ANPD abre consulta sobre tratamento de dados pessoais de alto risco

A Autoridade Nacional de Proteção de Dados (ANPD) abriu, em 17 de abril de 2024, consulta à sociedade a respeito de estudos preliminares sobre diretrizes e critérios para definir atividades de tratamento de dados que envolvam alto risco.

A Resolução nº 2/2022 define tratamento de alto risco como aquele que, de forma cumulativa, atende a um critério geral e um critério específico. Os critérios gerais contemplam o tratamento de dados pessoais em larga escala ou aquele que possa afetar significativamente interesses e direitos fundamentais dos titulares. Os critérios específicos envolvem o uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos. A consulta à sociedade inclui a minuta de um Guia Orientativo que pretende elucidar os conceitos acima, de modo a facilitar e orientar a interpretação pelos agentes de tratamento.

A definição de alto risco é relevante para diversas análises, incluindo para a definição do regime aplicável a agentes de tratamento de pequeno porte, para a avaliação da gravidade de infrações relacionadas ao tratamento de dados pessoais e em casos em que é necessária a comunicação, à ANPD e ao titular, de incidente de segurança, bem como para a avaliação da necessidade de elaboração de relatório de impacto à proteção de dados pessoais.

Sumarizamos abaixo os principais aspectos abordados pelos materiais publicados pela ANPD:

Critérios gerais

• Larga escala: a minuta de guia ressalta que a larga escala será caracterizada quando o tratamento abranger número significativo de titulares. De forma complementar, podem ser considerados, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado. Neste contexto, a ANPD define que qualquer tratamento de dados pessoais que envolva ao menos 2 (dois) milhões de titulares de dados será considerado como em número significativo e, consequentemente, em larga escala.

Nos casos de tratamento que contemplem quantidade de titulares inferior ao número acima, o controlador ainda assim deverá avaliar os fatores complementares mencionados.

A ANPD orienta que o aferimento desses critérios seja realizado por meio de metodologia que conta com seis etapas detalhadas na minuta de Guia, a qual atribui pesos distintos a depender das características do tratamento de dados.

• Afetar significativamente interesses e direitos fundamentais: enquanto a avaliação acerca da larga escala envolve uma análise quantitativa, a avaliação do presente critério pressupõe uma análise qualitativa. A ANPD define três elementos centrais que ajudam a definir se interesses e direitos serão afetados de forma significativa: quando o tratamento puder impedir o exercício de direitos ou impedir a utilização de um serviço ou puder ocasionar danos materiais ou morais aos titulares, como discriminação, violação ao direito de imagem, ocorrência de fraudes financeiras, dentre outros.

Os interesses e direitos potencialmente afetados devem ter relação direta com o tratamento de dados pessoais realizado pelo agente de tratamento. A minuta de Guia propõe que a avaliação considere a gravidade em conjunto com a probabilidade de ocorrência do impacto sobre os titulares. Assim, apenas aquelas situações de gravidade elevada e com alta probabilidade de ocorrência se enquadraria no conceito de “afetar significativamente”.

A ANPD ressalta que a forma pela qual o tratamento é realizado (por exemplo, usos secundários de dados ou compartilhamento), além da natureza da relação entre agente de tratamento e titular devem ser avaliadas. Mais informações sobre esses conceitos e exemplos práticos podem ser consultados na minuta do guia.

Critérios específicos

• Uso de tecnologias emergentes ou inovadoras: apesar de ter ressaltado a característica mutável desse critério, a ANPD definiu como tecnologias emergentes, sem prejuízo de atualizações futuras, os seguintes sistemas: inteligência artificial, aprendizado de máquina e inteligência artificial generativa; reconhecimento facial; e veículos autônomos.

• Vigilância ou controle de zonas acessíveis ao público: a minuta de guia ressalta que a vigilância ou controle pode envolver a coleta, o armazenamento e o uso compartilhado de dados pessoais com o objetivo de controlar a passagem e/ou monitorar a circulação de pessoas em áreas de acesso público. A título exemplificativo, a ANPD considerou câmeras de segurança, drones de monitoramento e dispositivos de rastreamento via GPS como ferramentas de controle e vigilância.

• Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais: de acordo com a ANPD, o tratamento automatizado de dados envolve o uso de sistemas computacionais e algoritmos para realizar operações ou para a tomada de decisão, incluindo classificação, avaliação, aprovação ou rejeição com base em critérios predefinidos, dentre outros.

• Utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos: o tratamento poderá ser considerado de alto risco quando abranger dados sensíveis ou, ainda, abranger dados de titulares de até 18 anos ou de idade igual ou superior a 60 anos. No caso de dados sensíveis, a ANPD ressalta que é possível que tais dados sejam revelados a partir do tratamento de informações que não possuem essa característica originalmente, mediante, por exemplo, procedimentos de inferência ou de cruzamento de bases de dados. Caso ocorra a revelação ou identificação indireta de aspectos sensíveis, com potencial lesivo a seus direitos e interesses, também deverá se aplicar regime jurídico especial previsto na LGPD para os dados sensíveis.

A ANPD aceitará contribuições sobre o material até 16 de maio de 2024, exclusivamente por meio do Espaço Opine Aqui, na plataforma Participa+ Brasil.

Para mais informações sobre o tema, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.