dados pessoais

O tratamento de dados pessoais pode gerar riscos, de modo que a Lei Geral de Proteção de Dados Pessoais – LGPD impõe que os agentes de tratamento devem adotar medidas eficazes para proteger os dados pessoais dos titulares. No entanto, mesmo adotando tais medidas, as empresas estão suscetíveis a sofrer um incidente de segurança.

Desse modo, na ocorrência de um incidente de segurança com dados pessoais, verificando que tal incidente possa acarretar risco ou dano relevante aos titulares, a lei estabelece que deve haver, por parte do controlador, a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados.

Não há prazo estabelecido na legislação sobre quando o incidente deve ser comunicado, mas apenas que seja comunicado em “prazo razoável”, a ser definido pela ANPD. Assim, recentemente a ANPD recomendou que a comunicação de incidente seja realizada em até 2 (dois) dias úteis da ciência do fato.

Outrossim, a lei estabelece que essa comunicação deve conter no mínimo:

• a descrição da natureza dos dados pessoais afetados;
• as informações sobre os titulares envolvidos;
• a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
• os riscos relacionados ao incidente;
• os motivos da demora, no caso de a comunicação não ter sido imediata; e
• as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Ocorre que, além das disposições mínimas que a comunicação do incidente deve conter, restam dúvidas não esclarecidas pela lei, como o que seria considerado um risco de dano relevante e até mesmo sobre a definição de um prazo concreto para comunicação do incidente. Visando esclarecer essas questões, a ANPD abriu consulta pública para regular de maneira mais detalhada sobre a comunicação de incidentes de segurança.

Nessa linha, a minuta da resolução considera que um incidente de segurança com dados pessoais pode acarretar risco ou dano relevante aos titulares quando tiver potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos seguintes critérios:

• dados sensíveis;
• dados de crianças, de adolescentes ou de idosos;
• dados financeiros;
• dados de autenticação em sistemas; ou
• dados em larga escala.

Outro ponto abordado pela minuta da resolução é o prazo de comunicação de incidente de segurança, que deverá ser realizado em 3 (três) dias úteis, ressalvada a existência de legislação específica, contados do conhecimento do incidente de segurança.

Por fim, a minuta da resolução estabelece que o controlador deverá manter o registro de incidentes de segurança com dados pessoais, inclusive daqueles não comunicados à ANPD e aos titulares.

A Consulta Pública sobre a minuta de resolução referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais pode ser encontrada no link abaixo:

https://www.gov.br/anpd/pt-br/assuntos/noticias/aberta-consulta-publica-sobre-norma-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais/Minuta_Regulamento_CIS._CD._semmarcas2.pdf

Enunciados são instrumentos deliberativos que têm a finalidade de trazer a interpretação de uma legislação. No caso em tela, a ANPD publicou enunciado com efeitos vinculativos sobre o artigo 14º da Lei Geral de Proteção de Dados Pessoais (LGPD). O supracitado artigo define como deverá ser realizado o tratamento dos dados pessoais das crianças e adolescentes.

A celeuma instalou-se pois o parágrafo 1º do artigo em questão afirma que o tratamento deve ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, e de acordo com “Estudo Preliminar” publicado pela ANPD intitulado “Hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes”, muitos estudiosos estavam trazendo interpretações diversas sobre o artigo.

Uma das correntes defendia que a única hipótese legal para o tratamento deste tipo de dados seria o consentimento, outros defendiam que outras hipóteses legais previstas nos artigos 7º e 11º da LGPD, tais como execução de políticas públicas e realização de estudos por órgãos de pesquisa, poderiam legitimamente amparar o tratamento, além destes entendimentos, alguns defendiam que o tratamento destes dados seria equiparado ao dos dados sensíveis, portanto deveriam ser respeitadas as bases legais trazidas no artigo 11º, que traz as hipóteses para tratamento de dados sensíveis.

Além da controvérsia jurídica, o tema é relevante considerando a possibilidade de exposição das crianças e adolescentes a perigos, bem como a necessidade de proteção de sua privacidade, pois diversas legislações garantem proteção diferenciada a este tipo de pessoas. Segundo o estudo muitos destes indivíduos tem seus dados inseridos em ambientes virtuais antes mesmo de seu nascimento, por exemplo, por meio de aplicativos desenvolvidos para gestantes, gerando riscos como exploração comercial, uso indevido de dados e discriminação de crianças e adolescentes.

Ao fim do estudo, chegaram à conclusão de que podem ser aplicadas as bases legais previstas nos artigos 7º e 11º da LGPD, não sendo o consentimento a única base legal que permite o tratamento deste tipo de dados pessoais, porém deverá ser observado sempre o princípio do melhor interesse do titular considerando a sua vulnerabilidade. O Enunciado CD/ANPD Nº 1, de 22 de maio de 2023 define: “O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.”.