10/10/2022

Destaques da atuação da Autoridade Nacional de Proteção de Dados Pessoais em 2022

A Autoridade Nacional de Proteção de Dados Pessoais (“ANPD”) é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (“LGPD”), em todo o território nacional.

A Medida Provisória n. 1.124 de 13 de junho de 2022 alterou a sua estrutura e a tornou autarquia de natureza especial e transformou cargos em comissão. As atribuições da ANPD estão previstas no artigo 55-J da LGPD e não sofreram modificação.

Aqui pretende-se destacar as principais iniciativas da ANPD no ano de 2022, até então.

No dia 28 de janeiro de 2022 foi publicada a Resolução CD ANPD n. 2, de 27 de janeiro de 2022, regulamentando a aplicação da LGPD aos agentes de tratamento de pequeno porte, como determina o inciso XVIII do artigo 55-J da lei.

Considerando a crise econômica vivenciada por diversos setores da economia e a necessidade de adequação das práticas das organizações ao novo contexto de privacidade e proteção de dados pessoais, a regulação da aplicação da lei aos agentes de pequeno porte se tornou ainda mais urgente.

Diante disso, no início do ano de 2022, a ANPD regulamentou o tema, tornando mais segura e viável a adequação dos “agentes de pequeno porte”, uma vez que trouxe esclarecimentos sobre questionamentos que estavam surgindo neste cenário.

O Regulamento define quais são os requisitos para que as empresas se enquadrem no conceito de “agentes de pequeno porte” e determina os critérios que devem ser utilizados para exclusão da aplicação do regime previsto na Resolução para algumas empresas que se enquadram na definição, mas que realizam atividades de tratamento de alto risco, por exemplo (artigos 2º, 3º e 4º da Resolução).

Um ponto de destaque da Resolução é a dispensa de indicação da figura do Encarregado de Proteção de Dados Pessoais, sendo suficiente a criação de um canal de comunicação com o titular dos dados.

Outros pontos importantes foram a possibilidade de estabelecer política simplificada de segurança da informação e a concessão de prazo em dobro no atendimento das solicitações dos titulares dos dados e na comunicação à ANPD e ao titular sobre a ocorrência de incidente de segurança (artigos 13 e 14).

No dia 28 de janeiro também foi publicado o “Guia Orientativo – Tratamento de Dados Pessoais pelo Poder Público”, com o intuito de sanar os questionamentos que surgem sobre a aplicação da LGPD no âmbito público, tendo em vista as diversas peculiaridades deste contexto.

O Guia baseou-se nos questionamentos que foram encaminhados à ANPD sobre o assunto, destacando os seguintes: (i) o âmbito de incidência da LGPD e a aplicação de seus conceitos básicos ao setor público; (ii) a adequada interpretação das bases legais que autorizam o tratamento de dados pessoais; (iii) os requisitos e as formalidades a serem observados nas hipóteses de uso compartilhado de dados pessoais; e (iv) a relação entre as normas de proteção de dados pessoais e o acesso à informação pública.

A ANPD esclareceu que a abrangência do termo “Poder Público” definido pela LGPD é ampla, interpretando os artigos 23 e 24 da lei; delimitou a sua análise às bases legais do consentimento, legítimo interesse, cumprimento de obrigação legal e regulatória e execução de políticas públicas.

Ao tratar do consentimento, a ANPD destacou que, diante das características próprias dessa base legal, muitas vezes não será apropriado o seu uso, principalmente nas hipóteses em que o tratamento dos dados for necessário para o cumprimento de obrigações e atribuições legais.

Outro ponto relevante é o que diz respeito às situações nas quais o Poder Público compartilha dados pessoais com frequência – a ANPD sugere que deve ser avaliada a conveniência de editar ato normativo interno, objetivando formalizar o compartilhamento, além de padronizar e tornar mais célere o processo. Além disso, a finalidade do compartilhamento deve ser específica, com a indicação precisa de qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais – a ANPD destaca que finalidades amplas ou indeterminadas contrariam as disposições da LGPD, além de precedentes firmados pelo Supremo Tribunal Federal (STF) em casos similares.

No dia 27 de abril de 2022 foi publicada a segunda versão do “Guia Orientativo para Definições dos Agentes de Tratamento e do Encarregado de Proteção de Dados Pessoais”, na qual foram feitas alterações principalmente na figura do Encarregado de Proteção de Dados Pessoais.

Na nova versão, a ANPD propõe que o Encarregado de Proteção de Dados Pessoais “pode” desempenhar um importante papel de fomentar e disseminar a cultura da proteção de dados pessoais na organização, enquanto na versão anterior, a redação era no sentido de que o Encarregado deveria garantir a conformidade da organização.

A ANPD também destrinchou melhor a posição do controlador, operador, suboperador e controladores conjuntos, trazendo exemplos e organogramas que facilitam a compreensão da posição dos agentes de tratamento.

No dia 3 de janeiro de 2022 a ANPD publicou o Guia Orientativo – Aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) por agentes de tratamento no contexto eleitoral – tema relevante para o ano presente.

No Guia, a ANPD expediu orientações direcionadas ao tratamento de dados realizados por partido político, candidatos ou qualquer outro agente de tratamento, desde que a operação ocorra no contexto das eleições.

Destaca-se que a ANPD deixou claro que a controladoria conjunta está presente no sistema jurídico de proteção de dados pessoais brasileiros, e, no contexto eleitoral, é possível que um número considerável de casos de uso de mídia social para as campanhas políticas possam ser enquadradas nesta situação. Isso porque, os candidatos e as plataformas de divulgação poderão tomar decisões sobre a forma e a finalidade do tratamento de dados pessoais.

A ANPD dispôs sobre a necessidade de obtenção do consentimento de forma inequívoca, afastando eventuais manifestações de vontade obtidas de forma tácita ou a partir da omissão do titular dos dados, além de esclarecer que é uma boa prática o registro e a documentação necessária à comprovação de obtenção do consentimento de forma válida.

Além disso, no Guia, a ANPD trouxe exemplos de tratamento de dados pessoais justificados no cumprimento de obrigação legal no contexto eleitoral, especialmente em decorrência da Lei dos Partidos Políticos (Lei nº 9.096/1995), que determina que os partidos devem inserir os dados dos seus filiados no sistema eletrônico da Justiça Eleitoral.

Outro ponto relevante presente no documento é a adequação das diversas operações de tratamento dos dados pessoais às suas finalidades, por exemplo, após a coleta normalmente é feito o armazenamento, compartilhamento, entre outras operações. Assim, todas as operações devem ser compatíveis com a finalidade inicial – neste caso, a finalidade identificada para a coleta dos dados pessoais. Se não for compatível, será necessária a identificação de nova finalidade, que deve ser informada ao titular dos dados.

O Guia recomenda que sejam assinados termos de confidencialidade com colaboradores e empresas contratadas, que se comprometam a não divulgar informações confidenciais que contenham dados pessoais, evitando exposições indevidas ou abusos de privilégio. Na terceirização de serviços de Tecnologia da Informação (TI), propõe que sejam celebrados contratos que incluam cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais.

Faz, ainda, diversas recomendações relacionadas à segurança da informação, no âmbito técnico e organizacional.

Por fim, destaca-se que há menção expressa à proibição de venda de  cadastro de endereços eletrônicos em favor de candidatas, candidatos, partidos políticos, coligações e federações, por pessoas físicas ou jurídicas (art. 57-E, § 1º, da Lei 9.504/1997; art. 31, § 1º, Res.-TSE nº 23.610/2019); além da doação, cessão e utilização de dados pessoais em favor de candidatas, candidatos, partidos políticos, coligações e federações pela administração pública e por pessoa jurídica de direito privado.

No dia 11 de maio de 2022, foi publicada a Nota técnica de n° 49/2022/CGF/ANPAD, com a conclusão da análise de adequação da nova política de privacidade do WhatsApp à LGPD.

A ANPD verificou as versões da Política de Privacidade de todas as ferramentas do aplicativo WhatsApp (WhatsApp Messenger, WhatsApp for Business e WhatsApp for Business – API) e como elas se adequam à LGPD, determinando as alterações necessárias para que a política se torne mais clara e transparente para o usuário.

Sobre a resposta da empresa a respeito de questionamentos feitos pela Autoridade, a ANPD destacou que “tradicionalmente, essa tem sido uma abordagem de empresas que resistem à implementação de funcionalidades de privacidade por padrão: o entendimento de que a privacidade seria obtida às custas de outras funcionalidades, apresentando dicotomias como “privacidade x usabilidade”, “privacidade x funcionalidade”, “privacidade x benefício comercial” e até mesmo “privacidade x segurança”. Sua lógica seria a de um jogo de soma zero, no qual esses conceitos seriam mutuamente exclusivos, quando, na verdade, seria recomendável que funcionalidade, usabilidade e segurança não fossem condicionados à perda de privacidade, inclusive por padrão.”

No dia 26 de maio de 2022, foi expedida pela ANPD recomendações à Secretaria de Governo Digital (SGD/ME) em relação ao tratamento de dados pessoais decorrente da coleta de cookies no Portal Gov.br.

A ANPD constatou dois pontos de atenção: (i) o banner de acesso a qualquer site hospedado no domínio “Gov.br” contém informações limitadas e confere ao usuário uma única opção (“aceito”), contrariando a regra prevista na LGPD no sentido de que, para ser válido, o consentimento do titular deve ser livre, informado e inequívoco; (ii) no banner segundo nível consta a Política de Cookies, contendo informações genéricas, o que dificulta a compreensão por parte do usuário.

Diante disso, a ANPD fez recomendações de adequação do site às boas práticas, por exemplo, no banner de primeiro nível, aconselhou que o site disponibilize botão de fácil visualização, que permita rejeitar todos os cookies não-necessários; e desative cookies baseados no consentimento por padrão (opt-in).

Avaliando a atuação da ANPD no ano de 2022, percebe-se que os assuntos considerados “urgentes” no contexto brasileiro de fato estão sendo priorizados.

É importante que as organizações acompanhem as manifestações da ANPD, para que as suas ações sejam pautadas de forma adequada àquela que é a autoridade responsável pela privacidade e proteção de dados pessoais no Brasil.

Veja outras Matérias