No dia 14 de maio de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Nota Técnica nº 02/2021/CGTP/ANPD, cujo objeto é a análise da conformidade da nova Política de Privacidade do WhatsApp com a Lei Geral de Proteção de Dados (LGPD). Desta Nota já é possível extrair os seguintes posicionamentos que devem ser considerados na elaboração das Políticas de Privacidade.
1- Foco no princípio da transparência: A ANPD
ressalta a importância da observação do princípio da transparência no
tratamento de dados pessoais.
Isso significa que as empresas devem garantir o
acesso à informação sobre os tratamentos de dados que realiza de forma clara,
precisa e facilitada.
Em termos práticos, a empresa deve tomar as
seguintes cautelas na divulgação das Políticas de Privacidade:
1- Facilitar a disponibilização das informações
através do destaque das Políticas de Privacidade e Termos de Uso no
site/aplicativo, evitando a disponibilização da informação a partir de vários
links. Ou seja, o ideal é que todas as informações estejam consolidadas em um
único documento (link);
2- Adotar linguagem que considere o nível de
compreensão dos titulares, que, na grande maioria, não possuem clara
compreensão dos riscos decorrentes dos tratamentos de dados;
3- A transparência também deve ser observada no uso
de inteligência artificial, principalmente nos casos de perfilização
(uso de inteligência artificial para verificar os interesses/perfil dos
titulares). A empresa não precisa revelar suas fórmulas algoritmas, mas deve
ser transparente quanto aos dados coletados e finalidades pretendidas com este
tratamento.
4- Informar quais informações são compartilhadas
com outras empresas.
2- A Importância de citar as bases legais que legitimam o tratamento: A ANPD questiona o fato de a Política de Privacidade Brasileira do WhatsApp não apresentar as bases legais que justificam o tratamento dos dados pessoais para cada uma das finalidades, bem como a falta de informação sobre quais categorias de dados pessoais são utilizadas para cada uma das finalidades.
Importante salientar que a LGPD não exige no seu art. 9º a disponibilizam das bases legais que legitimam o tratamento. Todavia, a ANPD enfatiza a importância desta informação com fundamento no princípio da transparência. No entender da ANPD: “apresentar as bases legais aos titulares demonstra, ademais, a legitimidade do tratamento e traz clareza sobre este, o que leva a uma transparência efetiva. Somente com a transparência é que os titulares poderão exercer a chamada autodeterminação informacional e exercer seus direitos, em especial o de livre acesso.”
Desse modo, as empresas devem informar as
finalidades dos tratamentos de dados pessoais, quais categorias de dados são
tratados para cada uma das finalidades e informar quais as bases legais
aplicáveis para cada uma das finalidades.
3- Cuidado no exercício dos direitos dos titulares: A ANPD alerta sobre a obrigação de empresa informar o modo como os titulares podem exercer os direitos previstos no art. 18 da LGPD.
Foi ressaltado na nota técnica que a menção aos direitos dos titulares nas Políticas não deve ser entendida como a reprodução literal do dispositivo da lei.
Outro ponto que a ANPD considerou irregular foi o
modo de identificação do encarregado. A ANPD ressaltou que o art. 41, §1º da
LGPD exige que, além das informações do contato, seja divulgada a identidade do
encarregado.
4- Pontos mínimos que devem constar no Relatório de
Impacto à Proteção de Dados: Embora a ANPD ainda não tenha regulamentado este
tema, na nota técnica já apontou algumas informações mínimas que devem compor o
Relatório de Impacto à Proteção de Dados:
- a)
Descrição sistemática das operações de tratamento previstas e a finalidade
do tratamento, inclusive quanto aos legítimos interesses do responsável
pelo tratamento, bem como quanto ao uso de inteligência artificial e
decisões automatizadas;
- b)
Avaliação da necessidade e proporcionalidade das operações de tratamento
em relação aos objetivos;
- c)
Avaliação dos riscos às liberdades civis e aos direitos fundamentais dos
titulares de dados, compreendendo uma matriz de probabilidade e impacto
para que se possa identificar o risco identificado e o risco residual e
- d)
Medidas de segurança técnicas e administrativas previstas para lidar com
os riscos e assegurar a proteção dos dados pessoais, considerando os
direitos e as legítimas expectativas dos titulares dos dados.
5- Cuidado na escolha das bases legais: Através de trocas de ofícios, o WhatsApp apontou o uso das bases legais necessidade contratual (art. 7º, V, LGPD) e do legítimo interesse (art. 7º, IX, LGPD) para as finalidades de “aprimoramento de serviços” e “personalização de recursos”.
A ANPD evidenciou que a base legal “necessidade contratual” deve ser utilizada apenas no tratamento de dados pessoais necessários para a execução de contrato ou de procedimentos a ele preliminares, cujo titular seja parte.
Assim, situações como “aprimoramento de serviços” e “personalização de recursos” não se relacionam com a execução do contrato perante o titular. Nesses casos, a base legal mais adequada é o legítimo interesse, já que tais finalidades visam garantir a inovação das funcionalidades do aplicativo e a ampliação da experiência dos usuários para que a empresa consiga se destacar dos seus concorrentes.
A ANPD ainda ressaltou que o uso da base legal do legítimo interesse depende da observância dos seguintes pontos:
(i) –Apenas os dados minimamente necessários para a
realização das finalidades pretendidas devem ser tratados (princípio da
necessidade);
(ii) – No teste de balanceamento o legítimo
interesse não pode prevalecer em detrimento dos direitos e liberdades do
titular;
(iii) – Deve ser garantida a transparência dos
tratamentos de dados baseados no legítimo interesse para permitir o controle
social e pela ANPD em relação ao balanceamento entre os interesses do
controlador e a legitimidade do tratamento;
(iv) -Evidenciar quais categorias de dados são
tratadas sob a justificativa o legítimo interesse e no contexto de quais
finalidades
6- Consentimento do usuário em relação ao Termo de Uso não se confunde com o consentimento em relação ao tratamento dos dados.
A ANPD ressaltou que o consentimento do usuário em
relação ao Termo de Uso do aplicativo não se confunde com a base legal do
consentimento para o tratamento dos dados pessoais. Portanto, tal ponto deve
ser observado pelas empresas, principalmente porque o uso do consentimento como
base legal implica na adoção de um sistema de gestão deste consentimento capaz
de garantir a revogação ou revisão pelo titular.
7- Medidas de prevenção e segurança
A ANPD considerou que a lista de salvaguardas apresentada está em conformidade com às boas práticas de segurança e privacidade da informação. Todavia, fez algumas ressalvas em relação a falta de detalhamento sobre as práticas de descarte e exclusão segura dos dados, a falta de informações sobre a construção de um inventário de dados, do registro de operações de tratamento de dados pessoais e dos registros de compartilhamentos, transferências e divulgação de dados pessoais.
Tal ponto da Nota demonstra que não basta a divulgação das medidas de segurança adotadas, mas, principalmente no caso de fiscalizações, é importante demonstrar como estas medidas são operacionalizadas, a fim de que a ANPD posso verificar a sua adequação e efetividade.
Pela análise da Nota Técnica nº 02/2021/CGTP/ANPD é
possível concluir que a ANPD adota interpretação extensiva da LGPD. Isso
significa que as empresas não podem considerar apenas a literalidade da LGPD
nos seus projetos de conformidade, sendo necessário também a clara compreensão
GDPR e dos princípios que regem a privacidade e proteção de dados pessoais.
Juliana Callado Gonçales - sócia do Silveira
Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)
Nenhum comentário:
Postar um comentário