O mês de março de 2023 foi marcado pela publicação pela Autoridade Nacional de Proteção de Dados (“ANPD”) do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, estabelecendo regras para classificação de sanções, medidas de monitoramento, orientação e prevenção pelo descumprimento às regras da Lei Geral de Proteção de Dados (“LGPD”). A norma estabelece critérios para sanções pecuniárias e a dosimetria para o cálculo do valor-base de multas (artigos 52 e 53 da LGPD), além de aprimorar o processo administrativo sancionador e de fiscalização da ANPD (alteração dos artigos 32, 55 e 62 da Resolução nº 01 CD/ANPD). Além disso, o novo Regulamento reforça a lógica responsiva da autoridade – orientação, prevenção e aplicação de sanção na medida em que valoriza a adoção de medidas preventivas pelos agentes de tratamento, como a divulgação transparente de informações, tempo de resposta em caso de incidentes e medidas de correção.
Diante das discussões em torno do novo Regulamento, os times de Privacidade e Proteção de Dados do L.O. Baptista, liderados pelos sócios Esther Jerussalmy Cunha e Fabricio Polido, elaboraram um guia orientação com o objetivo de facilitar a compreensão dos critérios para qualificação das infrações pela ANPD e com destaque para a importância das medidas preventivas pelos agentes de tratamento como circunstâncias atenuantes para minimizar a adoção das medidas repressivas. Para saber mais sobre o processo fiscalizatório da ANPD, acesse o guia aqui.
Tratamento de dados pessoais em larga escala.
Diante da análise do novo Regulamento, destaca-se o tratamento de dados pessoais em larga escala. Esta situação peculiar de tratamento (cumulada com outras hipóteses) ensejará a progressão da classificação de uma infração de média para grave. O tratamento em grande escala é definido pelo número significativo de titulares afetados, bem como pelo volume de dados, duração, frequência e extensão geográfica envolvidos no tratamento.
No início de 2022, a ANPD publicou outro regulamento (Resolução CD/ANPD nº 2, art. 4º, I, “a”) com o intuito de dispensar ou flexibilizar determinadas obrigações previstas na LGPD para microempresas, empresas de pequeno porte e startups, desde que estas empresas (dentre outras situações) não realizem atividades consideradas de alto risco. Dentre os critérios gerais para determinar se o tratamento dos dados pessoais é de alto risco, está justamente o tratamento de dados pessoais em larga escala.
Nesta mesma temática, no segundo semestre de 2022, com o objetivo de oferecer maior clareza à definição de tratamento de alto risco para os agentes de tratamento, a ANPD realizou uma pesquisa à sociedade para conceituação de tratamento em larga escala e de alto risco (ao titular de dados) que contou com 36 contribuições recebidas da sociedade e de especialistas sobre o tema. Nesta consulta, constavam questionamentos como: quais métricas poderiam ser consideradas adequadas para o cálculo do volume de dados tratados, ou quais valores poderiam ser considerados para definição do volume de dados como critério na definição de larga escala, critérios de frequência e duração, uso de tecnologias emergentes e inovadores, praticas internacionais.
Contexto europeu.
Assim como o Regulamento Geral de Proteção de Dados Pessoais (GDPR) da União Europeia, o conceito de tratamento de dados pessoais em larga escala é definido como qualquer operação que afete um grande número de pessoas. O GDPR não define um número específico que constitui “larga escala”, mas sugere que seja levado em consideração o número de pessoas afetadas, o volume de dados processados, a duração do processamento, a extensão geográfica dos dados e a variedade de operações de processamento realizadas. Diante disso, é possível observar que estas considerações foram objeto das perguntas direcionadas à consulta pública de tomada de subsídios para elaboração do guia para nossa Autoridade.
A partir da tomada de subsídios da população e seguindo a Agenda Regulatória da ANPD para o biênio de 2023-2024, a Autoridade deve elaborar um novo guia orientativo com estas definições, uma vez que dentre suas ações prioritárias, ainda na Fase 1, está definição de alto risco e larga escala.
Setor hospitalar e as implicações do regramento de tratamento de dados pessoais em larga escala.
O tratamento de dados pessoais em larga escala é uma prática comum em muitos setores, incluindo o setor médico-hospitalar, no qual dados de saúde pessoais são coletados, armazenados e processados em sistemas de registro eletrônico de saúde. Embora o tratamento desses dados pessoais possa trazer muitos benefícios, como o aprimoramento da qualidade do atendimento aos clientes, ele também apresenta riscos significativos para a privacidade e os direitos dos titulares dos dados.
Para este tema, lançamos um olhar atento em nosso Guia Legal de Privacidade e Proteção de Dados na Indústria da Saúde (2023), elaborado pela parceria dos times de Privacidade e Proteção de Dados e Health Care & Life Sciences do L.O. Baptista. Neste material são levantadas particularidades do setor hospitalar e suas infraestruturas críticas, caracterizado pelo tratamento de dados pessoais de elevados impacto e abrangência, como o tratamento de dados pessoais realizados por inteligência artificial, o tratamento realizado em larga escala e o consequente compartilhamento.
Em hospitais e clínicas são inúmeras as situações que o tratamento dos dados pessoais afeta um grande número de pessoas, como a coleta, armazenamento e processamento de dados de pacientes em um sistema de registro eletrônico de saúde que permita que hospitais e profissionais de saúde mantenham informações básicas cadastrais, assim como histórico médico, resultados de exames, informações de diagnóstico, tratamento, prescrições e informações de seguro, os quais podem ser tratados para múltiplas finalidades como monitoramento de saúde, planejamento de tratamentos, pesquisas clínicas, cobranças e faturamento, compartilhamento do seguradores, órgãos públicos e muito mais.
Para estes casos, espera-se que a ANPD apresente diretrizes para que o controlador desses dados pessoais elabore e mantenha atualizado certos Relatórios de Impacto à Proteção de Dados Pessoais (“RIPD”, já exigido por lei – art. 38 da LGPD), Este documento identificará as situações de “risco relevante” para os direitos e liberdade civis e aos direitos fundamentais do titulares de dados, apresentando a descrição de todos os processos de tratamento, bem como a adoção de medidas, salvaguardas e mecanismos de mitigação de riscos potencialmente nocivos à garantia dos direitos fundamentais como autenticação de usuários, criptografia de dados e controle de acesso ao banco de dados.
Conclusão
Em suma, o tratamento de dados pessoais em larga escala é um processo que tem seus prós e contras, especialmente pelo risco significativo para a privacidade dos dados dos titulares. Com o aumento da conscientização e das regulamentações em torno da privacidade de dados pessoais no Brasil, é esperado que as organizações adotem medidas mais rigorosas para proteger os dados pessoais dos titulares e minimizar os riscos envolvidos.
A equipe de Privacidade e Proteção de Dados de L.O. Baptista Advogados está à disposição para prestar esclarecimentos e assistência a respeito deste tema.
Referências
Agenda Regulatória Bianual da ANPD 2023-2024 – https://www.in.gov.br/en/web/dou/-/portaria-anpd-n-35-de-4-de-novembro-de-2022-442057885 – consultado em 31.03.2023
Guia Legal – Privacidade e Proteção de Dados Pessoais na Indústria da Saúde: novas tendências e boas práticas – https://mcusercontent.com/af97527c75cf28e5d17467eaa/files/30bebdc9-a4b9-3c55-f7a9-05b67d864c44/Guia_Legal_Privacidade_e_Prote%C3%A7%C3%A3o_de_Dados_Pessoais_na_Ind%C3%BAstria_da_Sa%C3%BAde_3_.pdf – consultado em 31.03.2023
Guia Legal – Critérios para qualificação das infrações pela ANPD – https://www.baptista.com.br/anpd-publica-a-sua-norma-de-dosimetria-saiba-como-sera-o-processo-fiscalizatorio-e-sancionador/ – consultado em 31.03.2023
Pesquisa sobre larga escala e tratamento de alto risco ao titular de dados pessoais – disponível em https://www.gov.br/participamaisbrasil/-pesquisa-sobre-larga-escala-e-tratamento-de-alto-risco-ao-titular-de-dados-pessoais – consultado em 31.03.2023
Regulamento Geral sobre a Proteção de Dados (RGPD) – disponível em https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A02016R0679-20160504&qid=1532348683434 – consultado em 31.03.2023
RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022 – Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. – disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019#wrapper – consultado em 31.03.2023
RESOLUÇÃO CD/ANPD Nº 4, DE 24 DE FEVEREIRO DE 2023 – Aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077 – consultado em 31.03.2023
RESOLUÇÃO CD/ANPD Nº 5, DE 13 DE MARÇO DE 2023 – Aprova a Agenda de Avaliação de Resultado Regulatório para o período 2023-2026. disponível em RESOLUÇÃO CD/ANPD Nº 5, DE 13 DE MARÇO DE 2023 – Aprova a Agenda de Avaliação de Resultado Regulatório para o período 2023-2026. – consultado em 31.03.2023
