Além de abrir consulta pública sobre o “Guia de Anonimização e Pseudonimização” (veja nosso post), a ANPD também: (i) publicou um “Glossário de Proteção de Dados”; (ii) lançou um “Guia Orientativo sobre Legítimo Interesse”; (iii) abriu tomada de subsídios para norma sobre direitos dos dados pessoais; e, (iv) sancionou o INSS e a Secretaria da Educação do Distrito Federal por violarem disposições legais sobre o tratamento de dados pessoais.
Confira abaixo mais detalhes sobre a atuação da ANPD na última semana:
ANPD lança glossário de Proteção de Dados
No dia 31/01/24 foi lançada a primeira versão do Glossário de Proteção de Dados Pessoais. O documento contém o posicionamento oficial da ANPD sobre o significado dos principais conceitos sobre o assunto, bem como dos termos e expressões usados na Lei Geral de Proteção de Dados Pessoais (LGPD) e nos documentos da ANPD.
O Glossário ficará permanentemente aberto a comentários e a contribuições.
ANPD lança Guia Orientativo sobre legítimo interesse
No dia 02/02/24 foi publicado o Guia Orientativo das Hipóteses Legais de Tratamento de Dados – Legítimo Interesse. O objetivo é esclarecer pontos relevantes para a aplicação da hipótese legal do legítimo interesse de controladores ou de terceiros, inclusive no âmbito do Poder Público.
O legítimo interesse é uma das hipóteses legais para o tratamento de dados trazida pela LGPD. O art. 7º, IX da LGPD autoriza o tratamento de dados pessoais quando necessário para atender aos interesses legítimos do controlador ou de terceiros, desde que tais interesses e finalidades não violem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. A hipótese não se aplica aos dados pessoais sensíveis.
A publicação traz orientações sobre a interpretação e a aplicação dessa hipótese legal, dispondo sobre as definições dos institutos que a cerca, além de parâmetros de interpretação. Também é apresentado um modelo de teste de balanceamento, dividido nas seguintes fases: i) finalidade; ii) necessidade; e, iii) balanceamento e salvaguardas.
ANPD abre tomada de subsídios para norma sobre direitos dos dados pessoais
No dia 02/02/24 iniciou-se a tomada de subsídios para a elaboração de norma sobre os direitos dos titulares de dados pessoais. A sociedade poderá contribuir até o dia 04/03/24, dentro do Espaço Opine Aqui da plataforma Participa+Brasil (https://www.gov.br/participamaisbrasil/consulta-a-sociedade-sobre-os-direitos-dos-titulares).
Por meio da tomada de subsídios, a ANPD pretende que tanto os próprios titulares quanto os agentes de tratamento participem da elaboração do instrumento normativo.
ANPD sanciona INSS e Decretaria da Educação do DF por violação à ANPD
Na semana passada foram publicadas decisões em 2 processos sancionadores, um em face do Instituto Nacional de Seguro Social (INSS) e outro da Secretaria de Estado de Educação do Distrito Federal (SEEDF), em função de violação de disposições legais sobre o tratamento de dados pessoais.
Em decisão publicada dia 1/02, o INSS foi condenado por não comunicar a ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido a determinações da ANPD (art. 48 da LGPD e art. 32 da Resolução CD/ANPD nº 1/2021, respectivamente). O incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento, dados passíveis de serem usados em fraudes e em roubo de identidade.
A ANPD considerou que o incidente de segurança poderia acarretar danos relevantes aos direitos dos titulares dos dados pessoais, por envolver base de dados que continha informações sobre benefícios previdenciários. Desse modo, caberia ao INSS comunicar a ocorrência do incidente de segurança aos titulares afetados. O Instituto, entretanto, alegou inviabilidade técnica para individualizar as pessoas afetadas e não realizou a comunicação.
A ANPD não acatou a justificativa, entendendo que a entidade pública poderia ter realizado a comunicação de forma indireta – ou seja, por meio de ampla divulgação do incidente, conforme previsto na LGPD. Diante disso, condenou o INSS a publicizar a infração em seu site e no aplicativo “Meu INSS” durante 60 dias.
Já a SEEDF foi sancionada por violar uma série de dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade. A ANPD conclui que a Secretaria deixou de (a) manter registro de operações de dados pessoais (art. 37 da LGPD); (b) elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD); (c) comunicar aos titulares a ocorrência de incidente de segurança que representasse risco ou dano relevante (art. 48 da LGPD); e, (d) usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD (art. 5º do Regulamento de Fiscalização da ANPD). Diante das infrações, a ANPD aplicou 4 sanções de advertência em despacho decisório publicado no dia 31/01/24.
Por Juliana Neves, advogada do Mendonça de Barros Advogados.
Fonte: ANPD