contato

2 de Maio, 2024

Compreendendo o tratamento de dados pessoais de alto risco

image 8

Guilherme Damasio Goulart

Em 17 de Abril de 2024 a ANPD, por meio da Coordenação-Geral de Normatização,  publicou seu estudo preliminar acerca do tratamento de dados pessoais de alto risco. O documento destaca que a Resolução CD/ANPD n.º 2/2022, em seu art. 4º, já estabelece alguns critérios (por meio de um rol não exaustivo) para a classificação das situações de tratamento de alto risco. O objetivo de abordar essa questão no guia de tratamento para agentes de pequeno porte é o de estabelecer as bases para os casos em que não se aplica o regime diferenciado para os tratamentos de alto risco. Isso significa que se o agente de tratamento se enquadrar em uma situação de tratamento de dados de alto risco não poderá se beneficiar do regime diferenciado de tratamento para agentes de pequeno porte.

Os critérios para a definição são divididos em gerais e específicos, devendo haver a cumulação de ao menos um critério geral com um específico para a configuração do tratamento de alto risco. 

Com o avanço da atividade regulatória da Autoridade, já é possível perceber o diálogo entre as normas por ela lançadas. A proposta de minuta já indica que o tratamento de dados pessoais em larga escala (um dos critérios gerais a ser considerado para o tratamento de alto risco) dialoga com o Regulamento de Dosimetria e Aplicação das Sanções Administrativas. Portanto, este critério será levado em consideração, também, para definir a gravidade dos incidentes e também para avaliar eventuais necessidades de produção de um Relatório de Impacto à Proteção de Dados Pessoais.

Acerca da quantidade de titulares, a Autoridade recomenda que, para o critério de "número significativo de titulares", seja considerado o número de 2 milhões de pessoas, o que representaria aproximadamente 1% da população brasileira. A Autoridade também contribui de maneira mais prática para certas definições as serem feitas pelos agentes de tratamento. Ela disponibilizou, junto da minuta, uma planilha que permite realizar o cálculo de situações de alto risco. Por meio desse cálculo, é possível verificar os critérios complementares que, se presentes, poderiam qualificar o tratamento como de alto risco, mesmo com um número menor de duas milhões de pessoas. Assim, a Autoridade refletiu sua metodologia de avaliação diretamente no Formulário para avaliação de larga escala. 

São seis as etapas de verificações, as cinco primeiras de avaliações, e a sexta envolvendo a soma dos critérios presentes nas etapas anteriores. As cinco primeiras etapas são assim definidas: Etapa 1 - valor do Número de Titulares (NT); Etapa 2 - volume médio dos dados de Titulares (VDT); Etapa 3 - duração do tratamento* (T) frequência do tratamento (F) e Etapa 5 - extensão geográfica do tratamento dos dados (EG). Se o somatório for menor do que 23,5, o tratamento não é de larga escala; se for entre 23,5 e 25, deve-se fazer uma avaliação do caso concreto para a definição e se o valor for igual ou maior do que 25, recomenda-se a definição do tratamento como de alto risco. Adicionalmente, se o número de titulares for maior do que dois milhões de pessoas, não é necessária a aplicação da metodologia proposta. No entanto, ainda há outros critérios a serem avaliados. O primeiro é a afetação significativa de interesses e direitos fundamentais. Este requisito também dialoga com o regulamento de dosimetria. A minuta da autoridade destaca que a análise a ser feita aqui é qualitativa, ou seja, "uma avaliação sobre as suas possíveis consequências, isto é, os impactos gerados pelo tratamento para os titulares". Dialoga também com a já mencionada Resolução CD/ANPD 2/2022, dos agentes de pequeno porte, que define, no § 2º do art. 4º, critérios para a a definição da referida afetação. Traz um rol exemplificativo envolvendo "discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade".

Outros critérios de avaliação apontados na minuta são a avaliação de situações particulares (n. 42), envolvendo casos de ausência de vínculo entre o titular e o controlador, vulnerabilidade pessoal ou elevada assimetria informacional. 

Aponta-se também os casos em que possa haver o impedimento do exercício de direitos: são destacadas as situações que possam afetar os direitos à privacidade, liberdade de expressão, não discriminação, acesso à informação e autodeterminação informativa. Destaque para o exemplo de número 4, que aborda situações de discriminação na seleção de pessoas para vagas de emprego. O documento ainda inclui situações que envolvem o impedimento de uso de serviço essencial.

Adicionalmente, ainda estão previstos outros critérios específicos, como o uso de tecnologias emergentes e inovadoras - e que, justamente por sua natureza - podem trazer riscos adicionais. O documento prevê neste rol o uso de inteligência artificial, reconhecimento facial e veículos autônomos. O guia também aborda as situações de vigilância ou controle de zonas acessíveis ao público, conforme as disposições da Resolução 2/2022 já citada.

O documento também trata aborda as situações envolvendo o tratamento automatizado de dados pessoais, considerando o art. 20 da LGPD, trazendo para discussão questões como discriminação algorítmica e por generalização injusta. Além disso, traz as situações de também o uso de dados sensíveis ou de crianças, adolescentes e idosos, tudo dentro da avaliação dos critérios específicos para o tratamento de alto risco.

É de suma importância para todos os agentes de tratamento a observância das disposições desta minuta. Trata-se de documento importante para a definição de um cenário global de riscos no âmbito do tratamento de dados pessoais e do atendimento das regras e princípios dispostos na LGPD.

Confira aqui a consulta à sociedade de estudo preliminar sobre o tratamento de dados pessoais de alto risco.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram