Pesquisa sobre larga escala e tratamento de alto risco ao titular de dados pessoais

Órgão: Autoridade Nacional de Proteção de Dados

Status: Encerrada

Abertura: 29/08/2022

Encerramento: 28/10/2022

Contribuições Recebidas: 36

Resumo

O art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, dispôs sobre os critérios para definição do tratamento de alto risco ao titular de dados, nos seguintes termos:

Art. 4º Para fins deste regulamento, e sem prejuízo do disposto no art. 16, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:

I - critérios gerais:

a) tratamento de dados pessoais em larga escala; ou

b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;

II - critérios específicos:

a) uso de tecnologias emergentes ou inovadoras;

b) vigilância ou controle de zonas acessíveis ao público;

c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

§ 1º O tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

§ 2º O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

§ 3º A ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.

De forma a trazer mais clareza à definição de tratamento de alto risco para os agentes de tratamento e titulares de dados, a ANPD está elaborando um guia com orientações capazes de auxiliar na avaliação pelos agentes de tratamento de pequeno porte quanto ao tratamento de dados pessoais por eles realizado.

Ressalta-se que, dentre os diversos critérios de definição do tratamento de alto risco, observa-se que a larga escala pode ser um dos critérios capaz de trazer maior facilidade ao agente na avaliação do tratamento realizado, considerando para tanto a abrangência do número significativo de titulares, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento.

Dessa forma, a fim de subsidiar a elaboração do guia pela ANPD sobre o tratamento de alto risco ao titular, a ANPD realiza a presente tomada de subsídios aos agentes de tratamento de dados pessoais e especialistas por meio de questionamentos relacionados ao tema.

A participação na consulta deve ocorrer por meio de respostas às questões abaixo descritas, exclusivamente por meio da Plataforma Participa + Brasil. PARA OPINAR, É PRECISO SE CADASTRAR E ESTAR LOGADO NA PLATAFORMA.

A ANPD considera bem-vindas todas as contribuições a quaisquer das perguntas abaixo, não sendo obrigatório responder a todos os questionamentos.

O questionário está organizado em duas partes. A parte 1 é voltada para agentes de tratamento de dados pessoais e a parte 2 é voltada para o público em geral.

Caso deseje compartilhar relatórios, imagens ou anexos, favor enviar para o e-mail normatizacao@anpd.gov.br, durante o período da consulta, fazendo referência à "Pesquisa para definição de tratamento de alto risco” no assunto do e-mail.

Não envie respostas às perguntas por e-mail; apenas anexos, com materiais complementares às respostas aos questionamentos, serão aceitos.

*ATENÇÃO* Cada usuário somente pode enviar sua resposta uma única vez, considerando que a plataforma não permite mais de uma contribuição por usuário. Portanto, sugerimos que todas as respostas sejam submetidas ao mesmo tempo

Registre sua Opinião

Parte 1 - Informações sobre agentes de tratamento de dados pessoais

Nesta seção inicial as perguntas se destinam aos agentes de tratamento de dados pessoais. As informações coletadas poderão ser utilizadas pela ANPD para o estudo que subsidiará a elaboração do guia.

1. Você é ou responde este questionário em nome de algum agente de tratamento de dados pessoais?

Sim
Não

CASO NÃO SEJA UM AGENTE DE TRATAMENTO OU NÃO REPRESENTE UM AGENTE DE TRATAMENTO, MARQUE "NÃO SE APLICA" NAS DEMAIS PERGUNTAS DA PARTE 1.

1.1 Sua instituição é considerada um agente de tratamento de pequeno porte (ATPP)? (De acordo com Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, estes agentes consistem em microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador).

Sim
Não
Não se aplica.

1.2 Caso represente um agente de tratamento de pequeno porte, escolha a opção abaixo que representa sua natureza jurídica.

Microempresa, empresa de pequeno porte ou microempreendedor individual;
Startup;
Pessoa jurídica de direito privado sem fins lucrativos (Ex.: associações, fundações e organizações religiosas);
Pessoa natural que atua como controlador ou operador;
Outras pessoas jurídicas de direito privado não mencionadas acima (Ex.: sociedades de advogados).
Ente privado despersonalizado (Ex.: condomínios residenciais); ou
Não se aplica

1.3.1 Caso o setor não esteja listado e tenha assinalado a opção “outro”, indique o nome do setor de atuação do agente de tratamento.

300 caracteres

1.4 Qual o número de titulares afetados pelas operações de tratamento de dados pessoais que realiza (número aproximado de pessoas cujos dados são tratados)? Caso não tenha a informação precisa, apresente um número aproximado.

300 caracteres

1.5 O agente de tratamento realiza tratamento de dados sensíveis?

Sim
Não
Não se aplica

1.5.1 Caso realize tratamento de dados sensíveis, quais são os tipos de dados sensíveis tratados?

Opinião política
Origem racial ou étnica
Filiação a sindicato
Convicção religiosa
Organização de caráter religioso, filosófico ou político
Vida sexual
Saúde
Dado genético ou biométrico
Não se aplica

Parte 2 - Informações Específicas sobre o tratamento de alto risco ao titular

A parte 2 está estruturada da seguinte forma: i) as questões 2 a 5 se referem ao tratamento de larga escala e as questões 6 a 8 referem-se aos demais critérios para definição de tratamento de alto risco.

Para a definição de larga escala, segundo o art. 4º, § 1º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, deve-se utilizar os critérios de número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

Tratamento em larga escala

2. Uma opção para a definição do número significativo de titulares no tratamento de dados pessoais em larga escala consiste em utilizar valores objetivos que representem o número de titulares a que os dados pessoais tratados ou afetados pertencem. Neste contexto, qual deve ser o número de titulares afetados pelo tratamento de dados pessoais para que seja considerado significativo?

Acima de 10 mil titulares
Acima de 100 mil titulares
Acima de 1 milhão de titulares
Acima de 10 milhões de titulares

Fundamentar a resposta:

1000 caracteres

Para responder os itens 3 e 4, considere a definição de divisão territorial brasileira utilizada pelo Instituto Brasileiro de Geografia e Estatística (IBGE) para o cálculo populacional, qual seja: Nacional, Unidade Federativa - UF, Município e Distrito.

3 Outra opção para a definição do número significativo de titulares de dados pessoais consiste em utilizar o percentual de titulares que tenham seus dados tratados em relação ao número total da população de uma determinada região, considerando a área de atuação do agente. Por exemplo, se o agente de tratamento tem atuação em apenas um município, seria considerado um percentual sobre a população total daquela localidade. Já para agentes de tratamento com atuação nacional seria considerada a população do país para o cálculo. No contexto apresentado, qual deve ser o valor percentual para que seja considerado como significativo?

Acima de 1% (um por cento) da população
Acima de 2% (dois por cento) da população
Acima de 4% (quatro por cento) da população
Acima de 6% (seis por cento) da população
Acima de 8% (oito por cento) da população
Acima de 10% (dez por cento) da população

3.1 Fundamente a resposta:

2000 caracteres

4. Outro possível critério na definição de tratamento de dados pessoais em larga escala refere-se ao volume de dados pessoais tratados pelos agentes de tratamento.

4.1 Na sua opinião, qual deveria ser o conceito de volume de dados pessoais?

2000 caracteres

4.2 Qual(is) métrica(s) poderia(m) ser considerada(s) adequada(s) para o cálculo do volume de dados tratados? Fundamente a resposta.

2000 caracteres

4.3 Qual(is) valor(es) poderia(m) ser considerado(s) adequado(s) para a definição do volume de dados como critério na definição de tratamento de dados pessoais em larga escala?

300 caracteres

4.4 Ainda sobre o critério de volume de dados pessoais envolvidos para a definição de tratamento de dados pessoais em larga escala, seria adequado distinguir o volume de dados pessoais gerais do volume de dados pessoais de dados sensíveis de crianças, de adolescentes e de idosos?

2000 caracteres

4.5 Existe experiência internacional (normativos ou casos concretos) de utilização de valores mínimos de volume de dados pessoais tratados dados para definição de larga escala?

2000 caracteres

5. Outros critérios para definição de larga escala dizem respeito à frequência e à duração do tratamento dos dados pessoais pelo agente de tratamento.

5.1 Qual seria a escala de tempo a ser utilizada na avaliação da frequência e à duração do tratamento de dados pessoais? Exemplo: tratamento diário, semanal, mensal, anual, dentre outras possibilidades.

2000 caracteres

5.2 Deveria existir algum parâmetro adicional para definição da frequência e duração do tratamento do dado pessoal? Por exemplo, diferenciação de dados pessoais tratados com a mesma finalidade, dados pessoais do mesmo titular de dados, dados pessoais com a mesma natureza, dentre outros.

2000 caracteres

Demais critérios

6. Outro critério para a definição de alto risco diz respeito ao uso de tecnologias emergentes ou inovadoras, nos termos do art. 4º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte. Sobre esse aspecto, quais tecnologias poderiam ser consideradas emergentes ou inovadoras? Justifique. Por exemplo: perfilamento, rastreamento de localização, ambiente de realidade virtual, dentre outros.

2000 caracteres

7. Existem experiências e práticas internacionais relacionadas ao tratamento de alto risco, inclusive com relação à larga escala, que considere relevante? Caso disponível, favor colocar o link para acesso às informações que forem consideradas.

2000 caracteres

8. Gostaria de deixar alguma consideração, referência ou comentário final sobre o tratamento de dados pessoais em larga escala e/ou de alto risco?

Caso possua informações complementares sobre o tema e queira compartilhar com a ANPD, solicitamos que sejam enviadas para normatizacao@anpd.gov.br.

2000 caracteres

Envio de opiniões não permitido. Opine aqui encontra-se encerrado.