Destaques da atuação da ANPD em 2023 e no ano anterior

A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) é o órgão da administração pública responsável por implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD), em todo o território nacional. A Medida Provisória nº 1.124 de 13 de junho de 2022 alterou a sua estrutura e a tornou autarquia de natureza especial e transformou cargos em comissão. As atribuições da ANPD estão previstas no artigo 55-J da LGPD e não sofreram modificação.

Aqui pretende-se elencar as principais iniciativas da ANPD nos anos de 2022 e 2023, até então, dando ênfase a algumas delas, consideradas mais relevantes.

– Ano de 2023
No dia 25 do primeiro mês do ano, a ANPD publicou a Resolução CD/ANPD N° 3 e instituiu o seu Comitê de Governança Digital. O objetivo do órgão criado é "deliberar sobre assuntos relativos à implementação de ações de governo digital e ao uso de recursos de tecnologia da informação e comunicação no âmbito da Autoridade".

Já no mês seguinte, no dia 24 de fevereiro, foi publicada a Resolução CD/ANPD N° 4, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.

O Regulamento era bastante aguardado porque dele dependia a aplicação das penalidades previstas na lei, uma vez que o artigo 53 da LGPD determina à ANPD a publicação de norma sobre as sanções administrativas aplicadas a infrações à LGPD, com as metodologias que orientarão o cálculo do valor-base das sanções de multa.

Assim, até a publicação da norma, não seria possível que a ANPD aplicasse as sanções administrativas previstas no artigo 52 da LGPD.

Em 13 de março de 2023 a ANPD aprovou a Agenda de Avaliação de Resultado Regulatório para o período de 2023-2026, através da Resolução CD/ANPD n° 5.

No dia 17 de março de 2023 a ANPD publicou a Nota Técnica n° 3/2023/CGF/ANPD, que trata da possibilidade de criação de Memorial no Portal Web da Polícia Rodoviária Federal e concluiu pela não aplicação da LGPD ao tratamento de dados pessoais de pessoas falecidas.

– Ano de 2022
No dia 28 de janeiro de 2022 foi publicada a Resolução CD/ANPD N° 2, de 27 de janeiro de 2022, regulamentando a aplicação da LGPD aos agentes de tratamento de pequeno porte, como determina o inciso XVIII do artigo 55-J da lei.

Considerando a crise econômica vivenciada por diversos setores da economia e a necessidade de adequação das práticas das organizações ao novo contexto de privacidade e proteção de dados pessoais, a regulação da aplicação da lei aos agentes de pequeno porte se tornou ainda mais urgente.

Diante disso, a regulamentação do tema pela ANPD torna mais segura e viável a adequação dos "agentes de pequeno porte", uma vez que traz esclarecimentos sobre questionamentos que estavam surgindo neste cenário.

O regulamento define quais são os requisitos para que as empresas se enquadrem no conceito de "agentes de pequeno porte" e determina os critérios que devem ser utilizados para exclusão da aplicação do regime previsto na resolução para algumas empresas que se enquadram na definição, mas que realizam atividades de tratamento de alto risco, por exemplo (artigos 2º, 3º e 4º da resolução).

Um ponto de destaque da resolução é a dispensa de indicação da figura do encarregado de proteção de dados pessoais, sendo suficiente a criação de um canal de comunicação com o titular dos dados.

Outros pontos importantes foram a possibilidade de estabelecer política simplificada de segurança da informação e a concessão de prazo em dobro no atendimento das solicitações dos titulares dos dados e na comunicação à ANPD e ao titular sobre a ocorrência de incidente de segurança (artigos 13 e 14).

No dia 28 de janeiro também foi publicado o "Guia Orientativo — Tratamento de Dados Pessoais pelo Poder Público", com o intuito de sanar os questionamentos que surgem sobre a aplicação da LGPD no âmbito público, tendo em vista as diversas peculiaridades deste contexto.

O Guia baseou-se nos questionamentos que foram encaminhados à ANPD sobre o assunto, destacando os seguintes: (1) o âmbito de incidência da LGPD e a aplicação de seus conceitos básicos ao setor público; (2) a adequada interpretação das bases legais que autorizam o tratamento de dados pessoais; (3) os requisitos e as formalidades a serem observados nas hipóteses de uso compartilhado de dados pessoais; e (4) a relação entre as normas de proteção de dados pessoais e o acesso à informação pública.

A ANPD esclareceu que a abrangência do termo "poder público" definido pela LGPD é ampla, interpretando os artigos 23 e 24 da lei; delimitou a sua análise às bases legais do consentimento, legítimo interesse, cumprimento de obrigação legal e regulatória e execução de políticas públicas.

Ao tratar do consentimento, a ANPD destacou que, diante das características próprias dessa base legal, muitas vezes não será apropriado o seu uso, principalmente nas hipóteses em que o tratamento dos dados for necessário para o cumprimento de obrigações e atribuições legais.

Outro ponto relevante é o que diz respeito às situações nas quais o Poder Público compartilha dados pessoais com frequência — a ANPD sugere que deve ser avaliada a conveniência de editar ato normativo interno, objetivando formalizar o compartilhamento, além de padronizar e tornar mais célere o processo. Além disso, a finalidade do compartilhamento deve ser específica, com a indicação precisa de qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais — a ANPD destaca que finalidades amplas ou indeterminadas contrariam as disposições da LGPD, além de precedentes firmados pelo Supremo Tribunal Federal (STF) em casos similares.

No dia 27 de abril de 2022 foi publicada a segunda versão do "Guia Orientativo para Definições dos Agentes de Tratamento e do Encarregado de Proteção de Dados Pessoais", na qual foram feitas alterações principalmente na figura do encarregado de proteção de dados pessoais.

Na nova versão, a ANPD propõe que o encarregado de proteção de dados pessoais "pode" desempenhar um importante papel de fomentar e disseminar a cultura da proteção de dados pessoais na organização, enquanto na versão anterior, a redação era no sentido de que o encarregado deveria garantir a conformidade da organização.

A ANPD também destrinchou melhor a posição do controlador, operador, suboperador e controladores conjuntos, trazendo exemplos e organogramas que facilitam a compreensão da posição dos agentes de tratamento.

No dia 3 de janeiro de 2022 a ANPD publicou o Guia Orientativo — Aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) por agentes de tratamento no contexto eleitoral — tema relevante para o ano em questão.

No guia, a ANPD expediu orientações direcionadas ao tratamento de dados realizados por partido político, candidatos ou qualquer outro agente de tratamento, desde que a operação ocorra no contexto das eleições.

Destaca-se que a ANPD deixou claro que a controladoria conjunta está presente no sistema jurídico de proteção de dados pessoais brasileiros, e, no contexto eleitoral, é possível que um número considerável de casos de uso de mídia social para as campanhas políticas possam ser enquadradas nesta situação. Isso porque, os candidatos e as plataformas de divulgação poderão tomar decisões sobre a forma e a finalidade do tratamento de dados pessoais.

A ANPD dispôs sobre a necessidade de obtenção do consentimento de forma inequívoca, afastando eventuais manifestações de vontade obtidas de forma tácita ou a partir da omissão do titular dos dados, além de esclarecer que é uma boa prática o registro e a documentação necessária à comprovação de obtenção do consentimento de forma válida.

Além disso, no Guia, a ANPD trouxe exemplos de tratamento de dados pessoais justificados no cumprimento de obrigação legal no contexto eleitoral, especialmente em decorrência da Lei dos Partidos Políticos (Lei nº 9.096/1995), que determina que os partidos devem inserir os dados dos seus filiados no sistema eletrônico da Justiça Eleitoral.

Outro ponto relevante presente no documento é a adequação das diversas operações de tratamento dos dados pessoais às suas finalidades, por exemplo, após a coleta normalmente é feito o armazenamento, compartilhamento, entre outras operações. Assim, todas as operações devem ser compatíveis com a finalidade inicial — neste caso, a finalidade identificada para a coleta dos dados pessoais. Se não for compatível, será necessária a identificação de nova finalidade, que deve ser informada ao titular dos dados.

O guia recomenda que sejam assinados termos de confidencialidade com colaboradores e empresas contratadas, que se comprometam a não divulgar informações confidenciais que contenham dados pessoais, evitando exposições indevidas ou abusos de privilégio. Na terceirização de serviços de tecnologia da informação (TI), propõe que sejam celebrados contratos que incluam cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais.

Faz, ainda, diversas recomendações relacionadas à segurança da informação, no âmbito técnico e organizacional.

Por fim, destaca-se que há menção expressa à proibição de venda de cadastro de endereços eletrônicos em favor de candidatas, candidatos, partidos políticos, coligações e federações, por pessoas físicas ou jurídicas (artigo 57-E, § 1º, da Lei 9.504/1997; artigo 31, § 1º, Resolução-TSE nº 23.610/2019); além da doação, cessão e utilização de dados pessoais em favor de candidatas, candidatos, partidos políticos, coligações e federações pela administração pública e por pessoa jurídica de direito privado.

No dia 11 de maio de 2022, foi publicada a Nota Técnica de n° 49/2022/CGF/ANPD, com a conclusão da análise de adequação da nova política de privacidade do WhatsApp à LGPD.

A ANPD verificou as versões da Política de Privacidade de todas as ferramentas do aplicativo WhatsApp (WhatsApp Messenger, WhatsApp for Business e WhatsApp for Business — API) e como elas se adequam à LGPD, determinando as alterações necessárias para que a política se torne mais clara e transparente para o usuário.

Sobre a resposta da empresa a respeito de questionamentos feitos pela autoridade, a ANPD destacou que "tradicionalmente, essa tem sido uma abordagem de empresas que resistem à implementação de funcionalidades de privacidade por padrão: o entendimento de que a privacidade seria obtida às custas de outras funcionalidades, apresentando dicotomias como 'privacidade x usabilidade', 'privacidade x funcionalidade', 'privacidade x benefício comercial' e até mesmo 'privacidade x segurança'. Sua lógica seria a de um jogo de soma zero, no qual esses conceitos seriam mutuamente exclusivos, quando, na verdade, seria recomendável que funcionalidade, usabilidade e segurança não fossem condicionados à perda de privacidade, inclusive por padrão".

A ANPD se manifestou sobre a não divulgação dos microdados do Censo Escolar e do Exame Nacional do Ensino Médio (Enem) pelo Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) no dia 17 de maio de 2022, através da Nota Técnica n° 46/2022/CGF/ANPD.

No dia 18 de maio de 2022 foi publicado no Diário Oficial da União o Aviso de Tomada de Subsídios nº 2 de 2022 com o objetivo de obter contribuições para subsidiar a elaboração de minuta de regulamento sobre transferências internacionais de dados pessoais, a partir da coleta de colaborações escritas da sociedade.

No dia 26 de maio de 2022, foi expedida pela ANPD recomendações à Secretaria de Governo Digital (SGD/ME) em relação ao tratamento de dados pessoais decorrente da coleta de cookies no Portal Gov.br.

A ANPD constatou dois pontos de atenção: (1) o banner de acesso a qualquer site hospedado no domínio "Gov.br" contém informações limitadas e confere ao usuário uma única opção ("aceito"), contrariando a regra prevista na LGPD no sentido de que, para ser válido, o consentimento do titular deve ser livre, informado e inequívoco; (2) no banner segundo nível consta a política de cookies, contendo informações genéricas, o que dificulta a compreensão por parte do usuário.

Diante disso, a ANPD fez recomendações de adequação do site às boas práticas, por exemplo, no banner de primeiro nível, aconselhou que o site disponibilize botão de fácil visualização, que permita rejeitar todos os cookies não-necessários; e desative cookies baseados no consentimento por padrão (opt-in).

No dia 22 de agosto de 2022 foi publicada a Nota Técnica n° 68/2022/CGF/ANPD que conclui a análise sobre o tratamento de dados realizado entre a Receita Federal e o Serviço Federal de Processamento de Dados (Serpro).

Em 21 de setembro de 2022, a ANPD publicou a Nota Técnica n° 75/2022/CGF/ANPD que analisou o Acordo de Cooperação Técnica entre o Serpro e a empresa DrumWave.

A ANPD prestou esclarecimento ao Ministério do Trabalho e Previdência (MTP) sobre a divulgação de dados pessoais de titulares beneficiários dos auxílios emergencial de taxistas e de transportadores autônomos de carga (TAC) na Nota Técnica n° 92/2022, publicada no dia 1º de novembro de 2022.

A secretaria-executiva do Ministério do Trabalho e da Previdência questionou se a divulgação dos dados pessoais dos beneficiários de auxílios emergenciais de taxistas e de transportadores autônomos poderia ser feita — haveria prevalência da publicidade ou da proteção dos dados pessoais?

A ANPD esclareceu que não é possível estabelecer quais dos dois princípios prevalecerá, uma vez que deverá ser feita uma análise do caso concreto. Na situação em discussão, entende que a divulgação dos dados é lícita, uma vez que as portarias que instituem os benefícios determinam que sejam divulgados nos sítios eletrônicos as informações a respeito dos indivíduos que efetivamente receberam pagamento, dessa forma, a divulgação está de acordo com a persecução do interesse público (artigo 23 da LGPD). Destaca, ainda, que o MTP deve observar o princípio da necessidade e divulgar somente os dados necessários ao cumprimento da publicidade e do disposto na Lei de Acesso à Informação.

É importante que as organizações acompanhem as manifestações da ANPD, para que as suas ações sejam pautadas de forma adequada àquela que é a autoridade responsável pela privacidade e proteção de dados pessoais no Brasil.

Fonte: www.anpd.gov.br