Como adequar as políticas de privacidade com as primeiras orientações da ANPD?

Como adequar as políticas de privacidade com as primeiras orientações da ANPD?

No dia 14 de maio de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Nota Técnica nº 02/2021/CGTP/ANPD, cujo objeto é a análise da conformidade da nova Política de Privacidade do WhatsApp com a Lei Geral de Proteção de Dados (LGPD). Desta Nota já é possível extrair os seguintes posicionamentos que devem ser considerados na elaboração das Políticas de Privacidade.

1- Foco no princípio da transparência: A ANPD ressalta a importância da observação do princípio da transparência no tratamento de dados pessoais.

Isso significa que as empresas devem garantir o acesso à informação sobre os tratamentos de dados que realiza de forma clara, precisa e facilitada.

Em termos práticos, a empresa deve tomar as seguintes cautelas na divulgação das Políticas de Privacidade:

1- Facilitar a disponibilização das informações através do destaque das Políticas de Privacidade e Termos de Uso no site/aplicativo, evitando a disponibilização da informação a partir de vários links. Ou seja, o ideal é que todas as informações estejam consolidadas em um único documento (link);

2- Adotar linguagem que considere o nível de compreensão dos titulares, que, na grande maioria, não possuem clara compreensão dos riscos decorrentes dos tratamentos de dados;

3- A transparência também deve ser observada no uso de inteligência artificial, principalmente nos casos de perfilização (uso de inteligência artificial para verificar os interesses/perfil dos titulares). A empresa não precisa revelar suas fórmulas algoritmas, mas deve ser transparente quanto aos dados coletados e finalidades pretendidas com este tratamento.

5- Informar quais informações são compartilhadas com outras empresas.

2- A Importância de citar as bases legais que legitimam o tratamento: A ANPD questiona o fato de a Política de Privacidade Brasileira do WhatsApp não apresentar as bases legais que justificam o tratamento dos dados pessoais para cada uma das finalidades, bem como a falta de informação sobre quais categorias de dados pessoais são utilizadas para cada uma das finalidades.

Importante salientar que a LGPD não exige no seu art. 9º a disponibilizam das bases legais que legitimam o tratamento. Todavia, a ANPD enfatiza a importância desta informação com fundamento no princípio da transparência. No entender da ANPD: “apresentar as bases legais aos titulares demonstra, ademais, a legitimidade do tratamento e traz clareza sobre este, o que leva a uma transparência efetiva. Somente com a transparência é que os titulares poderão exercer a chamada autodeterminação informacional e exercer seus direitos, em especial o de livre acesso.”

Desse modo, as empresas devem informar as finalidades dos tratamentos de dados pessoais, quais categorias de dados são tratados para cada uma das finalidades e informar quais as bases legais aplicáveis para cada uma das finalidades.

3- Cuidado no exercício dos direitos dos titulares: A ANPD alerta sobre a obrigação de empresa informar o modo como os titulares podem exercer os direitos previstos no art. 18 da LGPD.

Foi ressaltado na nota técnica que a menção aos direitos dos titulares nas Políticas não deve ser entendida como a reprodução literal do dispositivo da lei.

Outro ponto que a ANPD considerou irregular foi o modo de identificação do encarregado. A ANPD ressaltou que o art. 41, §1º da LGPD exige que, além das informações do contato, seja divulgada a identidade do encarregado.

4- Pontos mínimos que devem constar no Relatório de Impacto à Proteção de Dados: Embora a ANPD ainda não tenha regulamentado este tema, na nota técnica já apontou algumas informações mínimas que devem compor o Relatório de Impacto à Proteção de Dados:

  1. a) Descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive quanto aos legítimos interesses do responsável pelo tratamento, bem como quanto ao uso de inteligência artificial e decisões automatizadas;
  2. b) Avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;
  3. c) Avaliação dos riscos às liberdades civis e aos direitos fundamentais dos titulares de dados, compreendendo uma matriz de probabilidade e impacto para que se possa identificar o risco identificado e o risco residual e
  4. d) Medidas de segurança técnicas e administrativas previstas para lidar com os riscos e assegurar a proteção dos dados pessoais, considerando os direitos e as legítimas expectativas dos titulares dos dados.

5- Cuidado na escolha das bases legais: Através de trocas de ofícios, o WhatsApp apontou o uso das bases legais necessidade contratual (art. 7º, V, LGPD) e do legítimo interesse (art. 7º, IX, LGPD) para as finalidades de “aprimoramento de serviços” e “personalização de recursos”.

A ANPD evidenciou que a base legal “necessidade contratual” deve ser utilizada apenas no tratamento de dados pessoais necessários para a execução de contrato ou de procedimentos a ele preliminares, cujo titular seja parte.

Assim, situações como “aprimoramento de serviços” e “personalização de recursos” não se relacionam com a execução do contrato perante o titular. Nesses casos, a base legal mais adequada é o legítimo interesse, já que tais finalidades visam garantir a inovação das funcionalidades do aplicativo e a ampliação da experiência dos usuários para que a empresa consiga se destacar dos seus concorrentes.

A ANPD ainda ressaltou que o uso da base legal do legítimo interesse depende da observância dos seguintes pontos:

(i) –Apenas os dados minimamente necessários para a realização das finalidades pretendidas devem ser tratados (princípio da necessidade);

(ii) – No teste de balanceamento o legítimo interesse não pode prevalecer em detrimento dos direitos e liberdades do titular;

(iii) – Deve ser garantida a transparência dos tratamentos de dados baseados no legítimo interesse para permitir o controle social e pela ANPD em relação ao balanceamento entre os interesses do controlador e a legitimidade do tratamento;

(iv) -Evidenciar quais categorias de dados são tratadas sob a justificativa o legítimo interesse e no contexto de quais finalidades

6- Consentimento do usuário em relação ao Termo de Uso não se confunde com o consentimento em relação ao tratamento dos dados.

A ANPD ressaltou que o consentimento do usuário em relação ao Termo de Uso do aplicativo não se confunde com a base legal do consentimento para o tratamento dos dados pessoais. Portanto, tal ponto deve ser observado pelas empresas, principalmente porque o uso do consentimento como base legal implica na adoção de um sistema de gestão deste consentimento capaz de garantir a revogação ou revisão pelo titular.

7- Medidas de prevenção e segurança

A ANPD considerou que a lista de salvaguardas apresentada está em conformidade com às boas práticas de segurança e privacidade da informação. Todavia, fez algumas ressalvas em relação a falta de detalhamento sobre as práticas de descarte e exclusão segura dos dados, a falta de informações sobre a construção de um inventário de dados, do registro de operações de tratamento de dados pessoais e dos registros de compartilhamentos, transferências e divulgação de dados pessoais.

Tal ponto da Nota demonstra que não basta a divulgação das medidas de segurança adotadas, mas, principalmente no caso de fiscalizações, é importante demonstrar como estas medidas são operacionalizadas, a fim de que a ANPD posso verificar a sua adequação e efetividade.

Pela análise da Nota Técnica nº 02/2021/CGTP/ANPD é possível concluir que a ANPD adota interpretação extensiva da LGPD. Isso significa que as empresas não podem considerar apenas a literalidade da LGPD nos seus projetos de conformidade, sendo necessário também a clara compreensão GDPR e dos princípios que regem a privacidade e proteção de dados pessoais.

*Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)