de 2021-2023, contendo os objetivos a serem alcançados pela ANPD e os seus respectivos prazos e as ações estratégicas vinculadas.

Publicação do Planejamento Estratégico de 2021-2023, contendo os objetivos a serem alcançados pela ANPD e os seus respectivos prazos e as ações estratégicas vinculadas.

Fase 1

Fase 1

Portaria

Portaria

3

Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos

A LGPD prevê regulamentação diferenciada para microempresas e empresas de pequeno porte, com a edição de normativo sobre o assunto, conforme estabelece o art. 55-J da referida lei.

Fase 1

Resolução

3

3

Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos

Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos

A LGPD prevê regulamentação diferenciada para microempresas e empresas de pequeno porte, com a edição de normativo sobre o assunto, conforme estabelece o art. 55-J da referida lei.

A LGPD prevê regulamentação diferenciada para microempresas e empresas de pequeno porte, com a edição de normativo sobre o assunto, conforme estabelece o art. 55-J da referida lei.

Fase 1

Fase 1

Resolução

Resolução

4

Direitos dos titulares de dados pessoais

A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

Fase 3

Resolução

4

4

Direitos dos titulares de dados pessoais

Direitos dos titulares de dados pessoais

A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

Fase 3

Fase 3

Resolução

Resolução

5

Estabelecimento de normativos para aplicação do art. 52 e seguintes da LGPD

O art. 53 da LGPD prevê que a ANPD deve definir, via regulamento próprio sobre sanções administrativas a infrações da referida lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

A regulamentação também estabelecerá as circunstâncias e as condições para a adoção de multa.

Fase 1

Resolução

5

5

Estabelecimento de normativos para aplicação do art. 52 e seguintes da LGPD

Estabelecimento de normativos para aplicação do art. 52 e seguintes da LGPD

O art. 53 da LGPD prevê que a ANPD deve definir, via regulamento próprio sobre sanções administrativas a infrações da referida lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

A regulamentação também estabelecerá as circunstâncias e as condições para a adoção de multa.

O art. 53 da LGPD prevê que a ANPD deve definir, via regulamento próprio sobre sanções administrativas a infrações da referida lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

A regulamentação também estabelecerá as circunstâncias e as condições para a adoção de multa.

Fase 1

Fase 1

Resolução

Resolução

6

Comunicação de incidentes e especificação do prazo de notificação

De acordo com o art. 48 da LGPD, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.

Fase 1

Resolução

6

6

Comunicação de incidentes e especificação do prazo de notificação

Comunicação de incidentes e especificação do prazo de notificação

De acordo com o art. 48 da LGPD, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.

De acordo com o art. 48 da LGPD, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.

Fase 1

Fase 1

Resolução

Resolução

7

Relatório de Impacto à Proteção de Dados Pessoais

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

Fase 1

Resolução

7

7

Relatório de Impacto à Proteção de Dados Pessoais

Relatório de Impacto à Proteção de Dados Pessoais

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

Fase 1

Fase 1

Resolução

Resolução

8

Encarregado de proteção de dados pessoais

Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Fase 2

Resolução

8

8

Encarregado de proteção de dados pessoais

Encarregado de proteção de dados pessoais

Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Fase 2

Fase 2

Resolução

Resolução

9

Transferência Internacional de Dados Pessoais

O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.

Fase 2

Resolução

9

9

Transferência Internacional de Dados Pessoais

Transferência Internacional de Dados Pessoais

O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.

O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.

Fase 2

Fase 2

Resolução

Resolução

10

Hipóteses legais de tratamento de dados pessoais

Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.

Fase 3

Guia de boas

Gpráticas

10

10

Hipóteses legais de tratamento de dados pessoais

Hipóteses legais de tratamento de dados pessoais

Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.

Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.

Fase 3

Fase 3

Guia de boas

Gpráticas

Guia de boas

Gpráticas