Alerts
Atualizações ocorridas em abril da Autoridade Nacional de Proteção de dados
Neste ano, a Autoridade Nacional de Proteção de Dados (“ANPD”), em cumprimento da Lei Geral de Proteção de Dados (Lei no 13.709/2018 – “LGPD”), divulgou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador. Em audiência pública da ANPD sobre o Processo Administrativo Sancionador ocorrida em fevereiro, foi informado o recebimento de 6.900 requerimentos de titulares de dados. Já em abril, a ANPD indicou que os requerimentos deverão ser realizados por meio dos formulários enviados via peticionamento eletrônico.
Outro passo importante dado pela ANPD, também em abril, foi quanto ao Relatório de Impacto a Proteção de Dados (“RIPD”). A ANPD divulgou em seu site um material de perguntas e respostas que, apesar de preliminar, já auxiliou a dirimir diversas dúvidas e controvérsias sobre a aplicabilidade do RIPD.
(I) REQUERIMENTOS DE TITULARES DE DADOS.
1. Quais requerimentos podem ser feitos à ANPD?
Podem ser feitos diretamente a ANPD denúncias e petições de titulares de dados pessoais contra o controlador por meio de peticionamento eletrônico – Peticionamento Eletrônico do SUPER.BR (Sistema Único de Processo Eletrônico em Rede).
1.1. O que é uma petição de titular?
O artigo 18 da LGPD determina uma série de direitos que poderão ser exercidos pelo titular perante o controlador de dados. No entanto, caso o titular não consiga exercer seus direitos perante o controlador de dados, ou caso não tenha obtido uma resposta satisfatória, poderá enviar sua solicitação à ANPD por meio de uma petição A petição poderá ser analisada pela ANPD de forma agregada e os dados apresentados pelo requisitante poderão ser compartilhados com o controlador.
1.2. O que é denúncia?
As denúncias são as comunicações feitas à ANPD por qualquer pessoa, natural ou jurídica, de suposta infração à LGPD, tais como, tratamento discriminatório de dados pessoais, coleta excessiva de dados pessoais, ausência de encarregado pelo tratamento, ausência de política de privacidade/política de cookies, ou ausência de canal de comunicação com o agente de tratamento.
1.3. O que é mais importante para a minha empresa?
Ambos os formulários já constam a informação sobre o Regulamento do Processo de Fiscalização e o Processo Administrativo Sancionador, ou seja, é um indicativo que esse documento poderá servir para fins de autuação da LGPD.Além disso, importante mencionar que denúncias anônimas não serão recebidas pelo canal do Peticionamento Eletrônico do SUPER.BR, e sim pela Plataforma Fala Br. Ou seja, o controlador ao ser acionado por um titular, terá chances de rastrear esse pedido para sua própria defesa, reforçando, desta forma, o entendimento sobre o registro e controle dos pedidos do titular e, consequentemente, sobre a governança de proteção de dados, que auxilia o controlador a ter regras e documentação adequada para a prestação de contas em relação ao atendimento de direitos dos titulares frente à ANPD.
(II) QUAIS SÃO OS PONTOS MAIS IMPORTANTES SOBRE O QUESTIONÁRIO DE PERGUNTAS E RESPOSTAS SOBRE O RIPD PARA A MINHA EMPRESA?
2. O que é o RIPD?
O RIPD é o documento por meio do qual o controlador descreve os tratamentos de dados pessoais considerados de alto risco, ou seja, aqueles que representam riscos à garantia dos princípios gerais de proteção dados pessoais previstos na LGPD, às liberdades civis e aos direitos fundamentais do titular de dados. Além disso, o documento deverá conter as medidas, salvaguardas e mecanismos de mitigação de risco, nos termos dos artigos 5º, inciso XVII, e 38 da LGPD.
2.1 Quais situações específicas a ANPD recomenda que seja elaborado o RIPD?
O RIPD deverá ser elaborado nas seguintes situações: (i) o tratamento possa gerar alto risco à garantia de direitos e garantias fundamentais do titular de dados; (ii) quando o tratamento tiver como fundamento a hipótese de interesse legítimo; (iii) para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis; (iv) nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do estado ou atividades de investigação e repressão de infrações penais; e (v) para agentes do poder público, incluindo determinação quanto à publicação do RIPD.
Apesar dos destaques trazidos pela ANPD, a autoridade enfatizou que os critérios não são exaustivos, ou seja, o controlador poderá elaborar o RIPD em casos que entenda que o tratamento seja de alto risco, mas que não se enquadre nas situações descritas acima.
Ainda, a ANPD pontou que é desejável que o RIPD seja elaborado antes de se iniciar o tratamento de dados, com a finalidade de já avaliar os eventuais riscos associados à operação. No entanto, caso não seja possível, o documento poderá ser elaborado assim que for identificado que o tratamento acarrete alto risco, ou, ainda, quando solicitado pela própria ANPD.
Por fim, deve-se elaborar o RIPD para cada projeto/processo com um conjunto de operações voltados para mesma finalidade.
2.2 O que considerar como “alto risco” para fins de elaboração do RIPD?
Para caracterização do conceito de tratamento de alto risco, enquanto não for editada a regulamentação específica sobre o tema, a ANPD orienta que o controlador deve verificar se, no caso concreto, existe a presença de ao menos um critério geral combinado com um critério específico, conforme definido abaixo:
· Critério geral: tratamento em larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares
· Critério específico: uso de tecnologias emergentes ou inovadoras, vigilância ou controle de zonas acessíveis ao público, decisões tomadas unicamente com base em
tratamento automatizado de dados pessoais” ou “utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Além disso, a ANPD determina que o tratamento de larga escala pode ser ”caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem com a duração, frequência e a extensão geográfica do tratamento”.
Já sobre tratamento que afete significativamente interesses e direitos, a ANPD determina que será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder “impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito de imagem e à reputação, fraudes financeiras ou roubo de identidade”.
2.3 Quais critérios e metodologias devem ser utilizados para a gestão de riscos?
A ANPD prevê que “gestão de riscos é um processo sistemático da gestão organizacional que determina a aplicação equilibrada de controles diante do perfil de riscos”. A ANPD deixa claro que o controlador deve ter uma governança de dados que indique quais riscos poderão ser tomados e mediante quais garantias frente à atividade do controlador.
A ANPD reitera quanto à necessidade de uma governança de dados, quando traz como boa prática a revisão contínua do RIPD (verificando novos fatos que possam alterar os riscos identificados) ou em caso de novas regulamentações ou orientações emitidas pela ANPD, mostrando, desta forma, a necessidade de um monitoramento do RIPD. Monitoramento contínuo é um dos indicadores de um programa de governança de dados.
2.4 Quais os requisitos mínimos a serem descritos no RIPD?
Conforme o parágrafo único do artigo 38 da LGPD, os requisitos mínimos são (i) descrição dos tipos de dados pessoais coletados/tratados; (ii) metodologia usada para o tratamento e garantia da segurança da informação; e (iii) análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco.
Recomenda-se ao controlador descrever os tipos de dados pessoais tratados, as operações de tratamento (art. 5º, X, da LGPD), suas finalidades (incluindo interesses legítimos) e hipóteses legais, e avaliar a necessidade e a proporcionalidade das operações de tratamento, os riscos para os direitos e liberdades dos titulares de dados e as medidas a serem adotadas para minimizar esses riscos.
Clique aqui para conferir a lista de dados e informações que a ANPD recomenda incluir no RIPD: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd#p15
2.5 O RIPD precisa ser divulgado?
Não é obrigatório publicar o RIPD, mas, considerando que tal ato demonstra cumprimento de princípios da LGPD, isso pode ser considerado uma medida que demonstra preocupação do controlador com a privacidade do titular. No caso de entidades e órgãos públicos, o RIPD deverá ser publicado por determinação da ANPD ou quando não identificada hipótese de sigilo aplicável ao caso, em conformidade com a Lei nº 12.527/2011. Importante:
Pode ser publicada versão distinta para resguardar segredos comerciais e industriais e outras informações protegidas por lei.
2.6 Participação do Encarregado/DPO no RIPD
Apesar de ser desejável, a ANPD não definiu como obrigatória a participação do encarregado durante o processo de elaboração do RIPD.
3. Conclusão
Ao observar o material emitido pela ANPD sobre o RIPD e sobre os requerimentos dos titulares, é possível notar a evolução do papel da ANPD, e demonstra que que um programa de governança de proteção de dados é essencial para que as empresas possam prestar contas frente ao que está sendo exigido pela autoridade.
Quanto ao RIPD, a ANPD não espera tão somente um documento descritivo, mas sim elaborado e respondido conforme o programa de governança de dados pessoais do controlador, que prime pelos direitos dos titulares de dados. Essa mesma visão foi consubstanciada quanto aos requerimentos a serem recebidos pela ANPD, já que para defesa do controlador será necessário mostrar certo controle sobre as requisições dos titulares e acompanhamentos destes pedidos. Por fim, os pontos a serem selecionados no formulário de denúncia refletem os pontos básicos de boas práticas do artigo 50 da LGPD, além de documentos que demonstrem cumprimento dos princípios estabelecidos na mesma lei, como transparência (quando diz sobre a política de privacidade e de cookies), adequação e minimização (quando expõe sobre a denúncia de coleta excessiva de dados); entre outras.
Para continuar atualizado referente às questões relacionadas ao tema de privacidade e proteção de dados, continue acompanhando as nossas publicações.
Em caso de eventuais dúvidas na elaboração do RIPD ou demais consultas referentes ao tema, nossa equipe permanece à disposição.