Transferência internacional e cláusulas-padrão contratuais - b/luz contribui à Consulta Pública da ANPD

Informativos
#ANPD#proteção de dados#whatsapp
28/05/2021 Leitura de 4’’

ANPD e a Nota Técnica do Caso WhatsApp

28/05/2021
  • 4’’

1) Introdução 

A Coordenação-Geral de Tecnologia e Pesquisa da ANPD (CGTP) elaborou uma nota técnica (“Nota”) sobre a alteração da nova política de privacidade do WhatsApp (“Política”), que seria implementada em 15/05/2021 no Brasil. Vale lembrar que a CGTP é o órgão interno da Autoridade Nacional de Proteção de Dados (ANPD) responsável por, dentre outras atribuições, emitir pareceres técnicos nos autos de processos administrativos em trâmite na ANPD. 

A Nota elenca as possíveis consequências da alteração, tendo sido feita, pelo que consta, com base nos documentos publicados pelo WhatsApp, e em respostas aos questionamentos feitos à empresa por meio de ofícios. Atualmente, existe processo administrativo na ANPD em andamento sobre o caso.  

 

 2) Prazo  

A ANPD determinou um prazo de 15 dias para que o WhatsApp fornecesse as informações, devido ao pedido da empresa de aumento do prazo, que era inicialmente de apenas 5 dias.  O curto período estabelecido demonstra a importância de as organizações estruturarem previamente seu programa de governança em proteção de dados. 

 

3) Pontos da Nota Técnica 

Apresentamos abaixo um resumo dos principais temas discutidos na Nota: 

 

Transparência 

 

  • Aponta que indicar as bases legais pode ser uma boa prática, apesar de não ser exigida pela LGPD (itens 105-106); e 
  • Destaca que a correlação entre os dados coletados e as respectivas finalidades é necessária na política de privacidade (item 107). 

 

Dados Sensíveis e Crianças e Adolescentes 

 

  • Entende que vale menção específica na Política sobre as circunstâncias em que poderia ocorrer tratamento (não intencional) de dados sensíveis e sobre as finalidades, bases legais e medidas de segurança empregadas nesses casos (item 172); e 
  • Destaca a ausência de adoção de condutas específicas para o tratamento de dados de crianças e adolescentes (item 174). 

 

Direitos dos Titulares 

 

  • Considerou os formulários para o exercício de direitos adequados (item 167). Contudo, não houve análise técnica do direito de acesso e portabilidade por ainda não haver regulação da matéria (item 162); 
  • Exige que seja divulgada a identidade do DPO no aviso de privacidade (item 150); e 
  • Reforça o argumento de que deve haver menção explícita a todos os direitos na política de privacidade, mas que essa menção “não pode ser entendida como uma exigência abstrata de reprodução literal do dispositivo da lei” (itens 151-153). 

 

Relatório de Impacto à Proteção de Dados (RIPD) 

 

  • Destaca que o Teste de Legítimo interesse não é suficiente para substituir a necessidade do RIPD (item 99); 
  • Indica que o RIPD será necessário sempre que houver um tratamento em larga escala e com um número elevado de titulares (item 97); 
  • Lista o conteúdo mínimo de um RIPD, especificamente (i) uma descrição sistemática das atividades de tratamento; (ii) uma avaliação da necessidade e proporcionalidade do tratamento em relação ao objetivo; (iii) uma matriz de probabilidade e impacto para que se possa identificar o risco identificado e o risco residual; e (iv) as medidas técnicas e administrativas adotadas para lidar com os riscos identificados. 

 

Medidas de Prevenção e Segurança 

 

  • Entre controles organizacionais de segurança, incluiu: (i) controles de contratos com operadores de dados e terceiros; (ii) registros de compartilhamento de dados; (iii) inventário de dados; e (iv) registro das operações de tratamento (item 184);  
  • Faz menção às medidas da NBR-ISO 27700 como boa prática (item 182); e 
  • Exigiu a apresentação de exemplos de períodos de armazenamentos de dados de acordo com algumas finalidades como forma de comprovar a adequação das práticas de retenção de dados (item 186).  

 

4) Comparação com UE 

Interessante notar que ao longo de toda a Nota são feitas comparações com o cenário regulatório de proteção de dados da União Europeia. É feita, inclusive, comparação direta entre o caso em análise do WhatsApp Brasil e a multa aplicada pela CNIL, autoridade francesa de proteção de dados, ao Google França por falta de transparência na sua política de privacidade (item 30). Também foi questionado pela ANPD o porquê de haver uma diferença de conteúdo entre as políticas de privacidade do WhatsApp da União Europeia e do Brasil, já que as legislações são semelhantes. Essas características do documento parecem indicar que a UE será um referencial importante na aplicação da LGPD no Brasil. 

 

5) Cooperação Institucional 

Importante salientar que o CGTP afirma que a análise pode servir de subsídio para a atuação de outros órgãos ou entidades, o que parece indicar a disposição da ANPD de efetivamente atuar em conjunto com outros setores regulatórios.

Quer saber mais?

Entre em contato com os autores ou visite a página da área de Privacidade & Proteção de Dados

Mais lidas:

Mais recentes:

Assine nossa newsletter

Inscreva-se para receber informações relevantes sobre o universo jurídico e tomar decisões informadas que vão impactar seus negócios.

Nós respeitamos a sua privacidade e protegemos seus dados pessoais de acordo com a nossa Política de Privacidade.

Baptista Luz