SEI/ANATEL - 6914312

Proposição de Política de Proteção de Dados Pessoais e de Programa de Governança em Privacidade, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018.

ASSESSORIA DE RELAÇÕES COM OS USUÁRIOS (ARU). MATÉRIA ADMINISTRATIVA. NORMATIZAÇÃO INTERNA EDITADA PELO CONSELHO DIRETOR. OBSERVÂNCIA DA Lei nº 13.709, de 14 de agosto de 2018 (lgpd). APROVAÇÃO DA Política de Proteção de Dados Pessoais e DO Programa de Governança em Privacidade.

A proposição de uma Política de Proteção de Dados, assim como o estabelecimento de um Programa de Governança em Privacidade, atendem aos ditames da Lei nº 13.709, de 14 de agosto de 2018.

Alinhamento das propostas com o Guia de Boas Práticas da Lei Geral de Proteção de Dados (LGPD) e com o Guia de Elaboração do Programa de Governança em Privacidade.

Aprovação de Resolução Interna que dispõe sobre a Política de Proteção de Dados Pessoais.

Aprovação de Resolução Interna que dispõe sobre o Programa de Governança em Privacidade da Anatel.

Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);

Guia de Boas Práticas Lei Geral de Proteção de Dados (LGPD), edição agosto de 2020;

Guia de Elaboração do Programa de Governança em Privacidade, versão 1, edição outubro/2020, publicado pelo Ministério da Economia;

Portaria nº 1.197, de 25 de agosto de 2020, que atribui à Assessoria de Relações com os Usuários (ARU) o exercício das atividades de Encarregado pelo Tratamento de Dados Pessoais no âmbito da Agência Nacional de Telecomunicações e dá outras providências (SEI nº 5901590);

Portaria nº 1.298, de 14 de setembro de 2020, que aprova o Aviso de Privacidade da Agência Nacional de Telecomunicações (SEI nº 5967020);

Portaria nº 1.962, de 29 de abril de 2021, que aprova o Plano de Resposta a Incidentes de Privacidade e Remediação (SEI nº 6829892);

Cuidam-se de duas propostas de Resolução Interna que dispõem sobre a Política de Proteção de Dados Pessoais da Anatel e sobre o Programa de Governança em Privacidade da Anatel.

O processo originou-se a partir do Informe nº 3/2020/ARU, de 18 de novembro de 2020 (SEI nº 6209712), em que a Assessoria de Relações com os Usuários (ARU) apresentou as propostas de Política de Privacidade da Anatel e de Programa de Governança em Privacidade, e definiu o encaminhamento das respectivas minutas para manifestação da Procuradoria Federal Especializada junto à Anatel (PFE), com fulcro na Portaria nº 642, de 26 de julho de 2013, e suas alterações, pelo Memorando nº 10/2020/ARU (SEI nº 6212180).

Em relação à proposta de Política de Proteção de Dados Pessoais da Anatel, foi elaborada, inicialmente, proposta de Portaria com o objetivo de formalizar a Política de Privacidade da Anatel, nos termos da Minuta de Portaria ARU nº 6211007.

Quanto ao Programa de Governança em Privacidade, optou-se por propor no âmbito da Agência em formato de norma, aplicável a todos os servidores, colaboradores, estagiários, fornecedores que, de forma direta ou indireta, tratem dados pessoais, com aprovação pelo Conselho Diretor.

Em 13 de janeiro de 2021, a PFE se manifestou a partir da Cota nº 94/2021/PFE-ANATEL/PGF/AGU, que, em síntese, questionou se o conteúdo das propostas teriam relação com a atividade fim da Anatel, sobre a não realização de Consulta Interna, conforme disposto no Regimento Interno, e indicou que o ato normativo adequado para as propostas seria Resolução, por se tratar de ato normativo aprovado por órgão colegiado, conforme estabelecido no Decreto nº 10.139, de 28 de novembro de 2019, já exposto anteriormente pela PFE no Parecer nº 0673/2020/PFE-ANATEL/PGF/AGU.

Quanto à ausência de Consulta Interna apontada pela PFE, a ARU absorveu a ponderação e submeteu as propostas, no Sistema SACP, por meio das Consultas Internas nº 899, para a Política de Privacidade, e nº 902, para o Programa de Governança em Privacidade.

Em resposta aos questionamentos constantes da Cota nº 94/2021/PFE-ANATEL/PGF/AGU, foi elaborado o Informe nº 2/2021/ARU (SEI nº 6438615), e as propostas foram submetidas novamente à apreciação da PFE, por meio do Memorando nº 9/2021/ARU (SEI nº 6565327), de 18 de fevereiro de 2021.

Em 10 de março de 2021, a PFE emitiu o Parecer nº 110/2021/PFE-ANATEL/PGF/AGU, com algumas sugestões e questionamentos em relação às propostas e manifestando-se pela aprovação das minutas de Resoluções Internas que estabelecem o Programa de Governança em Privacidade da Anatel (SEI 6480259) e a Política de Privacidade da Agência Nacional de Telecomunicações (SEI nº 6559962), desde que observadas as recomendações do Parecer.

Em atenção aos apontamentos da PFE, a ARU promoveu ajustes nas propostas, conforme justificativas apresentadas no Informe nº 3/2021/ARU (SEI nº 6480214), encaminhadas pela Matéria para Apreciação do Conselho Diretor nº 129/2021 (SEI nº 6656015), de 12 de março de 2021.

De início, cabe registrar o contido no artigo 133, XXII do Regimento Interno da Anatel - RIA, aprovado na forma do Anexo à Resolução nº 612, de 29 de abril de 2013:

Art. 133. São competências do Conselho Diretor, sem prejuízo de outras previstas na Lei nº 9.472/1997, no Regulamento da Agência e na legislação aplicável:

XXII - estabelecer as diretrizes funcionais, executivas e administrativas a serem seguidas pela Agência, zelando por seu efetivo cumprimento;

Portanto, resta evidente a competência do Conselho Diretor para deliberação quanto às referidas matérias.

A Lei 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), traz em sua Seção II, Das Boas Práticas e da Governança, as características mínimas de um Programa de Governança em Privacidade:

§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.

A lei estabelece faculdade ao controlador de implementar programa de governança em privacidade, apresentando, como uma de suas características mínimas, a demonstração do comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais. Assim, a proposição de uma Política de Proteção de Dados, como uma política interna, é aderente a norma, assim como o próprio estabelecimento de um Programa de Governança em Privacidade.

A Anatel tem realizado uma série de medidas para implementação da LGPD, especialmente a partir da designação do Encarregado e da instituição do Escritório de Apoio à Proteção de Dados (EAPD), formalizados pela Portaria nº 1.197, de 25 de agosto de 2020. Essa Portaria, inclusive, é indicada pelo Ministério da Economia, no Guia de elaboração de Programa de Governança em Privacidade, como referência e sugestão de estruturação:

Como referência e sugestão de estruturação, a Portaria da Anatel nº 1.197, de 25 de agosto de 2020 apresenta, entre outras informações, as competências de um Escritório de Apoio a Proteção de Dados, que representa, com êxito, a estrutura recomendada.

Ressalta-se, ainda, que grande parte das ações já realizadas na Agência para implementação da LGPD estão previstas no escopo de um Programa de Governança em Privacidade, tal como proposto pelo Guia do Ministério da Economia. Inclusive, os resultados das medidas adotadas têm sido reportados periodicamente ao Presidente, a exemplo do Relatório de Atividades ARU (SEI nº 6585049). Porém, entende-se que a estruturação de todas essas ações, no formato de um Programa de Governança, de caráter contínuo, será importante instrumento de gestão e de transparência em relação ao tema.

Antes de apresentar as análises específicas de cada proposta, apresento, na tabela abaixo, a estrutura das Minutas de Resolução Interna propostas (SEI nº 6650654 e 6650559):

Em relação à entrada em vigor das Resoluções Internas, houve necessidade de adequação na redação proposta nas minutas, para aderência ao Decreto nº 10.139, de 28 de novembro de 2019.

Identificou-se, nas minutas encaminhadas, a existência de alguns temas em comum, como “Tratamento de Dados” e “Governança”. Também se observou artigos em comum, ou similares em termos de conteúdo. Conforme será explicado à frente, para esses casos de possível redundância, houve a necessidade de avaliação do melhor enquadramento das temáticas/artigos nas proposições, conforme o objeto previsto.

Assim, para possibilitar uma melhor compreensão da análise realizada sobre cada uma das propostas apresentadas, essas serão apresentadas, em princípio, separadamente. Porém, cabe ressaltar, que nas propostas e temas em comum nas duas minutas, as análises serão demonstradas de forma referenciada, para melhor compreensão.

Neste sentido, primeiramente serão apresentadas as análises e proposições relacionadas à Política de Proteção de Dados Pessoais da Anatel.

A LGPD estabelece, entre os requisitos mínimos para a implementação do Programa de Governança em Privacidade, o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; (grifos nossos)

Neste contexto, a Política de Proteção de Dados Pessoais da Anatel proposta pode ser entendida como uma política interna, voltada aos servidores, colaboradores, terceirizados, estagiários, fornecedores e todos que realizem atividades que envolvam, de forma direta ou indireta, tratamento de dados pessoais custodiados pela Agência, a partir do estabelecimento de diretrizes para a proteção dos dados pessoais.

Em relação a esta proposta, é importante, em princípio, apresentar o embasamento que justificou a alteração de sua nomenclatura, que estava intitulada originalmente como Política de Privacidade e passou a ser denominada Política de Proteção de Dados Pessoais. Foram destacados, para isso, alguns trechos do Informe nº 3/2021/ARU:

3.41. A política objetiva dar visibilidade ao tratamento de dados pessoais em um determinado serviço, atendendo princípios da Lei Geral de Proteção de Dados Pessoais (LGPD). É um documento endereçado aos usuários de um site, serviço ou sistema (titulares de dados) e, normalmente, é público. Nesse contexto, o Aviso de Privacidade já elaborado e tornado público no site da Anatel é essa Política de Privacidade com foco no usuário externo que acessa o site da Agência e conhece a nossa política de privacidade e proteção dos dados pessoais.

3.44. Para não ficar uma profusão do termo política, na Anatel estamos utilizando os conceitos da seguinte forma: Aviso de Privacidade (documento SEI nº 5964450) para informar ao usuário dos serviços da Anatel como tratamos os dados pessoais e como seguimos os princípios da LGPD relativamente à privacidade e proteção de dados pessoais. O Aviso está disponível no site da Agência e foi aprovado por meio da Portaria nº1.298, de 14 de setembro de 2020 (documento SEI nº 5967020) . Elaboramos os Termos de Uso vinculados à utilização de serviços públicos por meio de aplicações (sítios, sistemas e aplicativos) acessados pelo usuário externo. Eles serão disponibilizados a cada primeiro acesso do usuário, para que o usuário tenha conhecimento das condições de uso, caso opte por acessar as aplicações da Anatel. Os Termos de Uso estão disponíveis no Processo SEI nº 53500.066007/2020-71. Por fim, precisamos formar uma cultura em proteção de dados, nesse caso a partir de um conjunto de regras disciplinados no Aviso de Privacidade, mas aplicado ao público interno. Para isso, foi construída a proposta de Política de Proteção de Dados Pessoais.

3.46. Ocorre que, observando o Questionário TCU de adequação à LGPD (documento SEI nº 6646821), que faz parte do processo de auditoria do TCU mencionado em 3.6 (Processo SEI nº 53500.057660/2020-40), pudemos observar uma outra conceituação que nos pareceu bastante mais adequada do que aquela proposta pelo Gartner e pela SGD/ME.

A Política de Proteção de Dados Pessoais deve estar alinhada com a Política de Segurança da Informação e com a Política de Classificação da Informação e provê apoio e comprometimento da organização para alcançar a conformidade com os normativos de proteção de dados pessoais.

A Política de Proteção de Dados Pessoais pode ser definida e publicada em documento específico ou incluída no texto da Política de Segurança da Informação já existente.

A Política de Privacidade deve documentar e comunicar aos titulares de dados pessoais, de maneira clara e concisa, informações relativas ao tratamento de seus dados pessoais.

A LGPD exemplifica informações que devem constar no referido artefato: as finalidades dos tratamentos; as formas e as durações dos tratamentos; a identificação e os dados de contato do controlador; as informações acerca do uso compartilhado de dados; as responsabilidades dos agentes que realizam os tratamentos; e os direitos do titular.

Além disso, o Poder Público deve informar as hipóteses em que, no exercício de suas competências, realiza tratamento de dados pessoais, fornecendo informações sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

O termo "Aviso de Privacidade" é comumente utilizado para se referir à Política de Privacidade. (grifo nosso)

3.47. Considerando então os conceitos trazidos à tona pelo TCU no referido Questionário, julgamos adequado renomear a então em análise Política de Privacidade, para a ora em análise Política de Proteção de Dados Pessoais, partindo do princípio de que o conteúdo em nada se altera, não necessitando nova manifestação da PFE smj, e ficando mais adequado ao entendimento da Corte de Contas.

Em síntese, a justificativa da alteração da nomenclatura é baseada no entendimento exarado pelo Tribunal de Contas da União (TCU) de que a Política de Proteção de Dados Pessoais é voltada para o público interno da organização, enquanto a Política de Privacidade é direcionada para o público externo. Além disso, a ARU informa que na Anatel o Aviso de Privacidade, já elaborado e tornado público no site da Anatel, é a Política de Privacidade, com foco no usuário externo que acessa o site da Agência e conhece a nossa política de privacidade e proteção dos dados pessoais.

Isso posto, passa-se a análise da proposta de Política de Proteção de Dados Pessoais da Anatel. A minuta apresentada pela ARU está organizada na seguinte estrutura:

Em relação aos Capítulos I e III, não há considerações em relação à proposta apresentada.

Em relação ao Capítulo II, foi apenas acrescentado o conceito de Curadoria de Dados, tendo em vista que alguns pontos da proposta trazem responsabilidades para as áreas custodiantes dos dados, que são as Curadorias de Dados na Anatel, conforme estabelecido na Política de Governança de Dados da Agência.

Em relação ao Capítulo IV, não há sugestões de ajustes. Ressalta-se, porém, que neste capítulo é possível observar a incorporação integral, pela Política proposta, dos princípios relacionados às atividades de tratamento de dados pessoais apresentados no art. 6º da LGPD:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Além de o caput do art. 4º da minuta proposta indicar que as atividades de tratamento de dados pessoais observam a boa-fé e os demais princípios que integram a lei específica, sendo integralmente incorporados à Política de Proteção de Dados Pessoais da Anatel, optou-se por também apresentar esses princípios, e seus respectivos conceitos, na forma do Parágrafo Único do artigo proposto. Por se tratar de Política Interna, é muito importante que estes princípios sejam de conhecimento de todos, e incorporados na rotina do tratamento de dados pessoais da Agência.

Em relação ao Capítulo V, que apresenta as Diretrizes Gerais da Política, foram propostos alguns ajustes.

Como dito anteriormente, foram identificados alguns temas e artigos apresentados pela ARU, que compunham as duas propostas de Resolução Interna encaminhadas. No Capítulo V, identificou-se que os arts. 5º ao 17 da minuta de Política de Proteção de Dados Pessoais também constam, nos mesmos termos, nos arts. 2º ao 14 da minuta do Programa de Governança em Privacidade.

A partir da avaliação do objeto de cada proposta, entendeu-se mais pertinente a manutenção dos artigos propostos na Política de Proteção de Dados Pessoais, por se tratar de diretrizes gerais relacionadas ao tratamento dos dados pessoais pelo público interno da Agência.

Ainda sobre o Capítulo V, consta na minuta proposta, após o art. 17, diversas Seções com temáticas específicas, que não dizem respeito às diretrizes gerais da Política. Neste sentido, identificou-se a necessidade de ajuste na estrutura da norma, tornando algumas Seções das Diretrizes Gerais em capítulos próprios e, com isso, algumas seções passaram a compor os novos capítulos propostos.

Para as seções “Da Coleta de Dados Pessoais” e “Da retenção das informações coletadas”, sugeriu-se que a primeira se torne um novo capítulo, e a segunda seja seção desse novo capítulo, por ser diretamente relacionada à coleta de dados. No mesmo sentido, foram propostas para as seções “Do tratamento de dados pessoais”, “Das Medidas de Proteção dos dados pessoais”, “Do Compartilhamento dos Dados” e “Do Consentimento”, que a primeira se tornasse um novo capítulo, e as demais, seções diretamente relacionadas ao tratamento de dados, com ajustes pontuais de redação.

As Seções “Da Gestão de Incidentes de Dados” e “Do Atendimento a Requerimentos do Titular de Dados Pessoais”, após os ajustes, também foram propostas como novos capítulos.

Sugeriu-se, ainda, a transferência dos artigos 23 ao 25 da minuta do Programa de Governança em Privacidade, referentes ao Tratamento de Dados Pessoais, para a Política de Proteção de Dados Pessoais, por serem mais afetos ao objeto dessa proposta, inclusive com seção específica já disposta sobre o tema, com necessidades de adequações adicionais a fim de se evitar redundâncias.

§ 2º Nos casos de tratamentos de dados pessoais cuja hipótese legal for o legítimo interesse da Anatel, as áreas responsáveis devem estar atentas às disposições legais, cabendo obrigatoriamente a elaboração do Relatório de Impacto à Proteção de Dados (RIPD). (grifos nossos)

Art. 22 O legítimo interesse da Anatel como controlador poderá fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações contempladas em normativos.

Parágrafo único. A Anatel, como controlador, deverá elaborar relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. (grifos nossos)

II - No caso de tratamento baseado no fornecimento de consentimento pelo titular, devem ser observadas as condições impostas pelo art. 8º da LGPD;

III - O tratamento de dados pessoais pela Anatel independe do consentimento do titular quando for indispensável para o cumprimento de obrigação legal ou para a execução de políticas públicas legalmente previstas;

Art. 27 O tratamento mediante consentimento exige que se registre a manifestação de vontade do titular de forma específica e destacada, dando ciência do conhecimento sobre as finalidades específicas daquele tratamento.

§ 1º O consentimento pelo titular poderá ser feito por escrito ou outra forma pela qual fique inequívoca a sua manifestação de vontade.

§ 2º A existência do consentimento exige o mapeamento detalhado do processo da gestão do consentimento.

Art. 33 O tratamento mediante consentimento exige que se registre a manifestação de vontade do titular de forma específica e destacada, dando ciência do conhecimento sobre as finalidades específicas daquele tratamento.

§ 2º O consentimento pelo titular poderá ser feito por escrito ou outra forma pela qual fique inequívoca a sua manifestação de vontade.

§ 3º A existência do consentimento exige o mapeamento detalhado do processo da gestão do consentimento

Art. 34 O tratamento de dados pessoais pela Anatel independe do consentimento do titular quando for indispensável para o cumprimento de obrigação legal ou para a execução de políticas públicas legalmente previstas.

V - A manutenção dos dados pessoais é permitida para cumprimento de obrigação legal e regulatória e demais instrumentos normativos que tratam da matéria;

Art. 20. Os dados coletados pela Anatel por meio de suas páginas, sistemas e aplicativos serão excluídos de seus servidores quando deixarem de cumprir sua finalidade, devendo as Curadorias de Dados ~~a área custodiante dos dados~~ demandar a exclusão, ou quando o usuário solicitar a eliminação de seus dados pessoais, naqueles casos em que couber.

§ 1º A manutenção dos dados pessoais é permitida para cumprimento de obrigação legal e regulatória e seguirá o disposto em legislações e normativos vigentes.

§ 2º As demandas do titular deverão ser analisadas pela Curadoria de Dados ~~área custodiante dos dados~~ e pelo encarregado.

VI - Os dados pessoais deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado em cumprimento ao disposto no art. 25 da LGPD e no art. 8º, § 3º, da LAI, de forma a facilitar seu uso quando necessário.

Parágrafo único. Os dados pessoais deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado em cumprimento ao disposto no art. 25 da Lei nº 13.709, de 14 de agosto de 2018 e no art. 8º, § 3º, da Lei nº 12.527, de 18 de novembro de 2011, de forma a facilitar seu uso quando necessário.

Ainda sobre os artigos referentes ao Tratamento de dados, após as adequações já apontadas, incorporou-se integralmente, da minuta do Programa de Governança para a minuta da Política de Proteção de Dados, os arts. 23, 24, e seu § 1º, que passou a ser Parágrafo Único, art. 25, com os incisos I e IV, todos inseridos após o art. 22 da minuta da Política, renumerado para art. 23, após ajustes:

Art. 21 Na Anatel os dados pessoais são tratados para o cumprimento de obrigação legal ou regulatória e para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições da lei específica.

Art. 22 O tratamento de dados, no exercício da atividade regulatória dar-se-á, dentre outras, das seguintes formas:

II - Processamento dos requerimentos de obtenção e renovação de outorga dos serviços de telecomunicações e de uso de radiofrequência;

III - Processamento das solicitações dos consumidores dos serviços de telecomunicações;

IV - Processamento das solicitações de homologação de produtos de telecomunicações;

V - Processamento de requerimentos de informação para fiscalização da prestação dos serviços de telecomunicações;

VI - Recebimento e processamento de comentários e sugestões às Consultas Públicas e demais instrumentos de participação social;

VII - Processamento de dados relativos às empresas fornecedoras de bens e serviços; e

Art. 23 O legítimo interesse da Anatel como controlador poderá fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações contempladas em normativos.

Parágrafo único. A Anatel, como controlador, deverá elaborar relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Art. 24 As áreas responsáveis pelo tratamento de dados devem adotar medidas técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Art. 25 As áreas responsáveis pelas atividades de tratamento de dados pessoais devem manter registro das operações de tratamento de dados pessoais que realizarem.

Parágrafo Único. Toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento, e com quem os dados podem ser eventualmente compartilhados, segundo o Inventário de Dados.

Art. 26 O tratamento de dados pessoais pode ser realizado mediante enquadramento em uma das hipóteses legais previstas na LGPD.

I - No caso de tratamento de dados pessoais sensíveis, deve ser considerado o disposto no art. 11 da LGPD; e

II - O término do tratamento dos dados ocorre sempre que a finalidade de tratamento for alcançada, por determinação da ANPD ou por solicitação do titular dos dados quando couber.

Também houve a transferência para a Política dos arts. 32 ao 35 da minuta do Programa de Governança, referentes a Anonimização e Pseudonimização, exceto o caput do art. 32 e o §1º que já constam no art. 2º referente às definições, por serem considerados como medidas de proteção dos dados pessoais, conforme se depreende do art. 24 da minuta da Política:

Art. 24 Para proteger os dados do titular a Anatel poderá adotar, dentre outras, uma série de medidas, adequadas aos casos e com base em critérios de risco:

Por já constar a Seção Das Medidas de Proteção dos dados pessoais, sugeriu-se que os artigos referentes a Anonimização e Pseudonimização constantes originalmente na minuta do Programa de Governança, fossem incorporados na Política como Subseção dessa.

Em relação à Seção Gestão de incidentes de dados, ressalta-se que foi expedida recentemente a Portaria Anatel nº 1.962, de 29 de abril de 2021 (SEI nº 6829892), que aprovou o Plano de Resposta a Incidentes de Privacidade e Remediação da Anatel. Portanto, procedimentos específicos sobre a questão, que constavam originalmente na minuta da Política, foram excluídos e endereçados a normativo próprio:

Art. 26 O processo de gestão de incidentes de dados é iterativo, contínuo e tem por objetivo interromper e/ou minimizar os impactos decorrentes dos incidentes de vazamento ou uso indevido dos dados dos titulares.

§ 1º A Anatel, por intermédio do encarregado, ao tomar conhecimento de qualquer incidente, deverá notificar o fato imediatamente à Autoridade Nacional de Proteção de Dados.

§ 2º A Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Anatel (ETIR/Anatel) deverá tomar as medidas para correção do incidente e das vulnerabilidades associadas.

§ 3º A comunicação com os titulares de dados afetados pelo incidente e com a Autoridade Nacional de Proteção de Dados será feita nos termos da lei específica e normativos que especifiquem os procedimentos.

Art. 35 O processo de gestão de incidentes de dados é iterativo, contínuo e tem por objetivo interromper e/ou minimizar os impactos decorrentes dos incidentes de vazamento ou uso indevido dos dados dos titulares.

Art. 36 A Anatel estabelecerá, em normativo próprio, o procedimento relativo à gestão de incidentes de dados pessoais.

Por fim, constava um artigo, no capítulo referente às Disposições Finais, sobre a entrada em vigência da norma. Como tal referência já consta do art. 2º da Resolução Interna, esse artigo deve ser excluído.

Assim, a partir da alteração da estrutura dos capítulos, das seções e de alguns artigos, houve necessidade de renumerar os capítulos “DA GOVERNANÇA DA PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS” e “DAS DISPOSIÇÕES FINAIS”.

O resultado dos ajustes na estrutura pode ser visualizado na tabela comparativa abaixo:

Todos os ajustes propostos para a Política de Proteção de Dados Pessoais constam na Minuta de Resolução Interna PR (SEI nº 6918537).

Como já anteriormente demonstrado, a LGPD prevê, de forma expressa, a possibilidade de implementação de programa de governança em privacidade e estabelece seus requisitos mínimos.

Além da previsão legal, o Ministério da Economia lançou, em outubro de 2020, o Guia de elaboração de Programa de Governança em Privacidade, com o objetivo de orientar a elaboração do Programa por órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional.

Destaca-se uma primeira orientação apresentada pelo Guia, relevante para análise da proposta apresentada pela ARU:

Vale ressaltar que, ao contrário de um projeto, que tem início, meio e fim, um programa estabelece uma metodologia abrangente que influenciará permanentemente os processos de tomada de decisão com base em riscos e melhorias contínuas na maturidade. Pode-se, entretanto, criar projetos para se alcançar objetivos do programa. (grifos nossos)

Portanto, o Programa não deve ser confundido com a execução de um projeto. Ele deve ser tratado como uma metodologia abrangente, que envolve a análise de riscos e a promoção de melhorias contínuas, relacionada ao tratamento de dados pessoais no âmbito da Agência.

A proposta de estabelecimento do Programa de Governança em Privacidade da Anatel (PGP), apresentada pela ARU, está organizada da seguinte forma:

Em relação ao Capítulo I da minuta, conforme já demonstrado no item 4.32 deste Voto, os arts. 2º ao 14 da minuta do Programa constam integralmente na minuta da Política, nos arts. 5º ao 17. Optou-se por manter esses artigos na Política de Proteção de Dados Pessoais, conforme conclusões apresentadas no item 4.33 deste documento.

Com isso, o Capítulo II da minuta, designado “Diretrizes do Programa”, incorporou o art. 1º, anteriormente constante do Capítulo I. Como resultado, temos a seguinte redação:

Art. 1º O Programa de Governança em Privacidade da Agência Nacional de Telecomunicações define diretrizes para a gestão da segurança do tratamento dos dados pessoais, nos meios físicos e digitais, em tratamentos manuais ou automatizados, com o propósito de proteger a privacidade dos titulares de dados pessoais.

Art. 2º O posicionamento da Anatel acerca da privacidade e da proteção dos dados pessoais é pautado na relação de confiança com os titulares dos dados pessoais por meio de uma atuação transparente.

Art. 3º A identificação dos tratamentos dos dados pessoais deve ser orientada por processos e serviços, tendo como base a Cadeia de Valor da Anatel e como referência o Inventário de Dados Pessoais.

Art. 4º As adequações dos processos, sub-processos, procedimentos e dos sistemas que dão suporte são de responsabilidade das áreas que tratam de dados pessoais e podem contar com o apoio técnico do encarregado pelo tratamento de dados pessoais, da estrutura de apoio ao encarregado e da Coordenação de Projetos e Processos.

Art. 5º A proposta de novos processos de negócios, novos regulamentos, procedimentos ou sistemas deve adotar condutas relacionadas à privacidade e proteção de dados desde a sua concepção, podendo ser submetidas ao encarregado para verificação de conformidade nos casos em que a área proponente identificar o tratamento de dados pessoais.

Art. 6º Os incidentes relacionados à violação de privacidade ou que gerem danos aos titulares de dados devem ser encaminhados ao encarregado, que deve realizar o tratamento em conjunto com a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Anatel (ETIR/Anatel).

Art. 7º As revisões de processos de negócio e sistemas devem considerar o nível de risco que os Relatórios de Impacto à Proteção de Dados apresentarem, sendo este um dos elementos a serem considerados na definição de prioridades na alocação de recursos de segurança da informação.

Art. 8º Os processos e documentos físicos arquivados e os processos eletrônicos concluídos devem ser analisados quanto à restrição de acesso, conforme a Lei nº 12.527, de 18 de novembro de 2011 (LAI) e a Lei nº 13.709, de 14 de agosto de 2018 (LGPD), nos casos de desarquivamento ou reabertura por solicitação da área interessada ou para atendimento de pedido de vistas.

Art.9º Os sistemas em desuso devem ser analisados para adequação à LGPD apenas nos casos em que houver solicitação de compartilhamento de base de dados, na qual estejam contidos dados pessoais.

O Capítulo III, “Do Tratamento de Dados Pessoais”, conforme explicitado no item 4.38, foi incorporado na Política de Proteção de Dados Pessoais, com algumas adequações necessárias de redação, para evitar redundâncias.

O conteúdo do Capítulo VI, “Da Anonimização e Pseudonimização”, conforme indicado nos itens 4.41 e 4.42, foi absorvido pela Política de Proteção de Dados Pessoais.

Assim como na proposta da Política de Proteção de Dados Pessoais, houve necessidade de alteração na estrutura da norma proposta para o Programa de Governança, como será explicado à frente.

O Guia de elaboração de Programa de Governança em Privacidade apresenta, de forma bem didática, as etapas do Programa, assim como orientações em relação à sua elaboração. É importante ressaltar que não se trata de um modelo vinculante, que precisa ser adotado exatamente como proposto, por todos os órgãos. Porém, observa-se da proposta apresentada pela ARU, que estamos seguindo o modelo sugerido pelo Ministério da Economia.

Conforme demonstrado no Guia, o programa foi estruturado em três etapas, conforme figura abaixo:

Essa estrutura é inspirada no ciclo PDCA (Plan, Do, Check e Act) bem como nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27701:2019. Tecnologia da Informação - Técnicas de Segurança – Código de Prática para controles de segurança da informação e ABNT NBR ISO/IEC 27005:2011. Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação.

Para cada uma dessas etapas, são previstos marcos, conforme demonstrado em trechos destacados do Guia:

A etapa de Iniciação e Planejamento busca compreender quais são as primeiras informações e os dados importantes que devem ser conhecidos. Com isso em mente, essa etapa é constituída pelos marcos apresentados na Figura 4, que serão detalhados a seguir

... os marcos a serem alcançados na etapa de Construção e Execução, apresentados na Figura 8, serão descritos e detalhados.

Acompanhar a conformidade à LGPD é uma atividade contínua e necessária para os órgãos e entidades manterem PGP a longo prazo. Assim sendo, esta última etapa do PGP aborda aspectos, detalhados nas próximas seções, que incluem, em grande parte, coleta e análise de informações, bem como elaboração de relatórios e apresentações de resultados. A Figura 9 apresenta os marcos da Etapa de Monitoramento, que serão apresentados a seguir.

A partir da estrutura proposta no citado Guia, observou-se, na proposta de Programa de Governança apresentada, que alguns capítulos específicos da minuta são, na verdade, referentes a marcos presentes nas três etapas específicas do modelo apresentado no Guia.

Assim, foi identificada a necessidade de adequação da estrutura da norma proposta, de forma que os capítulos propostos, relativos a marcos de cada uma das etapas, estejam organizados sob esta lógica.

Além disso, a estrutura do Programa de Governança em Privacidade, objeto principal da proposta, foi apresentada apenas no Capítulo VIII da minuta, designado “Da Governança”.

Para endereçamento destas questões, os Capítulos IV, V, VII e VIII da minuta proposta foram reorganizados como seções, subseções ou artigos de um novo capítulo que apresenta o escopo do Programa de Governança em Privacidade.

Propõe-se, com isso, a criação de capítulo que apresente a estrutura, as etapas e os marcos do Programa. Ressalta-se que tal estrutura já consta da proposta original, apresentada em representação gráfica, no art. 41 da minuta.

Sugere-se que este capítulo seja inserido após aquele que define as Diretrizes do Programa. Além disso, sugere-se que a estrutura do Programa, demonstrada em representação gráfica, se torne Anexo do Programa de Governança em Privacidade da Anatel, para que no Anexo da Resolução Interna sejam apresentados e detalhados todos os aspectos relevantes de cada etapa e seus respectivos marcos, além dos demais capítulos propostos.

A partir da experiência já adquirida pela Agência em relação à implementação da LGPD e das orientações relevantes apresentadas pelo Guia do Ministério da Economia, identificou-se, ainda, a necessidade de inclusão de alguns parágrafos, de forma a complementar as informações já trazidas na proposta apresentada pela área técnica.

Assim, os artigos 40 e 41 da minuta proposta foram utilizados, com ajustes pontuais de redação, no novo capítulo proposto designado “Do Programa de Governança em Privacidade da Anatel”, conforme demonstrado abaixo:

Art. 10 O Programa de Governança em Privacidade da Anatel (PGP) norteará as ações da Anatel no sentido de permitir melhoria do nível de maturidade e de conformidade à Lei Geral de Proteção de Dados Pessoais (LGPD).

Art. 11 São etapas do Programa de Governança em Privacidade, a serem implementadas sob a coordenação do encarregado:

§ 1º. As etapas estabelecidas nos incisos I ao III do caput sãos constituídas de marcos, que não exigem sua execução de forma sequencial, inclusive entre etapas.

§ 2º. Podem ser definidos projetos, normativos internos, entre outras ações, para alcance dos resultados esperados no Programa.

§ 3º. Os marcos de cada etapa podem ser de execução contínua ou pontual, conforme suas características.

§ 4º. A estrutura do Programa de Governança em Privacidade da Anatel consta como Anexo.

Como forma de complementar a proposta apresentada, com informações e diretrizes mais específicas em relação a cada uma das etapas do Programa, sugere-se a criação de Seções específicas, referentes a cada uma das etapas. Com isso, sugere-se também que aqueles capítulos da proposta identificados como marcos (ou relacionados a determinados marcos), conforme o Guia, sejam dispostos como Subseções específicas, de acordo com a etapa em que se encaixa.

Neste sentido, sugere-se que o art. 39 da minuta do Programa, constante de capítulo proposto sobre governança, seja incorporado como artigo da Seção relativa à etapa de Iniciação e Planejamento, e o Capítulo V, referente ao inventário de dados, seja disposto como Subseção dessa nova Seção, conforme demonstrado abaixo:

Art. 12 A etapa de Iniciação e Planejamento busca compreender quais as primeiras informações e os dados importantes que devem ser conhecidos, e é constituída pelos seguintes marcos:

V – Instituição de estrutura organizacional para governança e gestão da proteção de dados pessoais;

Art. 13 No alinhamento de expectativas com a Alta Gestão, devem ser analisadas e priorizadas as ações mais urgentes para adequação à LGPD.

Art. 14 Para levantamento dos contratos relacionados a dados pessoais, deve ser realizado o mapeamento dos contratos que coletam, transferem e processam dados pessoais.

Art. 15 A governança de privacidade e proteção de dados inclui as estruturas de gestão de incidentes, a Comissão de Tecnologia da Informação e Comunicação, a Comissão de Gestão de Dados, o Comitê de Gestão de Riscos e o encarregado.

Art. 16 O Catálogo de Dados deve ser adaptado para contemplar informações relacionadas ao cumprimento da LGPD, incluindo campos específicos para classificação dos dados, informações para facilitar a elaboração de Relatórios de Impacto à Proteção de Dados e informações sobre compartilhamento de dados pessoais.

Art. 17 No Inventário de Dados pode ser definido os canais de publicação externa de bases de dados.

Em relação à etapa de Construção e Execução, foram propostos novos artigos, sendo um deles relativo ao tema de segurança da informação e das comunicações, de forma a endereçar o tema para a Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel). Além disso, sugere-se que o Capítulo IV, “Da comunicação com os titulares dos dados” e o Capítulo VII, “Da Segurança da Informação” sejam definidos como Subseções relativas à Seção que trata da etapa de Construção e Execução, conforme demonstrado abaixo:

Art. 18 A etapa de Construção e Execução busca promover o gerenciamento de direitos individuais, o consentimento e a redução de responsabilidade por violação, e é constituída pelos seguintes marcos:

I – Estabelecimento de Políticas e práticas para proteção da privacidade do cidadão;

II – Disseminação da Cultura de segurança e proteção de dados e Privacy by Design;

III – Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD);

IV – Instituição de Política de Privacidade e Política de Segurança da Informação;

Art. 19 Para o público interno da Anatel, será estabelecida Política de Proteção de Dados Pessoais, com a finalidade estabelecer diretrizes para a proteção dos dados pessoais.

Art. 20 O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) deve descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Art. 21 A Anatel deve dispor, em seu site, no mínimo, das seguintes informações:

III - Link para o mecanismo de comunicação com o cidadão na esfera do Governo federal disponível no Gov.br;

IV - Informações sobre o sistema Anatel Consumidor - para requerimentos de direitos pelo titular.

Art. 22 O sistema Anatel Consumidor, ou outro que venha a substituí-lo, deve estar preparado para receber, realizar a triagem e responder consultas e reclamações dos titulares de dados.

Art. 23 Todos os sistemas e aplicativos acessados por usuários externos e que contenham dados pessoais devem disponibilizar Termos de Uso para conhecimento do usuário.

Art. 24 Em caso de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante, o titular do dado deverá ser comunicado.

Art. 25 A utilização de medidas técnicas e administrativas que aprimorem a privacidade e a proteção dos dados pessoais deve ser pautada preferencialmente pelo diagnóstico de avaliação de risco.

Art. 26 A necessidade de investimento em segurança da informação, de forma a implementar sistemas de proteção efetivos de prevenção, detecção e remediação de vazamento de dados deve ser avaliada para verificar potenciais impactos na implementação do programa de governança em privacidade.

Art. 27 A Segurança da Informação e das Comunicações é definida pela Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel).

Ressalta-se que o art. 38 da minuta do Programa de Governança, referente à segurança da informação, não foi mantido, por já constar integralmente na Política de Proteção de Dados Pessoais, conforme se verifica no art. 24 da Minuta da Política:

Art. 38 Para proteger os dados do titular a Anatel poderá adotar, dentre outras, uma série de medidas, adequadas ao caso específico e com base em critérios de risco:

IX - Limitação de acesso aos dados pessoais conforme a necessidade de tratamento para atendimento de finalidade pública;

XI - Inclusão de cláusulas de confidencialidade em contratos e aplicação de sanções decorrentes de incidentes relacionados à privacidade;

XIII - Capacitação dos servidores que tratam dados para atualização permanente sobre medidas de proteção.

Art. 24 Para proteger os dados do titular a Anatel poderá adotar, dentre outras, uma série de medidas, adequadas aos casos e com base em critérios de risco:

IX - Limitação do acesso aos dados pessoais conforme a necessidade de tratamento para atendimento de finalidade pública;

XI - Inclusão de cláusulas de confidencialidade em contratos e aplicação de sanções decorrentes de incidentes relacionados à privacidade;

XIII - Capacitação dos servidores que tratam dados para atualização permanente sobre medidas de proteção.

Parágrafo único. A quebra do sigilo acarretará responsabilidade civil e o responsável será responsabilizado nos termos da legislação.

Em relação à etapa de Monitoramento, foi considerado o art. 60 da minuta proposta, que trazia a necessidade de se estabelecer indicadores de desempenho. Ajustou-se para indicadores de performance, apenas para alinhamento com a nomenclatura adotada pelo Guia. Além disso, conforme indicado no item 4.43, foi expedida recentemente a Portaria Anatel nº 1.962, de 29 de abril de 2021 (SEI nº 6829892), que aprovou o Plano de Resposta a Incidentes de Privacidade e Remediação da Anatel. Por este motivo, sugere-se indicar no Programa de Governança que o procedimento de gestão de incidentes da Anatel será estabelecido em normativo próprio.

Por fim, quanto aos marcos relativos à análise e ao reporte de resultados, sugeriu-se a inclusão de artigo indicando que cabe ao encarregado a coordenação da divulgação de resultados, interna e externamente.

Art 28 A etapa de Monitoramento busca acompanhar a conformidade da Anatel à LGPD, por meio de atividades de coleta, análise de informações, elaboração de relatórios e apresentações de resultados e é constituída pelos seguintes marcos:

Art. 29 Indicadores de Performance devem ser estabelecidos para a mensuração dos resultados do Programa.

Art. 30 O procedimento de gestão de incidentes da Anatel será estabelecido em normativo próprio.

Art. 31 Cabe ao encarregado coordenar a divulgação dos resultados do Programa, interna e externamente, de forma a demonstrar a evolução das ações e os resultados obtidos.

Especificamente em relação às atribuições apresentadas nos arts. 44 e 45 da minuta proposta (SEI nº 6650559), destaca-se que para o primeiro momento de implementação da LGPD na Anatel, quando foi designado o Encarregado e constituído o Escritório de Apoio à Proteção de Dados (EAPD) pela Portaria nº 1.197/2020, suas responsabilidades foram ali descritas, de forma a possibilitar a adequada execução das ações necessárias.

Entretanto, entende-se que, a partir da aprovação do Programa de Governança em Privacidade (PGP), os papéis e responsabilidades referentes à implementação da LGPD na Agência, por serem de caráter transversal, deverão ser definidos no âmbito do Programa, incluindo as atribuições do Encarregado e do EAPD, tal como proposto pela ARU. Neste sentido, a partir da aprovação do Programa, deverá ser revisada a Portaria nº 1.197/2020, para excluir as atribuições do Encarregado e do EAPD, que passarão a ser estabelecidas no escopo do Programa de Governança em Privacidade.

Para o capítulo referente às responsabilidades, houve propostas de ajustes bem pontuais, como, por exemplo, a inserção das Siglas das Superintendências e Assessorias, por serem utilizadas em outros pontos do artigo. Além disso, colocou-se no infinitivo os verbos dos incisos referentes às competências da Comissão de Gestão de Dados, para seguir o mesmo padrão utilizado para a lista de competência das demais áreas apresentadas no Capítulo.

No Capítulo X proposto, referente à atualização e vigência, também foram propostos ajustes pontuais de redação. No artigo referente ao cronograma de implementação do Programa, entende-se relevante indicar que esse será elaborado e atualizado sob coordenação do encarregado.

Art. 48 O Programa de Governança em Privacidade da Anatel deve ser contínuo e constantemente monitorado, devendo ser atualizado sempre que necessário, considerando, no mínimo, os resultados e informações constantes de relatórios, resultados dos Indicadores de Performance, da Gestão de Incidentes, entre outros.

Art. 49 O Cronograma de implementação do PGP será elaborado e atualizado sob coordenação do encarregado, de forma a contemplar responsabilidades, prazos e ser elemento de prestação de contas.

Por fim, conforme já indicado no item 4.67, sugere-se a criação do Anexo do Programa de Governança em Privacidade, com a representação gráfica da estrutura do Programa sugerida pela ARU.

O resultado dos ajustes na estrutura do Programa de Governança em Privacidade pode ser visualizado na tabela comparativa abaixo:

Todos os ajustes propostos no Programa de Governança em Privacidade constam na Minuta de Resolução Interna PR (SEI nº 6918718).

Ao longo da análise das propostas da Política de Proteção de Dados e do Programa de Governança em Privacidade, foi possível observar grande sinergia entre elas, que levou a necessidade de algumas adequações nas minutas encaminhadas, para melhor delimitação do objeto de cada uma.

É possível observar que o conteúdo das propostas foi aproveitado quase integralmente. Porém, entende-se que os ajustes na estrutura, assim como alguns acréscimos apresentados, trarão maior clareza, assim como uma melhor delimitação de cada norma.

A Anatel tem realizado diversas ações voltadas à implantação da LGPD, especialmente após a designação do Encarregado e do Escritório de Apoio. Grande parte dessas ações já realizadas, inclusive, constam no escopo do Programa de Governança em Privacidade proposto. Porém, conforme já destacado neste Voto, o Programa não pode ser entendido como um projeto, que tem início, meio e fim. Ele precisa ser incorporado à rotina da Agência e passar por melhorias ao longo de sua execução, de forma contínua, o que justifica a proposição da Resolução Interna apresentada.

Acredita-se que a aprovação das propostas apresentadas refletirá ainda mais o compromisso da Anatel com a conformidade a LGPD e poderá ser utilizada como instrumento de prestação de contas.

Em face do exposto, proponho a aprovação da Política de Proteção de Dados Pessoais e do Programa de Governança em Privacidade, com os ajustes propostos, nos termos das Minutas de Resolução Interna PR (SEI nº 6918537 e 6918718).

Em face do exposto, voto por aprovar a Política de Proteção de Dados Pessoais e o Programa de Governança em Privacidade nos termos das Minutas de Resolução Interna PR (SEI nº 6918537 e 6918718).

Documento assinado eletronicamente por Leonardo Euler de Morais, Presidente do Conselho, em 02/06/2021, às 18:37, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 6914312 e o código CRC 70F608AC.