Resumo do webinário realizado pela ANPD sobre o tratamento de dados pessoais de alto risco: Estudo preliminar da minuta do guia orientativo de tratamento de dados pessoais de alto risco.
No dia 15/05/2024, a ANPD realizou um Webinário sobre o estudo preliminar do Tratamento de Dados Pessoais de Alto Risco. É importante ressaltar que o Alto Risco refere-se ao prejuízo que o titular dos dados pessoais pode sofrer com o tratamento errôneo de seus dados. Sendo assim, a ANPD está em processo de elaboração de um Guia Orientativo para parametrizar e esclarecer os critérios desse tratamento, e já realizou essa exposição para o estudo preliminar.
A Resolução CD/ANPD Nº 2/2022, que regula sobre o tratamento em agentes de pequeno porte, neste documento já contém algumas especificações sobre o tratamento de dados de alto risco, está disposto em seu artigo 4° os critérios dessa categorização. Além disso, é importante nos atentarmos que, os agentes de pequeno porte, caso realize o tratamento dos dados pessoais de alto risco, ele ainda é um agente de pequeno porte, contudo, não está mais aplicado a resolução citada acima.
No estudo preliminar, a ANPD leva em consideração os mesmos critérios específicos e gerais descritos na Resolução CD/ANPD N°2/2022 para as demais instituições, além daquelas de pequeno porte. Vale ressaltar que a análise dos critérios gerais e específicos é independente, mas devem ser cumpridos cumulativamente para viabilizar o tratamento dos dados pessoais de Alto Risco.
Critérios gerais para enquadramento de tratamento de alto risco
Frente ao disposto no Webinário, o primeiro critério geral para considerar um tratamento de dados de Alto Risco é o Critério de Larga Escala.
Este critério tem caráter quantitativo. Contudo, uma dúvida comum que havia em relação a este critério é em relação a qual a quantidade de dados pessoais para seja considerado de larga escala? Este critério é quantitativo. Contudo, uma dúvida comum que surgiu é sobre a quantidade de dados pessoais necessária para ser considerada “larga escala”.
A ANPD esclareceu preliminarmente que serão considerados de larga escala os tratamentos que envolvam mais de 2 milhões de dados pessoais, o que é significativo em relação a uma média de 1% da população. Para chegar a este número a Autoridade realizou análises internacionais do regulamento de outros países e subsídio com perguntas publicas aos especialistas.
O tratamento em larga escala está diretamente ligado à finalidade da atividade realizada pelo controlador. Portanto, se em uma atividade especifica ele faça o tratamento de mais de 2 milhões de titulares, essa atividade tem alto risco, em paralelo, caso alguma outra atividade não tenha este tratamento elevado, ela não é enquadrada como alto risco.
Cumulativamente a este critério ainda possuímos elementos complementares a serem analisados, que são:
- Volume dos dados pessoais
- Extensão geográfica do tratamento dos dados pessoais
- Duração do tratamento dos dados pessoais
- Frequência do tratamento dos dados pessoais
De acordo com os elementos complementares, a ANPD trouxe uma tabela com pontuação para análise do agente de tratamento, para determinar se há ou não um tratamento de alto risco, referente ao critério de larga escala.
Tabela 1: Referência sobre a quantidade total dos dados tratamento a um único processo de tratamento
Tabela 2: Referência em relação ao volume de dados por titular, neste caso, é necessário fazer a divisão entre o número total de dados, pelo número de titulares de dados.
Na tabela 3: Diz sobre o intervalo de tempo ao qual o agente de tratamento realiza o tratamento dos dados pessoais.
Tabela 4: Determina o valor referente a frequência que os dados pessoais serão tratados no processo.
Tabela 5: A quinta análise tem referencia a extensão geográfica, sendo assim, até onde, geograficamente, este dado é tratado.
Considerando toda a pontuação das tabelas anteriores, é possível realizar uma fórmula para descobrimos se há ou não o tratamento de larga escala:
ALE= NT + VDT + T + EG
O resultado dessa análise, conseguimos comparar nesta tabela final e realizar a avaliação.
Frente a essa avaliação, podemos enquadrar nestes três valores.
Outro ponto discutido no Webinário foi a necessidade de uma avaliação mais subjetiva do “Avaliar”, conforme disposto na tabela, levando em conta todo o processo e o caso concreto. A ANPD planeja desenvolver uma jurisprudência em relação a essa avaliação.
O segundo critério geral para englobar o tratamento em Alto Risco é o de Afetar significativamente interesse e direitos fundamentais dos titulares.
Este critério é qualitativo e pode ser dividido em três subcategorias:
- Impedir o exercício dos direitos do titular, como por exemplo, o direito de mobilidade e outros direitos constitucionais.
- Impedir a utilização de serviços essenciais de alto impacto. Por exemplo, se alguém que depende de cuidados domiciliares (Home Care) for impedido de utilizar energia elétrica por algum motivo.
- Ocasionar danos materiais ou morais, como discriminação, violação da integridade física, violação do direito à imagem, fraude financeira ou roubo de identidade.
Critérios específico para enquadramento de tratamento de alto risco:
O primeiro critério específico diz respeito ao uso de tecnologias emergentes ou inovadoras, tais como inteligência artificial, sistemas de reconhecimento facial e veículos autônomos.
O segundo critério específico aborda a vigilância ou controle de zonas acessíveis ao público, incluindo câmeras de segurança, drones de monitoramento e dispositivos de rastreamento via GPS.
É importante observar que esse critério se aplica apenas a locais públicos, não a locais restritos. Por exemplo, uma CFTV encaixa-se no critério específico se a gravação for em local público, se possível identificar a pessoa, se em local particular não se enquadra.
O terceiro critério específico refere-se a decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais, podendo incluir discriminação algorítmica e discriminação por generalização injusta ou que limite o exercício de direitos.
E por fim, o quarto critério específico é a utilização de dados pessoais sensíveis, de crianças e adolescentes ou de idosos, ou seja, os dados de criança, adolescente e idosos são tratados como de alto risco por conta se serem titulares mais vulneráveis.
Questões tratadas no webinário:
Foram realizados dois questionamentos referente ao tema:
O primeiro foi a respeito de em caso de incidente, qual escala devemos levar em consideração, dos dados que foram afetados no incidente ou os dados em geral do processo? Neste caso deve ser considerado apenas os dados afetados no incidente.
Já o segundo questionaram se em grupo de empresas, a aplicação de alto risco e larga escala é realizada por empresa/CNPJ ou por local de armazenamento, caso seja conjunto? Neste caso, é necessário analisar o ambiente da atividade e finalidade. Se as empresas dividirem os dados para a mesma atividade, soma, ou contrário, em caso negativo, contudo, não necessariamente vai precisar ser analisado todos os dados de forma geral do grupo de empresa.
Conclusão:
Frente a tudo isso, é importante analisar o processo, os dados que eles tratam, quantidade, sistemas, finalidade do tratamento, como isso afeta o titular, ou seja, todo processo, pois somente através dessa análise completa é possível determinar se o tratamento desses dados se enquadra verdadeiramente como de alto risco.
Por fim, mas não menos importante, é imprescindível que os processos considerados de Alto Risco estejam acompanhados de um Relatório de Impacto de Dados, conforme exigido pela LGPD. Desta forma, convido a todos para conhecer a Plataforma de LGPD da Be, pois ela oferece suporte ao Encarregado de Dados (DPO), possibilitando a geração automática deste documento, facilitando o cumprimento das obrigações legais e regulamentares.