1. CONHECENDO O BÁSICO
Todo mundo já está cansado de saber que dados pessoais são o novo petróleo. Mas não podemos desconsiderar que, em um mundo altamente conectado, e diante da utilização de ferramentas como o ChatGPT, é importante que estejamos preocupados com a proteção desses direitos fundamentais expressamente reconhecidos por nossa Constituição da República.
Por isso, você já parou para pensar sobre quem fiscaliza e sanciona agentes responsáveis pelo tratamento de dados pessoais? Pois é, este roteiro tem por objetivo retratar as competências fiscalizatórias e sancionatórias destinadas à Autoridade Nacional de Proteção de Dados (ANPD).
Para que possamos refletir um pouco, vou trazer duas notícias recentes:
A primeira se refere a um processo de fiscalização envolvendo vinte empresas de grande porte que não indicaram o contato do encarregado pelo tratamento de dados pessoais, além de empresas que não disponibilizaram um canal de comunicação adequado para atender aos titulares de dados. Dentre elas estão: BlueFit Academias de Ginástica e Participações S.A. (Bluefit); Bytedance Brasil Tecnologia Ltda (TikTok); Dell Computadores Do Brasil Ltda (Dell); Equatorial Goiás Distribuidora de Energia Elétrica S/A (Equatorial Energia); Escritório Administrativo Clínicas Inteligentes Ltda (Clínica Vamos Sorrir); Eventim Brasil São Paulo Sistemas e Serviços de Ingressos Ltda. (Eventim); GRPQA Ltda. (Quinto Andar); Hurb Technologies S.A. (Hurb); I.B.A.C Indústria Brasileira de Alimentos e Chocolates (Cacau Show); Latam Airlines Group S.A. (Latam Airlines); Open Education LLC (Open English); Parperfeito Comunicação S.A. (Tinder); Rede Saúde Total Cartão de Benefícios Ltda. (Saúde Total); Ser Educacional S.A. (UniNassau); Serasa S.A. (Serasa); SS Comercio de Cosméticos e Produtos de Higiene Pessoal Ltda. (Jequiti Cosméticos); Telefonica Brasil S.A. (Vivo); Telegram Messenger Inc (Telegram); Uber Do Brasil Tecnologia Ltda. (Uber); e X Brasil Internet Ltda. (X Corp./Twitter). Conforme consta no site da ANPD, a fiscalização tem o objetivo de garantir que todas as empresas que foram notificadas se adequem às exigências legais, regularizando a indicação de um encarregado ou de um canal de comunicação que seja de fato efetivo aos consumidores.
A segunda notícia diz respeito à publicação, pela Coordenação-Geral de Fiscalização da ANPD (CGF ANPD), de sanção aplicada contra a Secretaria de Saúde do Estado de Santa Catarina (SES-SC). A CGF concluiu que: (i) a SES-SC negligenciou a segurança dos sistemas de armazenamento de dados pessoais dos cidadãos atendidos pelo sistema estadual público de saúde; (ii) a SES-SC sofreu um incidente de segurança e não comunicou quais dados pessoais poderiam ter sido afetados de forma clara, adequada e tempestiva. Neste incidente, foram afetados dados pessoais de aproximadamente 300 mil titulares, que não receberam comunicação do referido órgão.
Os exemplos acima se referem a dois tipos de competências exercidas pela ANPD: a de fiscalização e a de sanção.
Porém, para nos debruçarmos sobre este tema, é preciso que compreendamos a classificação destinada à ANPD no Direito Administrativo.
O debate em torno de sua natureza jurídica, inclusive, inicia-se com uma polêmica: é ou não a ANPD uma agência reguladora? Já lhes adianto que não: a ANPD é uma autarquia de natureza especial em sentido estrito. Como será esclarecido, nossa autoridade, cuja natureza jurídica foi definida concomitantemente à publicação da atual Lei das Agências Reguladoras, não consta no rol do art. 2º da lei, além de outras especificidades que serão retratadas adiante. Mas, afinal, o que isso tem a ver com o assunto? Bom, como sabemos, a Administração Pública é formada por diversas entidades. Às agências reguladoras, integrantes da administração indireta, são destinadas algumas competências, tais como expedir atos normativos, exercer regulação, fiscalização e sanção. Por isso, possuem maior autonomia frente às demais entidades.
Na realidade, a ANPD foi pensada para ser uma agência reguladora. Porém, até o advento da Lei 14.460/2022, que lhe conferiu natureza jurídica de autarquia em regime especial, a ANPD não possuía personalidade jurídica própria e estava subordinada ao Ministério da Justiça. Ou seja, isto feria a autonomia da entidade em relação ao exercício de suas competências, que já estavam definidas em lei, e a maior crítica que se fazia é que a fiscalização e a sanção em relação ao ente estatal (que também é responsável por tratar dados pessoais) seriam prejudicadas. Portanto, entender a estrutura da Administração Pública e as competências destinadas aos entes que a compõem é o ponto de partida para a compreensão do funcionamento da ANPD.
Atualmente, a ANPD está vinculada ao Ministério da Justiça e Segurança Pública, e a ela foram destinadas competências regulatória, normativa, fiscalizatória e sancionatória. Nosso objeto, neste roteiro, é abordar as duas últimas.
O poder fiscalizatório consiste na realização de procedimentos de auditorias e inspeções em entidades que realizem atividades de tratamento de dados pessoais. A atuação de forma autônoma visando ao controle e à fiscalização é muito importante quando se considera a hipossuficiência do titular de dados, pois garante a igualdade entre estes e os agentes que realizam sua coleta, tratamento e armazenamento.
Por sua vez, quanto à competência sancionatória, a ANPD possui o papel de entidade central quanto ao estabelecimento de normas e diretrizes relacionadas à imposição de sanções administrativas. O artigo 52 da LGPD estabelece as penas a que os agentes de tratamento de dados pessoais estão sujeitos, lembrando que, caso o infrator seja integrante da Administração Pública, não serão aplicadas as sanções de multa simples e multa diária, pois o legislador considerou uma incongruência a punição monetária ao próprio erário. As sanções apenas serão aplicadas, de forma isolada ou cumulativa, após o devido processo administrativo sancionador.
É preciso observar que não só a LGPD, mas outras legislações também preveem sanções a serem aplicadas a entidades que cometam algum tipo de infração relativa ao tratamento de dados pessoais. Por isso, o §2º do artigo 52 da LGPD estipula que as sanções ali previstas não substituem as constantes em outros microssistemas, como o Marco Civil da Internet ou o Código de Defesa do Consumidor. O intuito do legislador foi conferir à LGPD unicidade ao estabelecer alguns critérios, além de orientar a correlação entre a ANPD e outros órgãos e entidades quem também possuem competências para impor sanções, como é o caso do Procon, por exemplo.
Por fim, é importante notar que a ANPD optou por aplicar o sistema de regulação responsiva a seus procedimentos, e essa escolha traz impacto direto nas competências de fiscalização e sanção.
Explico: em vez de a ANPD apurar uma infração com a finalidade de aplicar sanções, seu objetivo é priorizar a participação dos setores regulados na elaboração das normas e regulamentos. A ANPD optou, assim, por um caminho de diálogo com o setor regulado.
2. CONECTANDO-SE COM A REALIDADE JURÍDICA E ADMINISTRATIVA
A importância de se conferir autonomia e independência à ANPD reside no fato de que ela deve ser uma entidade equidistante entre o titular de dados pessoais, as entidades privadas e a própria Administração Pública, uma vez que também o Poder Público possui competência para tratar dados pessoais. Quando houve o veto ao artigo 55 da LGPD, Felipe de Paula e Beto Vasconcelos trouxeram uma visão muito lúcida sobre o assunto no texto abaixo, que gosto de compartilhar devido à crítica translúcida:
A autoridade nacional de proteção de dados: origem, avanços e pontos críticos
Por Beto Vasconcelos e Felipe de Paula
(In: Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro. TEPEDINO, Gustavo, FRAZÃO, Ana; OLIVA, Milena Donato (Coord.) São Paulo: Revista dos Tribunais, 2019, p. 733)
Ao revogar, em uma tacada só, os dois dispositivos previstos na LGPD original, eliminou-se o comando legal que previa importante mecanismo de informação e transparência ao titular de dados pessoais para garantia de seus direitos. Revogou-se, também, competência regulamentar prevista à ANPD, que poderia disciplinar de forma eficiente e eficaz a forma pela qual o direito à informação do titular de dados pessoais seria protegido sem inviabilizar o bom desenvolvimento de políticas públicas. A MP 869/2018 criou, dessa maneira, assimetria regulatória injustificável e perigosa, ao exigir do Poder Público reduzido grau de accountability diante de eventual tratamento de dados pessoais. A crítica que se coloca ao debate é, portanto, no sentido de se alertar para a reduzida capacidade legal de a ANPD regular e fiscalizar a atuação do Poder Público no tratamento de dados pessoais. Essa deficiência não nos parece casual mas, sim, desenhada com claro intuito limitador. Desde já, aponta preocupante possibilidade de propósitos distorcidos no tratamento de dados de cidadãs e cidadãos por órgãos e entidades públicas.
Inclusive, sobre o fato de a ANPD não ser agência reguladora, mas autarquia em regime especial em sentido estrito, esta autora escreveu um pequeno texto, que compartilho neste momento:
[…]
Segundo Alexandre Aragão, a fim de que uma entidade componente da Administração Pública seja classificada como agência reguladora, é necessário que estejam presentes algumas características, quais sejam: (1) atribuição de competências regulatórias; (2) impossibilidade de exoneração ad nutum de seus dirigentes; (3) organização colegiada; (4) formação técnica; e (5) impossibilidade de interposição de recursos hierárquicos impróprios contra suas decisões. Sob essa ótica, o autor conclui que: CMN e Bacen não são agências reguladoras, muito embora exerçam funções regulatórias; a CVM, apesar de não ser entidade reguladora e possuir autonomia orgânica, não possui autonomia funcional, já que suas decisões estão sujeitas à interposição de recursos hierárquicos impróprios à administração direta; o Cade também não é agência reguladora, apesar de sua natureza independente e o exercício de atividade regulatória.
[…]
Outro ponto que nos faz concluir que o intuito do legislador era que a ANPD funcionasse como agência reguladora é a superficial observância das competências: (1) normativa, pela qual pode estabelecer normas gerais ou standards; (2) fiscalizatória, pela qual pode restringir ou condicionar liberdades e direitos nos termos do que estabelece a lei; (3) sancionatória, consistente na aplicação de penalidades impostas pela Administração Pública quando do descumprimento de determinada norma; e (4) regulatória, pela qual a entidade pode propor atos incitativos ou indicativos cujo propósito é promover restrições intencionais de eleição com o objetivo de beneficiar a coletividade.
[…]
Dessa forma, o que de fato distingue as autarquias em sentido estrito das autarquias em regime especial é que a estas é conferido, tanto pela Constituição da República, quanto pela respectiva lei criadora, maior grau de autonomia e independência.
Definida a natureza jurídica da entidade, retrataremos as competências relacionadas à fiscalização e à sanção a serem exercidas pela ANPD. Para tanto, sugiro analisarmos como a própria ANPD define seus processos de fiscalização e sanção (lembrando que tais competências, além de estarem previstas na LGPD, estão especificadas nas Resoluções CD/ANPD nº 1/ANDP nº 1, de 28 de outubro de 2021, retificado por meio da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023). Começaremos pelo conceito de fiscalização contido no site da ANPD:
A ação da ANPD nessa área consiste no monitoramento, orientação, prevenção e repressão frente aos agentes de tratamento de dados de modo a assegurar a conformidade com a Lei Geral de Proteção de Dados (LGPD). O monitoramento ocorre por meio da coleta de informações e dados para a tomada de decisões e para assegurar o funcionamento adequado do ambiente regulado. A orientação visa promover a conscientização e educação dos agentes de tratamento e titulares de dados. A prevenção envolve a colaboração com o agente regulado para corrigir ou evitar problemas que possam afetar os titulares de dados e outros agentes. A repressão, por sua vez, é uma abordagem coercitiva, focada em interromper práticas prejudiciais, assegurar a conformidade e aplicar sanções por meio de processos administrativos sancionadores, precedidos ou não de procedimentos preparatórios. Informações adicionais sobre cada uma dessas etapas podem ser encontradas no Regulamento da Fiscalização, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, retificado por meio da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023.
Por sua vez, serão trazidos, a seguir, os conceitos de sanção e de processo administrativo sancionador, cujo intuito consiste em aplicar eventual punição à entidade pública ou privada que cometeu alguma infração relativa ao tratamento de dados pessoais:
A atividade repressiva se caracteriza pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à reparação dos danos, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas na LGPD, por meio de Processo Administrativo Sancionador. Na ausência de indícios suficientes para confirmar a materialidade da autoria, o Processo Administrativo Sancionador pode ser precedido do Procedimento Preparatório.
Processo preparatório: A ANPD poderá realizar averiguações preliminares, por iniciativa própria ou mediante requerimento, quando os indícios da prática de infração não forem suficientes para a instauração imediata do Processo Administrativo Sancionador. Um dos meios para a elucidação dos fatos são as diligências, nos termos da LGPD e da regulamentação vigente. Após a instrução do procedimento preparatório, a Autoridade pode optar por arquivá-lo ou iniciar o Processo Sancionador, embora possa instaurá-lo diretamente se a infração for grave, reincidente ou afetar gravemente os direitos pessoais.
Procedimento Administrativo Sancionador: Esse tipo de processo visa apurar infrações à legislação de proteção de dados, podendo ser iniciado de ofício, por meio do monitoramento ou por requerimento. Uma vez instaurado via despacho de instauração, não cabe recurso administrativo contra sua instauração. A condução do Processo é pautada por princípios de legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa e eficiência, observando critérios como adequação entre meios e fins, respeito às formalidades essenciais, impulso de ofício do processo e interpretação normativa que atenda ao interesse público.
A instauração de processo sancionador não significa condenação ou certidão de que o autuado faz tratamento ilegal de dados pessoais. Em respeito aos princípios do contraditório e da ampla defesa, o autuado terá oportunidade de se manifestar no processo, apresentando seus argumentos de defesa e provas com o objetivo de demonstrar que sua atuação não viola a LGPD.
É importante lembrar que esses mecanismos de proteção de dados pessoais e eventuais sanções a serem aplicadas em caso de infrações estão previstos também em outras legislações, como é o caso do Código de Defesa do Consumidor ou do Marco Civil da Internet. Assim, um dos motivos pelos quais a LGPD conferiu centralidade à ANPD foi justamente o de evitar conflitos na aplicação de sanções. Sobre este assunto, recomendo artigo da Diretora da Autoridade Nacional de Proteção de Dados, Miriam Wimmer:
Os desafios do enforcement na LGPD: fiscalização, aplicação de sanções administrativas e coordenação intergovernamental
Por Miriam Wimmer
(In: DONEDA, Danilo; SARLET, Ingo Wolfgang; MENDES, Laura Schertel; RODRIGUES JÚNIOR, Otavio Luiz. Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense. Edição do Kindle)
No que tange especificamente ao tema da proteção de dados pessoais, é importante destacar que, mesmo antes do advento da LGPD, o ordenamento jurídico brasileiro já contava com diversas normas gerais e especiais que estabeleciam mecanismos protetivos para os cidadãos quanto ao tratamento de seus dados, a exemplo do Código de Defesa do Consumidor – CDC, da Lei do Cadastro Positivo, da Lei de Acesso à Informação – LAI, do Marco Civil da Internet – MCI, entre outras. Tais exemplos ilustram não apenas a variedade de normas preexistentes acerca do assunto que veio a ser disciplinado de maneira transversal pela LGPD, como também permite vislumbrar a grande quantidade de órgãos e entidades públicos que potencialmente poderiam ser considerados competentes para atuar em casos concretos envolvendo o mau uso de dados pessoais, dentre os quais têm destaque os órgãos de proteção e defesa do consumidor (em particular, os Procons e o Ministério Público), agências reguladoras e órgãos com competências normativas e sancionadoras em áreas como telecomunicações, saúde, mercado financeiro e educação. Ademais, observando-se a tendência de que também Estados e municípios adotem legislações referentes à proteção de dados pessoais, podem ainda existir órgãos competentes quanto ao tema em níveis estadual e municipal. A possibilidade de interferência entre normas oriundas de diferentes microssistemas normativos é bastante clara quando se trata de normas jurídicas e órgãos públicos orientados a objetivos relacionados à proteção de direitos de cidadãos ou consumidores. Assim, é possível conceber casos concretos em que uma mesma conduta envolvendo o uso de dados pessoais seja considerada ilícita à luz de duas ou três normas simultaneamente, atraindo a competência concorrente de uma pluralidade de órgãos públicos.
[…] Em linha com esse raciocínio, a LGPD atribuiu à ANPD o papel de órgão central na interpretação da LGPD e no estabelecimento de normas e diretrizes para sua implementação, definindo que suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública. A Lei atribuiu, ainda, à ANPD um comando positivo de coordenação com outros órgãos e entidades da Administração Pública, destacando-se a responsabilidade por realizar articulação com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e de manter fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD. Tais dispositivos permitem entrever os contornos de um sistema brasileiro de proteção de dados, no qual a ANPD exerce o papel de órgão central, cabendo-lhe não apenas a primazia na uniformização de conceitos, na interpretação e na aplicação da LGPD, mas também um papel ativo no engajamento construtivo com outros órgãos públicos com competências correlatas.
Outro aspecto importante no que diz respeito a ambas as competências é que estas se relacionam à competência regulatória. Isto porque a tendência das autoridades de proteção de dados pessoais é migrar de um sistema de comando e controle para um sistema de regulação responsiva, que tem impacto direto nos processos de fiscalização e sanção. Sobre isso, a Diretora Miriam Wimmer havia se manifestado em episódio do podcast “Conectando o Direito”:
A fim de que possamos entender melhor do que se trata a regulação responsiva, trago parte da tese de doutorado da professora Alice Voronoff, que retratou o assunto de forma bastante profunda e didática:
Por um discurso de justificação e aplicação para o direito administrativo sancionador no Brasil
Por Alice Voronoff
(Tese de Doutorado. Universidade do Estado do Rio de Janeiro, 2017, p. 118-121)
De fato, se a resposta estatal deve variar de acordo com o posicionamento do agente regulado, é preciso, antes, identificar esse comportamento e qualificá-lo (como cooperativo ou não). Mas como fazê-lo? E qual o exato momento em que deve ser disparada uma arma mais restritiva, com progressivo conteúdo sancionatório? Mais ainda: como mapear infrações e responder adequadamente a cada uma delas se as condições institucionais no interior da Administração Pública são muitas vezes precárias e desafiadoras? Modelos teóricos factíveis precisam considerar obstáculos como a escassez de recursos e de tempo, as diversas pressões políticas, a falta de clareza das finalidades regulatórias e a assimetria de informação entre o regulador e o regulado. Não bastasse tudo isso, há ainda um problema de avaliação. É que, nas condições acima mencionadas, o regulador nem sempre tem meios nem expertise para avaliar a efetividade de suas estratégias regulatórias. Por vezes, ele sequer tem consciência da importância dessa verificação.
É diante dessas provocações que Robert Baldwin e Julia Black propõem uma abordagem dita ainda mais responsiva do que a de Ayres e Braithwaite. Segundo eles, a really responsive regulation busca levar a sério o cenário de restrições e dificuldades a que submetidos os reguladores. Para tanto, é preciso expandir a dimensão de responsividade do modelo, para considerar não apenas o comportamento dos agentes regulados, mas também os seguintes cinco fatores: (i) a estrutura cognitiva e operacional que molda o comportamento dos agentes regulados diante da regulação; (ii) os aspectos institucionais mais amplos do ambiente em que o regulador atua; (iii) as dificuldades lógicas operativas das ferramentas e estratégias regulatporias e as possibilidades de sua combinação; (iv) a avaliação permanente do desempenho do regime regulatório); e (v) as mudanças nas prioridades, circunstâncias e objetivos regulatórios.
[….] Em primeiro lugar, regular de forma realmente responsiva pressupõe atentar para a estrutura congnitiva e operacional dos agentes regulados – isto é, ao seu perfil atitudinal. […] A ideia é ilhar para o contexto mais amplo que molda a resposta do agente regulado ao regime regulatório.
[…] Segundo Robert Baldwin e Julia Black, a falta dessa abertura às mudanças seria uma das grandes deficiências do modelo de pirâmides sancionatórias e regulatórias. A pirâmide, afirmam eles, sinaliza à indústria que o Poder Público poderá adotar estratégias progressivamente mais severas, que vão da autorregulação à imposição de sanções incapacitantes. Mas o modelo não explica nem como detectar a necessidade do uso da resposta mais severa, nem como essa escalada punitiva deva ser manejada em um mundo em constantes mudanças.
3. DEBATENDO
A fim de que possamos pensar de forma mais profunda sobre o assunto, proponho refletirmos sobre os seguintes pontos:
- Por que a LGPD conferiu tratamento central à ANPD em relação às competências fiscalizatória e sancionatória? E no que isso implica na atuação da ANPD em relação às demais entidades da Administração Pública brasileira que possuem as mesmas competências?
- Levando em conta o que se expôs neste roteiro, qual a importância de se conferir independência à Autoridade Nacional de Proteção de Dados, considerando a composição da Administração Pública brasileira?
- Analisando-se os tipos de regulação praticadas no Brasil – comando e controle e responsiva –, você considera que a opção da ANPD é efetiva, tendo em vista o contexto atual de proteção de dados pessoais no cenário brasileiro?
- Sabendo que o Poder Público também é responsável pelo tratamento de dados pessoais, você considera incongruente a aplicação de penalidades às entidades públicas quando houver eventuais descumprimentos da LGPD? (Para refletir sobre esta questão, recomendo o texto do professor Ricardo Marcondes Martins, contido na bibliografia sugerida).
- Tendo em vista o que foi exposto neste roteiro, trago à tona o processo nº 5028572-20.2022.4.03.6100, em que houve condenação da ANPD, juntamente com os entes responsáveis pelo tratamento de dados pessoais, por suposto descumprimento da LGPD. Com base no material exposto acima, como pode ser analisada a decisão proferida neste processo?
4. APROFUNDANDO
Sugiro os seguintes artigos, livros e pesquisas caso haja interesse no aprofundamento da questão:
BIONI, Bruno Ricardo. Regulação e Proteção de Dados Pessoais: o princípio da accountability. Rio de Janeiro: Forense, 2022.
LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2020.
MARTINS, Ricardo Marcondes. Proteção de dados pessoais e Administração Pública. International Journal of Digital Law, Belo Horizonte, ano 2, n. 1, p. 133-149, jan./abr. 2021.
ÓPICE BLUM, Renato e ARANTES, Camila Rioja. Autoridades de controle, atribuições e sanções. In: Comentários ao GDPR. Regulamento Geral de Proteção de Dados da União Europeia. 4ª tiragem. Coordenação: MALDONADO, Viviane Nóbrega. ÓPICE BLUM, Renato. São Paulo: Thompson Reuters, Revista dos Tribunais, 2019.
OLIVEIRA, José Roberto Pimenta; PIRES, Mariana Ferreira da Cruz. Proteção de dados no Direito Administrativo Sancionador. A&C – Revista de Direito Administrativo & Constitucional, Belo Horizonte, v. 24, n. 95, p. 99–130, 2024. DOI: 10.21056/aec.v24i95.1764. Disponível em: https://revistaaec.com/index.php/revistaaec/article/view/1764.
SHCÜTZ, Philip. Data Protection Authorities under the EU General Data Protection Regulation. A New Global Benchmark. Disponível em: https://www.researchgate.net/publication/357528774_Data_Protection_Authorities_under_the_EU_General_Data_Protection_Regulation_A_New_Global_Benchmark_extended_version.
TORRES, Isabella Macedo. Autoridade Nacional De Proteção De Dados: Análise de competências e funcionamento a partir da definição da natureza jurídica. Dissertação de Mestrado apresentada à Universidade Federal Fluminense. Disponível em https://ppgdc.uff.br/wp-content/uploads/sites/681/2023/01/ISABELLA-MACEDO.pdf
VASCONCELOS, Beto e PAULA, Felipe de. A autoridade nacional de proteção de dados: origem, avanços e pontos críticos. In: Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro. 2ª Tiragem. Coordenação: TEPEDINO, Gustavo, FRAZÃO, Ana e OLIVA, Milena Donato. São Paulo: Thompson Reuters, Revista dos Tribunais, 2019.
VORONOFF, Alice. Da sanção à regulação: Fiscalização responsiva e uma proposta de sistematização. Rio de Janeiro: CEEJ, 2025.
WIMMER, Míriam. Os desafios do enforcement na LGPD: fiscalização, aplicação de sanções administrativas e coordenação intergovernamental. In: MENDES, Laura Schertel, DONEDA, Danilo, SARLET, Ingo Wolfgang, RODRIGUES JR., Otávio Luiz (coord.) Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021.