Portal O Debate
Grupo WhatsApp

Como adequar as políticas de privacidade com as primeiras orientações da ANPD?

Como adequar as políticas de privacidade com as primeiras orientações da ANPD?

19/07/2021 Juliana Callado Gonçales

No dia 14 de maio de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Nota Técnica nº 02/2021/CGTP/ANPD, cujo objeto é a análise da conformidade da nova Política de Privacidade do WhatsApp com a Lei Geral de Proteção de Dados (LGPD).

Desta Nota já é possível extrair os seguintes posicionamentos que devem ser considerados na elaboração das Políticas de Privacidade.

1- Foco no princípio da transparência

A ANPD ressalta a importância da observação do princípio da transparência no tratamento de dados pessoais.

Isso significa que as empresas devem garantir o acesso à informação sobre os tratamentos de dados que realiza de forma clara, precisa e facilitada.

Em termos práticos, a empresa deve tomar as seguintes cautelas na divulgação das Políticas de Privacidade:

1- Facilitar a disponibilização das informações através do destaque das Políticas de Privacidade e Termos de Uso no site/aplicativo, evitando a disponibilização da informação a partir de vários links. Ou seja, o ideal é que todas as informações estejam consolidadas em um único documento (link);

2- Adotar linguagem que considere o nível de compreensão dos titulares, que, na grande maioria, não possuem clara compreensão dos riscos decorrentes dos tratamentos de dados;

3- A transparência também deve ser observada no uso de inteligência artificial, principalmente nos casos de perfilização (uso de inteligência artificial para verificar os interesses/perfil dos titulares).

A empresa não precisa revelar suas fórmulas algoritmas, mas deve ser transparente quanto aos dados coletados e finalidades pretendidas com este tratamento.

4- Informar quais informações são compartilhadas com outras empresas.

2- A Importância de citar as bases legais que legitimam o tratamento

A ANPD questiona o fato de a Política de Privacidade Brasileira do WhatsApp não apresentar as bases legais que justificam o tratamento dos dados pessoais para cada uma das finalidades, bem como a falta de informação sobre quais categorias de dados pessoais são utilizadas para cada uma das finalidades.

Importante salientar que a LGPD não exige no seu art. 9º a disponibilizam das bases legais que legitimam o tratamento. Todavia, a ANPD enfatiza a importância desta informação com fundamento no princípio da transparência.

No entender da ANPD: “apresentar as bases legais aos titulares demonstra, ademais, a legitimidade do tratamento e traz clareza sobre este, o que leva a uma transparência efetiva. Somente com a transparência é que os titulares poderão exercer a chamada autodeterminação informacional e exercer seus direitos, em especial o de livre acesso.”

Desse modo, as empresas devem informar as finalidades dos tratamentos de dados pessoais, quais categorias de dados são tratados para cada uma das finalidades e informar quais as bases legais aplicáveis para cada uma das finalidades.

3- Cuidado no exercício dos direitos dos titulares: A ANPD alerta sobre a obrigação de empresa informar o modo como os titulares podem exercer os direitos previstos no art. 18 da LGPD.

Foi ressaltado na nota técnica que a menção aos direitos dos titulares nas Políticas não deve ser entendida como a reprodução literal do dispositivo da lei.

Outro ponto que a ANPD considerou irregular foi o modo de identificação do encarregado. A ANPD ressaltou que o art. 41, §1º da LGPD exige que, além das informações do contato, seja divulgada a identidade do encarregado.

4- Pontos mínimos que devem constar no Relatório de Impacto à Proteção de Dados

Embora a ANPD ainda não tenha regulamentado este tema, na nota técnica já apontou algumas informações mínimas que devem compor o Relatório de Impacto à Proteção de Dados:

a) Descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive quanto aos legítimos interesses do responsável pelo tratamento, bem como quanto ao uso de inteligência artificial e decisões automatizadas;

b) Avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;

c) Avaliação dos riscos às liberdades civis e aos direitos fundamentais dos titulares de dados, compreendendo uma matriz de probabilidade e impacto para que se possa identificar o risco identificado e o risco residual e

d) Medidas de segurança técnicas e administrativas previstas para lidar com os riscos e assegurar a proteção dos dados pessoais, considerando os direitos e as legítimas expectativas dos titulares dos dados.

5- Cuidado na escolha das bases legais

Através de trocas de ofícios, o WhatsApp apontou o uso das bases legais necessidade contratual (art. 7º, V, LGPD) e do legítimo interesse (art. 7º, IX, LGPD) para as finalidades de “aprimoramento de serviços” e “personalização de recursos”.

A ANPD evidenciou que a base legal “necessidade contratual” deve ser utilizada apenas no tratamento de dados pessoais necessários para a execução de contrato ou de procedimentos a ele preliminares, cujo titular seja parte.

Assim, situações como “aprimoramento de serviços” e “personalização de recursos” não se relacionam com a execução do contrato perante o titular.

Nesses casos, a base legal mais adequada é o legítimo interesse, já que tais finalidades visam garantir a inovação das funcionalidades do aplicativo e a ampliação da experiência dos usuários para que a empresa consiga se destacar dos seus concorrentes.

A ANPD ainda ressaltou que o uso da base legal do legítimo interesse depende da observância dos seguintes pontos:

(i) –Apenas os dados minimamente necessários para a realização das finalidades pretendidas devem ser tratados (princípio da necessidade);

(ii) – No teste de balanceamento o legítimo interesse não pode prevalecer em detrimento dos direitos e liberdades do titular;

(iii) – Deve ser garantida a transparência dos tratamentos de dados baseados no legítimo interesse para permitir o controle social e pela ANPD em relação ao balanceamento entre os interesses do controlador e a legitimidade do tratamento;

(iv) -Evidenciar quais categorias de dados são tratadas sob a justificativa o legítimo interesse e no contexto de quais finalidades

6- Consentimento do usuário em relação ao Termo de Uso não se confunde com o consentimento em relação ao tratamento dos dados

A ANPD ressaltou que o consentimento do usuário em relação ao Termo de Uso do aplicativo não se confunde com a base legal do consentimento para o tratamento dos dados pessoais.

Portanto, tal ponto deve ser observado pelas empresas, principalmente porque o uso do consentimento como base legal implica na adoção de um sistema de gestão deste consentimento capaz de garantir a revogação ou revisão pelo titular.

7- Medidas de prevenção e segurança

A ANPD considerou que a lista de salvaguardas apresentada está em conformidade com às boas práticas de segurança e privacidade da informação.

Todavia, fez algumas ressalvas em relação a falta de detalhamento sobre as práticas de descarte e exclusão segura dos dados, a falta de informações sobre a construção de um inventário de dados, do registro de operações de tratamento de dados pessoais e dos registros de compartilhamentos, transferências e divulgação de dados pessoais.

Tal ponto da Nota demonstra que não basta a divulgação das medidas de segurança adotadas, mas, principalmente no caso de fiscalizações, é importante demonstrar como estas medidas são operacionalizadas, a fim de que a ANPD possa verificar a sua adequação e efetividade.

Pela análise da Nota Técnica nº 02/2021/CGTP/ANPD é possível concluir que a ANPD adota interpretação extensiva da LGPD.

Isso significa que as empresas não podem considerar apenas a literalidade da LGPD nos seus projetos de conformidade, sendo necessário também a clara compreensão GDPR e dos princípios que regem a privacidade e proteção de dados pessoais.

* Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados.

Para mais informações sobre proteção de dados clique aqui…

Publique seu texto em nosso site que o Google vai te achar!

Fonte: Vervi Assessoria



Entenda o visto humanitário para ucranianos

A invasão da Ucrânia pela Rússia, iniciada em 24 de fevereiro, já levou mais de 4 milhões de ucranianos a deixarem seu país em busca de um lugar seguro.


Exigência de vacina não é motivo para rescisão indireta por motivo ideológico

Não se discute mais que cabe ao empregador, no exercício de seu poder diretivo e disciplinar, zelar pelo meio ambiente de trabalho saudável.


Oito dicas para advogados usarem melhor suas redes sociais

Especialista em marketing digital jurídico indica o que e como fazer para advogados se destacarem no universo online e atrair potenciais clientes.

Oito dicas para advogados usarem melhor suas redes sociais

Conheça cinco vantagens do Pix para empresas

MEIs e PMEs podem economizar cerca de R$ 2.000 em serviços e produtos bancários por ano.

Conheça cinco vantagens do Pix para empresas

Advogados abordarão o impacto de conflitos éticos e estatais na relação entre países

Começa no dia 13 de abril, a partir das 9h30, o “Fórum Mundial de Litígio”.


Inversões da Justiça e as 15 milhões de vítimas de fraudes financeiras no Brasil

De grande repercussão na mídia nacional e até internacional, o caso da GAS Consultoria chama atenção pelos valores envolvidos, que ultrapassam bilhões de reais e deixam milhares de pessoas na incerteza sobre o paradeiro das suas economias.


Compras efetuadas com cartão furtado geram indenização a cliente

O Brasil é o país campeão em vazamento de cartões. Considerando todos os outros países, a população brasileira é a maior vítima, totalizando 45,4% dos casos do mundo todo.


O Rompimento do Noivado e suas consequências: uma breve análise

Intimamente ligado à noção de família, o instituto do casamento é universal e elemento comum em praticamente todos os ordenamentos jurídicos mundiais modernos.


Banco é condenado a indenizar cliente

O banco Itaú Unibanco foi condenado a indenizar uma cliente em R$ 10 mil, a título de danos morais, por não assegurar proteção e segurança para sua conta bancária.


Casal que foi desalojado de hotel deve ser indenizado

Justiça condena agência online por prejudicar viagem.


O último sobrenome deve sempre ser o do pai?

Na hora de registrar o nascimento dos filhos, é muito comum surgirem algumas dúvidas nos pais.


Proteção de dados pessoais torna direito fundamental após emenda

Desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2018, as empresas passaram a ter a obrigação de garantir a segurança dos dados aos quais possuem acesso.