Autor Adicional: Ana Letícia Allevato
Em 2023, a Autoridade Nacional de Proteção de Dados (ANPD) publicou uma série de Notas Técnicas com objetivo de dar transparência à sua atuação e prestar esclarecimentos sobre como vem entendendo a respeito de determinados temas envolvendo a LGPD, de modo a fornecer subsídios para a tomada de decisões de titulares de dados pessoais, agentes de tratamento e sociedade em geral. Fizemos um compilado dessas notas e dos principais pontos de cada uma delas:
Nota Técnica n° 175/2023/CGF
Objeto:
O tratamento e compartilhamento de dados pessoais através do Projeto Estádio Seguro, que busca tornar estádios mais seguros a partir do combate ao racismo e à violência. A ideia é usar a tecnologia para promover a segurança, a partir de ações como o reconhecimento facial para verificar a ficha criminal das pessoas que queiram ingressar em estádios;
Principais recomendações a partir dessa nota:
- A ANPD reforça que relatórios de impacto à proteção de dados pessoais deverão analisar cada um dos princípios da LGPD e como afetam o tratamento em questão.
- Organizações devem considerar como boas práticas a restrição de acesso, assim como os registros (logs) de uso, movimentação e acesso para posterior auditoria e verificação de quem acessou arquivos e informações.
- A ANPD também reforça a importância de informar os titulares quando há coleta de dados em local público, sobretudo vídeo-vigilância.
- Por fim, segundo a ANPD, a retenção de imagens obtidas por câmeras de vigilância por períodos longos não seria razoável.
Nota Técnica nº 12/2023/CGF
Objeto:
Trata especificamente sobre o risco de reidentificação dos titulares de dados a partir dos seus dados divulgados publicamente pelo Instituto Nacional de Estudos e Pesquisas Educacionais (INEP).
Principais recomendações a partir dessa nota:
- O principal ponto da nota é o reconhecimento pela ANPD de que dados anonimizados podem ter um certo grau de chance de reidentificação dos seus titulares e que isso não violaria a LGPD. Ou seja, dados anonimizados não precisam estar totalmente isentos do risco de seus titulares serem reidentificados.
- A ANPD reconhece a supressão e a generalização como técnicas de anonimização dos dados e indica o ‘k-anonimato’ como métrica apropriada para medir a eficácia do processo de supressão.
- Nessa nota, a ANPD novamente indicou que a existência de critérios para controle e registro de acesso a dados pessoais seria uma medida de segurança importante.
- Foi reforçado pela ANPD que os relatórios de impacto à proteção de dados pessoais devem ser realizados voluntariamente no caso do controlador visualizar um tratamento de alto risco, ou seja, não somente quando solicitado pela ANPD.
- Ainda de acordo com a nota, a utilização de dados públicos, aparentemente anônimos, para fins justamente de reidentificar os titulares, não seria válida segundo a LGPD.
Nota Técnica n° 19/2023/CFG
Objeto:
Nota técnica que trata das atividades de monitoramento da própria ANPD sobre o mercado financeiro e de telecomunicações, altamente regulados no Brasil.
Principais recomendações a partir dessa nota:
- A ANPD indicou que o escopo de aplicação da base legal de proteção ao crédito é limitado e possui interpretação restritiva, servindo para tratamentos que melhorem a análise de risco relacionada à capacidade do titular honrar compromissos financeiros. A ANPD afirmou, inclusive, que os agentes estariam autorizados a compartilhar dados pessoais se utilizando da base legal de proteção ao crédito, desde que a finalidade do tratamento seja mantida.
- Ainda segundo essa nota, a tentativa de fraude não implicaria automaticamente em vazamento de dados pessoais e, diante da suspeita de um vazamento, o titular deve entrar em contato com o agente de tratamento e verificar a sua ocorrência e o que ele deve realizar para proteger os seus direitos.
Nota Técnica n° 16/2023/CGTP
Objeto:
Nota Técnica que trata sobre o PL n° 2338/2023, que seria o marco regulatório da inteligência artificial e que tramita atualmente no Senado Federal.
Principais recomendações a partir dessa nota:
- Nessa nota, a ANPD se coloca como a autoridade central ideal para regular e fiscalizar IA no Brasil.
- A ANPD propôs, ainda, um modelo institucional estruturado em quatro instâncias que devem atuar de forma coordenada e articulada, sendo elas (i) a autoridade competente (órgão regulador central, que seria a própria ANPD); (ii) Poder Executivo (elaborando políticas públicas para o desenvolvimento dos sistemas de IA); (iii) órgãos reguladores setoriais (atuando de forma coordenada com o órgão regulador central); e (iv) conselho consultivo (órgão consultivo que assegure a participação da sociedade nos processos decisórios de todas as instâncias).
Nota Técnica n° 6/2023/CGF
Objeto:
Essa nota técnica foi resultado de uma investigação instaurada pela ANPD para analisar o tratamento de dados pessoais de crianças e adolescentes por uma plataforma global de rede social.
Principais recomendações a partir dessa nota:
- A ANPD ordenou que a plataforma revisse alguns pontos da sua governança, como modificar seus avisos de privacidade, modificar a base legal de determinados tratamentos (no caso, a ANPD entendeu que a base de execução de contrato não seria adequada para entrega de publicidade direcionada) e implementar mecanismos de verificação de idade mais robustos.
Nota Técnica n° 4/2023/CGTP
Objeto:
Trata sobre o alinhamento da LGPD e o varejo farmacêutico, sobretudo programas de fidelidade e de descontos, em que há a coleta de dados sensíveis e o compartilhamento massivo de dados com agentes diversos.
Principais recomendações a partir dessa nota:
- A ANPD deixou claro nessa nota que avaliará políticas de privacidade aleatoriamente na internet e espera encontrar informações a respeito de bases legais, ainda que o art. 9º da LGPD não o exija. A ANPD reforçou, também, que as políticas e avisos de privacidade devem ser colocados à disposição dos titulares nos mesmos meios pelos quais os dados são coletados, inclusive presencialmente.
- A nota também indica, como recomendação da ANPD que, quando houver um programa de desconto, fidelidade ou algo nesse sentido, é importante ter um regulamento específico e publicado em meio de fácil acesso.
- Segundo a nota, a coleta de dados biométricos para fins de validação de identidade deve ser evitada se houver outros meios menos invasivos e ainda assim seguros.
Nota Técnica n° 3/2023/CGF
Objeto:
Trata da possibilidade de exibir nome e sobrenome, foto e tempo de serviço dos servidores da PRF em formato de memorial no site da PRF.
Principais recomendações a partir dessa nota:
- Nessa nota, a ANPD defende que a LGPD somente se aplica a pessoas vivas, ou seja, dados de pessoas falecidas não constituem os dados pessoais protegidos pela LGPD.
