No dia 15 de maio, a Autoridade Nacional de Proteção de Dados (ANPD) realizou um webinar com o intuito de orientar a população sobre o tratamento de dados pessoais considerados de alto risco. O principal objetivo deste evento foi definir e clarificar, através de critérios objetivos e subjetivos, a interpretação da autoridade sobre o que constitui um tratamento de dados de alto risco.
Este artigo é baseado no conteúdo apresentado no webinar da Autoridade Nacional e tem como objetivo servir de guia para DPOs, consultores de proteção de dados e agentes de tratamento em geral. Aqui, oferecemos diretrizes para identificar o tratamento de dados que são considerados de alto risco.
Critério Gerais e Específicos
O conceito de alto risco é estabelecido de maneira conjugada no artigo 4º da Resolução CD/ANPD nº 2/2022, envolvendo tanto critérios gerais quanto específicos:
Ou seja, para ser considerado de alto risco, o tratamento de dados precisará contar com ao menos um critério geral e um específico. Nos próximos tópicos, vamos detalhar cada critério individualmente, esclarecendo aspectos legais para facilitar a compreensão.
1º Critério Geral: Larga Escala
'Larga escala' é descrita como envolvendo "um número significativo de titulares", e foi especificada para incluir qualquer tratamento que afete pelo menos 2 milhões de titulares de dados.
Os demais elementos, quais sejam: volume, extensão geográfica, duração e frequência são tidos como complementares, e dessa forma serão levados em consideração quando o tratamento não atingir o quantitativo de 2 milhões de titulares de dados.
No próximo tópico abordaremos a metodologia utilizada para definir “larga escala”.
Metodologia Orientativa
Etapa 1:
A primeira etapa para a aferição do tratamento de dados de alto risco seria a determinação do número de titulares (NT) cujos dados são tratados e seu valor associado. Veja tabela:
Vale lembrar que a finalidade do tratamento deve também sempre ser considerada, pois o risco é intrinsecamente ligado à finalidade.
Etapa 2:
Outro fator importante é o Volume de Dados por Titular (VDT). Este índice é calculado de maneira direta: divide-se o número total de dados pelo número de titulares, resultando na média de dados por titular. O resultado obtido deve ser referenciado na tabela abaixo:
Etapa 3:
Na etapa 3 determina-se o valor associado ao intervalo de tempo (T) durante o qual os dados são tratados, ou seja, o período de tratamento. Veja a tabela:
Etapa 4:
Esta etapa será sobre determinar a frequência (F) em que os dados dos titulares são tratados:
Etapa 5:
Aqui determina-se o valor associado à extensão geográfica (EG) em que os dados são tratados:
Fórmula de Cálculo:
Após todas as etapas tem-se a fórmula de cálculo final que se baseia na somatória de todos os valores auferidos nas etapas anteriores.
O resultado servirá para verificar a existência ou não de Larga Escala no tratamento de Dados. Veja tabelas:
2º Critério Geral: Afetar Significativamente Interesses e Direitos Fundamentais
O critério aqui utilizado é qualitativo e se divide em três elementos centrais:
- Causar danos materiais
- Impedir o exercício regular de direitos
- Impedir a utilização regular de serviços
A Resolução não especifica que serviços seriam, mas tende-se a pensar que seriam serviços de grande relevância, ou seja, serviços ditos essenciais, como por exemplo: home care.
Critérios Específicos
Critério 1: Uso de Tecnologias Emergentes ou Inovadoras
Neste critério a utilização de tecnologias como Inteligência artificial, sistemas de reconhecimento facial e veículos autônomos podem ser citados, por serem consideradas ferramentas de alto risco em potencial.
Critério 2: Vigilância ou Controle de Zonas Acessíveis ao Público
Aqui, pode-se citar a título de exemplo, câmeras de segurança, drones de monitoramento ou dispositivos de rastreamento via GPS.
Critério 3: Decisões Tomadas Unicamente com Base em Tratamento Automatizado de Dados Pessoais
No terceiro critério específico mencionamos como exemplo discriminação algorítmica e discriminação por generalização injusta ou limitadora do exercício de direitos.
Critério 4: Utilização de Dados Pessoais Sensíveis ou de Dados Pessoais de Crianças, de Adolescentes ou de Idosos
Este critério engloba três categorias distintas de dados. Primeiramente, os dados sensíveis, conforme definidos no art. 5º da LGPD. Em segundo lugar, o tratamento de dados pessoais de crianças e adolescentes, que é regulado pelo art. 14 da mesma legislação e requer especial atenção devido à sua sensibilidade. Por fim, os dados pessoais de idosos, que também são de extrema relevância devido à vulnerabilidade inerente a esse grupo.
Conclusão
A compreensão e a aplicação adequada dos critérios para o tratamento de dados de alto risco são essenciais para garantir a proteção e a privacidade dos titulares dos dados. Este guia, baseado nas diretrizes da ANPD, oferece uma base sólida para profissionais encarregados de gerir e proteger dados pessoais, assegurando conformidade e mitigando riscos em ambientes cada vez mais digitalizados e regulados.