Destaques da ANPD em 2024
No dia 28 de janeiro, celebramos o Dia Internacional da Proteção de Dados, uma oportunidade para promover a conscientização sobre a privacidade na era digital, com foco no tratamento adequado dos dados pessoais dos titulares. No Brasil, a Autoridade Nacional de Proteção de Dados (ANPD) tem atuado de forma contínua para dar concretude ao tema, regulamentando diversos aspectos da Lei Geral de Proteção de Dados (LGPD), promulgada em 2018. Apenas em 2024, a ANPD destacou-se por:
- Sancionar o INSS e a Secretaria de Educação do DF por violações à LGPD: o INSS foi condenado por não comunicar a ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido a determinações da ANPD. O incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento, dados passíveis de serem usados em fraudes e em roubo de identidade. Já a Secretaria de Educação do Distrito Federal deixou de manter registro de operações de dados pessoais; de elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD; de comunicar aos titulares a ocorrência de incidente de segurança que representasse risco ou dano; e de usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD.
- Lançar o Guia Orientativo sobre Legítimo Interesse: o Legítimo interesse é uma das hipóteses legais para o tratamento de dados trazida pela LGPD, autorizando o tratamento de dados pessoais quando necessário para atender aos interesses legítimos do controlador ou de terceiros, desde que tais interesses e finalidades não violem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. O Guia traz orientações sobre a interpretação e a aplicação da hipótese legal, dispondo sobre as definições dos institutos que os cercam, além de parâmetros de interpretação. Também é apresentado um modelo de teste de balanceamento, dividido nas seguintes fases: i) finalidade; ii) necessidade; e iii) balanceamento e salvaguardas.
- Aprovar o Regulamento de Comunicação de Incidente de Segurança: O Regulamento aprovado prevê que o controlador deve comunicar a ANPD e o titular de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante. A obrigatoriedade está diretamente relacionada ao possível prejuízo a interesses e direitos fundamentais dos titulares e ao envolvimento de dados pessoais sensíveis, de menores de idade, financeiros, de autenticação em sistema, protegidos por sigilo ou tratados em larga escala. O regulamento também traz os prazos para que o controlador efetive a comunicação e quais informações devem ser encaminhadas. Além disso, dispõe sobre a obrigatoriedade de manter o registro dos incidentes de segurança com dados pessoais por ao menos cinco anos.
- Ser formalizada como coordenadora do Sistema Nacional de Inteligência Artificial no Projeto de Lei nº 2338/23 aprovado no Senado (Marco da IA): A formalização foi apresentada no Projeto de Lei nº 2338/23, já aprovada no Senado, que dispõe sobre o uso da inteligência artificial (IA) no Brasil. Como órgão de coordenação do SIA, a ANPD receberá cada vez mais novas atribuições, exercendo papel fundamental na regulação da IA no país.
- Publicar estudo sobre Biometria e Reconhecimento Facial: O estudo, que tem como objeto a pauta prioritária na Agenda Regulatória da ANPD, aborda as aplicações e impactos dessas tecnologias em diversos setores, além de discutir os riscos e desafios associados à privacidade e proteção de dados pessoais. A pesquisa evidenciou que há que se levar em conta que informações biométricas são dados pessoais sensíveis e que eventuais erros podem acarretar consideráveis prejuízos à pessoa identificada erroneamente. Além disso, podem refletir aspectos discriminatórios em certos segmentos sociais.
- Determinar a suspensão cautelar do tratamento de dados para treinamento da IA da Meta: A Autoridade emitiu uma Medida Preventiva determinando a imediata suspensão da nova política de privacidade da Meta no Brasil, que autorizava o uso de dados pessoais publicados em suas plataformas para fins de treinamento de sistemas de inteligência artificial (IA). Foi estabelecida multa diária de R$ 50 mil por descumprimento.
- Aprovar a norma sobre a Atuação do Encarregado de Dados Pessoais: O Encarregado foi uma figura criada pela LGPD, cabendo a ele fazer a interface entre o titular dos dados, o agente de tratamento e a ANPD. Também é sua responsabilidade orientar a organização para a qual trabalha em relação às melhores práticas no tratamento de dados. O regulamento detalha aspectos do papel do Encarregado, incluindo dispositivos sobre a divulgação de sua identidade e de informações de contato; os deveres dos agentes de tratamento; e as situações de conflito de interesse.
- Aprovar o Regulamento sobre Transferências Internacionais de Dados: O texto regulamenta os artigos 33 a 36 da LGPD, estabelecendo procedimentos e regras para o reconhecimento de adequação de outros países ou organismos internacionais, bem como disciplinando mecanismos contratuais para a realização de transferências internacionais de dados pessoais;
- Abrir processo sancionador e emitir determinações ao TikTok: A Autoridade determinou ao TikTok a implementação de ações de regularização e instaurou processo administrativo sancionador para investigar potenciais práticas de tratamento irregular de dados pessoais de crianças e adolescentes. Foram constatados indícios de irregularidades relativas à fragilidade dos mecanismos de verificação de idade, aliado a tratamento irregular de dados, o que pode configurar descumprimento do artigo 14 da LGPD, que estabelece diretrizes para a proteção dos direitos de crianças e adolescentes.
- Publicar estudo sobre IA Generativa: O documento apresenta uma análise técnica abrangente sobre os fundamentos da IA generativa, explorando conceitos como: (i) Raspagem de dados da web (data scraping ou web scraping), prática que pode envolver o tratamento de dados pessoais; (ii) Geração de conteúdos sintéticos, que potencialmente podem conter informações pessoais; (iii) Práticas de compartilhamento de dados pessoais em sistemas de IA generativa. Além disso, o estudo aborda como essas questões se relacionam com princípios da LGPD, incluindo o da transparência e o da necessidade, oferecendo um olhar preliminar sobre os desafios regulatórios nesse campo emergente;
- Fiscalizar 20 empresas por falta de Encarregado e canal de comunicação adequado: A Autoridade iniciou um processo de fiscalização envolvendo 20 empresas de grande porte que não indicaram o contato do Encarregado pelo tratamento de dados pessoais, conforme exigido pelo artigo 41 da LGPD. A medida também se estende a organizações que, além de não disponibilizarem um canal de comunicação adequado para atender aos titulares de dados, oferecem canais que não são efetivos, dificultando o exercício de direitos como acesso, correção e exclusão de dados pessoais.
- Determinar adoção de medidas preventivas à X. Corp: A Autoridade determinou à X. Corp, a suspensão do treinamento de dados de menores de 18 anos para fins de treinamento de IA generativa e que a informação de “não tratamento” seja incluída na Política de Privacidade, devendo também desabilitar a opção de compartilhamento de dados pessoais para essa finalidade.
As iniciativas destacadas reforçam a relevância da proteção de dados pessoais no Brasil e os esforços da ANPD para garantir a aplicação efetiva da LGPD. Se você ou sua empresa busca orientação sobre como se adequar às regulamentações ou melhorar suas práticas de proteção de dados, nossa equipe está à disposição para ajudar. Entre em contato para esclarecer dúvidas e implementar soluções que promovam segurança e conformidade no tratamento de dados pessoais.
Por Karen Yui