JULIANA CALLADO GONÇALES
Advogada e especialista em Direito Tributário e em Proteção de Dados
3- Cuidado no exercício dos direitos dos titulares: A ANPD alerta sobre a obrigação de empresa informar o modo como os titulares podem exercer os direitos previstos no art. 18 da LGPD.
Foi ressaltado na nota técnica que a menção aos direitos dos titulares nas Políticas não deve ser entendida como a reprodução literal do dispositivo da lei.
Outro ponto que a ANPD considerou irregular foi o modo de identificação do encarregado. A ANPD ressaltou que o art. 41, §1º da LGPD exige que, além das informações do contato, seja divulgada a identidade do encarregado.
4- Pontos mínimos que devem constar no Relatório de Impacto à Proteção de Dados: Embora a ANPD ainda não tenha regulamentado este tema, na nota técnica já apontou algumas informações mínimas que devem compor o Relatório de Impacto à Proteção de Dados:
a) Descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive quanto aos legítimos interesses do responsável pelo tratamento, bem como quanto ao uso de inteligência artificial e decisões automatizadas;
b) Avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;
c) Avaliação dos riscos às liberdades civis e aos direitos fundamentais dos titulares de dados, compreendendo uma matriz de probabilidade e impacto para que se possa identificar o risco identificado e o risco residual e
d) Medidas de segurança técnicas e administrativas previstas para lidar com os riscos e assegurar a proteção dos dados pessoais, considerando os direitos e as legítimas expectativas dos titulares dos dados.
5- Cuidado na escolha das bases legais: Através de trocas de ofícios, o WhatsApp apontou o uso das bases legais necessidade contratual (art. 7º, V, LGPD) e do legítimo interesse (art. 7º, IX, LGPD) para as finalidades de “aprimoramento de serviços” e “personalização de recursos”.
A ANPD evidenciou que a base legal “necessidade contratual” deve ser utilizada apenas no tratamento de dados pessoais necessários para a execução de contrato ou de procedimentos a ele preliminares, cujo titular seja parte.
Assim, situações como “aprimoramento de serviços” e “personalização de recursos” não se relacionam com a execução do contrato perante o titular. Nesses casos, a base legal mais adequada é o legítimo interesse, já que tais finalidades visam garantir a inovação das funcionalidades do aplicativo e a ampliação da experiência dos usuários para que a empresa consiga se destacar dos seus concorrentes.
