Novidades
2/09/2022

ANPD inicia pesquisa pública com foco nas definições sobre o tratamento de dados pessoais de “larga escala” e de “alto risco” para o titular

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 29 de agosto, a abertura da tomada de subsídios para a elaboração de seu primeiro guia orientativo a auxiliar na avaliação das operações com dados pessoais realizadas por agentes de tratamento de pequeno porte (“ATPP”), categoria que inclui startups, microempresas, empresas de pequeno porte, pessoas jurídicas de direito privado sem fins lucrativos (como associações, fundações e organizações sociais) e microempreendedores individuais.

A iniciativa da ANPD em realizar a pesquisa, aberta à participação da sociedade (disponível aqui), foca em esclarecer os conceitos de (i) tratamento de dados pessoais realizado em “larga escala”; e (ii) operações consideradas de “alto risco” para os titulares de dados.  Trata-se de conceitos fundamentais para a compreensão dos agentes que poderão, de fato, se beneficiar da Resolução CD/ANPD nº 2, de janeiro  de 2022, traduzida pelo Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte (acesse aqui o nosso informativo sobre o tema). Isso porque, o Regulamento trouxe regras mais brandas para a aplicação da Lei Geral de Proteção de Dados Pessoais (“LGPD”) a agentes de pequeno porte, as quais não se aplicam aos que realizam atividades de tratamento consideradas de “alto risco” para os titulares.

De acordo com o artigo 4º do Regulamento, será considerado de “alto risco” o tratamento de dados pessoais que atender cumulativamente a, ao menos, um critério geral e um critério específico, dentre os indicados abaixo:

I – critérios gerais:

a) tratamento de dados pessoais em larga escala; ou

b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;

II – critérios específicos:

a) uso de tecnologias emergentes ou inovadoras;

b) vigilância ou controle de zonas acessíveis ao público;

c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

A iniciativa da ANPD busca elucidar todos os critérios subjetivos acima elencados, auxiliando na definição dos ATPP e provavelmente gerando impactos aos agentes de médio e grande porte, os quais poderão se utilizar dessas diretrizes para avaliar o seu nível de aderência à LGPD. Com efeito, a definição de atividades de “alto risco” engloba métricas e questões tecnológicas, como perfilamento, rastreamento de localização, ambiente de realidade virtual, que afetam matérias da LGPD aplicadas aos agentes de médio e grande porte, tais como:

  • a necessidade de elaboração de Relatórios de Impacto à Proteção de Dados quando as operações envolverem atividades de risco;
  • avaliação do nível de risco inerente aos tratamentos realizados pelas empresas;
  • estabelecimento de medidas técnicas e administrativas, com normas de segurança, padrões técnicos e obrigações aos diversos agentes envolvidos no tratamento, para a criação de uma governança de privacidade preventiva e responsável.