O inciso XIX do art. 5º da Lei Geral de Proteção de Dados define a autoridade nacional: “órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional”.
O Decreto nº 10.474/2020 aprovou a estrutura regimental e o quadro dos cargos em comissão e das funções de confiança da Autoridade Nacional de Proteção de Dados (ANPD).
Contudo, a norma só entrará em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União (art. 6º do Decreto nº 10.474/2020).
A ANPD não tem personalidade jurídica própria, é um órgão integrante da estrutura da Presidência da República, com autonomia técnica e decisória, atribuições em todo o território nacional, com sede e foro no Distrito Federal (art. 55-A da LGPD e art. 1º do Anexo I do Decreto nº 10.474/2020).
Essa natureza jurídica da ANPD é, inicialmente, transitória, porque poderá ser transformada pelo Poder Executivo em uma pessoa jurídica da Administração Pública federal indireta, submetida a um regime autárquico especial e vinculada à Presidência da República (art. 55-A, § 1º, da LGPD). Ressalva-se que essa transformação deve ocorrer em até dois anos, contados da data da entrada em vigor da estrutura regimental da ANPD (art. 55-A, § 2º, da LGPD).
Portanto, se a ANPD não for transformada em uma autarquia especial em até dois anos após a publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União, a sua personalidade transitória se tornará definitiva (a menos que haja a prorrogação desse prazo).
Por integrar a estrutura da Administração Pública Federal, os processos judiciais que tenham em seu objeto a prática de ato, omissão ou fato relacionado à ANPD (como, por exemplo, o questionamento de sanções impostas por ela ou da legalidade de uma resolução) são de competência da Justiça Federal (art. 109, I, da Constituição).
Entretanto, com exceção da possibilidade da indicação de autoridade coatora em mandado de segurança, as demandas devem ser propostas pela União ou contra ela, que deve defender e responder em juízo pela ANPD (que não tem capacidade de ser parte). Por isso, entre os órgãos seccionais, a Assessoria Jurídica da ANPD constitui um órgão setorial da Advocacia-Geral da União (art. 23 do Anexo I do Decreto nº 10.474/2020).
Do mesmo modo que, por exemplo, um Ministério, é a União que tem capacidade de ser parte e capacidade processual nos processos judiciais (e não a ANPD, enquanto não for eventualmente criada a sua personalidade jurídica própria).
Por outro lado, a ANPD tem autonomia técnica e decisória para, na estrutura do Poder Executivo federal, instaurar, processar e decidir os processos administrativos relacionados às suas atribuições (o que é referido, por exemplo, nos arts. 2º, IV, 9º e 26, I a VI, do Anexo I do Decreto nº 10.474/2020).
As atribuições da ANPD são (art. 2º do Anexo I do Decreto nº 10.474/2020):
(a) zelar pela proteção dos dados pessoais, de acordo com a legislação própria;
(b) zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações, quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º da LGPD;
(c) elaborar as diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
(d) fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
(e) apreciar petições de titular contra controlador após a comprovação pelo titular da apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
(f) promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
(g) promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
(h) estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
(i) promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
(j) dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
(k) solicitar aos órgãos e às entidades do Poder Público que realizam operações de tratamento de dados pessoais, informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;
(l) elaborar relatórios de gestão anuais acerca de suas atividades;
(m) editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade e sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD (Lei nº 13.709, de 2018);
(n) consultar os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e seu planejamento;
(o) arrecadar e aplicar suas receitas e publicar, nos relatórios de gestão, o detalhamento de suas receitas e despesas;
(p) realizar auditorias ou determinar sua realização, nas atividades de fiscalização e com observância dos segredos comercial e industrial, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o Poder Público;
(q) celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa, no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657/1942 (Lei de Introdução às normas do Direito Brasileiro);
(r) editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas, empresas de pequeno porte e iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação possam adequar-se ao disposto na LGPD;
(s) garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos da LGPD e do Estatuto do Idoso (Lei nº 10.741/2003);
(t) deliberar, na esfera administrativa, em caráter terminativo, sobre a LGPD, as suas competências e os casos omissos, sem prejuízo da competência da Advocacia-Geral da União regulada pela Lei Complementar nº 73/1993;
(u) comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
(v) comunicar aos órgãos de controle interno o descumprimento do disposto na LGPD, por órgãos e entidades da administração pública federal;
(w) articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
(x) e implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD (Lei nº 13.709/2018).
A estrutura da ANPD é a seguinte (art. 3º do Anexo I do Decreto nº 10.474/2020):
(a) um órgão máximo de decisão: Conselho Diretor;
(b) um órgão consultivo: Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
(c) três órgãos de assistência direta e imediata ao Conselho Diretor: Secretaria-Geral, Coordenação-Geral de Administração e Coordenação-Geral de Relações Institucionais e Internacionais;
(d) três órgãos seccionais: Corregedoria, Ouvidoria e Assessoria Jurídica;
(e) e três órgãos específicos singulares: Coordenação-Geral de Normatização, Coordenação-Geral de Fiscalização e Coordenação-Geral de Tecnologia e Pesquisa.