A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 29 de agosto, a abertura da tomada de subsídios para a elaboração de seu primeiro guia orientativo a auxiliar na avaliação das operações com dados pessoais realizadas por agentes de tratamento de pequeno porte (“ATPP”), categoria que inclui startups, microempresas, empresas de pequeno porte, pessoas jurídicas de direito privado sem fins lucrativos (como associações, fundações e organizações sociais) e microempreendedores individuais.
A iniciativa da ANPD em realizar a pesquisa, aberta à participação da sociedade (disponível aqui), foca em esclarecer os conceitos de (i) tratamento de dados pessoais realizado em “larga escala”; e (ii) operações consideradas de “alto risco” para os titulares de dados. Trata-se de conceitos fundamentais para a compreensão dos agentes que poderão, de fato, se beneficiar da Resolução CD/ANPD nº 2, de janeiro de 2022, traduzida pelo Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte (acesse aqui o nosso informativo sobre o tema). Isso porque, o Regulamento trouxe regras mais brandas para a aplicação da Lei Geral de Proteção de Dados Pessoais (“LGPD”) a agentes de pequeno porte, as quais não se aplicam aos que realizam atividades de tratamento consideradas de “alto risco” para os titulares.
De acordo com o artigo 4º do Regulamento, será considerado de “alto risco” o tratamento de dados pessoais que atender cumulativamente a, ao menos, um critério geral e um critério específico, dentre os indicados abaixo:
I – critérios gerais:
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
II – critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
A iniciativa da ANPD busca elucidar todos os critérios subjetivos acima elencados, auxiliando na definição dos ATPP e provavelmente gerando impactos aos agentes de médio e grande porte, os quais poderão se utilizar dessas diretrizes para avaliar o seu nível de aderência à LGPD. Com efeito, a definição de atividades de “alto risco” engloba métricas e questões tecnológicas, como perfilamento, rastreamento de localização, ambiente de realidade virtual, que afetam matérias da LGPD aplicadas aos agentes de médio e grande porte, tais como: