Conceito de larga escala compõe critérios para determinar se uma infratora deve levar multa da ANPD | Foto: Freepik
A Autoridade Nacional de Proteção de Dados (ANPD) está em fase de construção de complementos à regulação de dosimetria, que estabelece as sanções que podem ser aplicadas a partir de incidentes de segurança com informações pessoais. Publicada no ano passado, a norma deixou dúvidas sobre alguns pontos, entre eles, o que poderia ser considerado um “tratamento de dados em larga escala”, que é um dos critérios que classificam uma infração como grave, ou seja, passível de multa. A autarquia sugere a adoção de um sistema que alcança grandes empresas, mas também inclui pequenas por analisar outros critérios para além da quantidade de pessoas afetadas.
Conforme o regulamento da ANPD, a larga escala é caracterizada “quando abrange número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado”.
Para o conceito de “número significativo”, a autoridade sugere adotar a marca de 2 milhões de titulares, no mínimo. No entanto, aqueles com número inferior terão “pesos” proporcionais à dimensão e dependerão dos outros critérios para determinar se são infratores graves (saiba mais abaixo).
No universo das prestadoras de banda larga fixa, as operadoras TIM, Claro e Telefônica – Vivo são as únicas a alcançarem 2 milhões individualmente, de acordo com números da Agência Nacional de Telecomunicações (Anatel) mais recentes, atualizados até fevereiro deste ano. A Alloha, que mais se aproxima do trio, soma 1,5 milhão de acessos, e apenas outras duas apresentam mais de 1 milhão de clientes – Brisanet e Desktop.
Ao contextualizar a escolha para o patamar significativo, estudo técnico da ANPD cita o PL 2630/2020, que define a marca de 2 milhões de usuários como um número norteador para adotar “medidas adequadas e proporcionais no combate ao comportamento inautêntico e na transparência sobre conteúdos pagos” em provedores de redes sociais.
Sistema de pontuação
Todos os critérios que envolvem o conceito de larga escala (volume, duração, frequência e extensão geográfica), serão somados ao número de titulares em um sistema de pontuação por peso. Da seguinte forma:
Número de titulares
Peso
Total de titulares cujos dados são tratados
1
Menor que 10 mil
5
Maior ou igual a 10 mil e menor que 500 mil
10
Maior ou igual a 500 mil e menor que 1 milhão
15
Maior ou igual a 1 milhão e menor que 1,5 milhão
20
Maior ou igual a 1,5 milhão e menor que 2 milhões
25
Maior ou igual a 2 milhões
Volume de dados
Cada informação do titular deve ser considerada como um dado. Por exemplo: CPF (1 dado), número da identidade (1 dado), rua do endereço (1 dado), bairro do endereço (1 dado), tipo sanguíneo (1 dado), dados do cartão de crédito (1 dado), entre outros.
Peso
Faixa média dos volumes dos dados
por titular
1
Menor ou igual a 5
3
Maior que 5 e menor ou igual a 10
6
Maior que 10 e menor ou igual a 20
9
Maior que 20 e menor ou igual a 50
12
Acima de 50
Duração do tratamento de dados
Nesta etapa, ocorre a determinação do valor associado ao intervalo de tempo durante o qual os dados dos titulares são tratados.
Peso
Definição das faixas da duração do tratamento dos dados
de Titulares
1
Menor ou igual a 1 ano
2
Maior que 1 ano e menor ou igual a 5 anos
3
Maior que 5 anos e menor ou igual a 10 anos
4
Maior que 10 anos
Frequência
Avalia-se o valor associado à frequência em que os dados dos titulares são tratados, observando a finalidade do tratamento, conforme a LGPD.
Peso
Frequência com que os dados dos Titulares são tratados
1
Anualmente
2
Mensalmente
3
Semanalmente
4
Diariamente
5
Múltiplas ocorrências diárias
Extensão geográfica
Tomando como referência a localização dos agentes de tratamento e dos titulares que tenham seus dados tratado, sendo:
Peso
Faixa de extensão geográfica dos dados de Titulares
0,5
Municipal: quando se limita à extensão do próprio município
1,0
Estadual: quando envolve mais de um município dentro do mesmo estado
1,5
Regional: quando envolve municípios de estados diferentes contidos numa mesma Região
2,0
Nacional: quando envolve municípios de estados diferentes contidos em 2 (duas) ou mais regiões do Brasil
3
Internacional: quando extrapola o território do Brasil
A título de exemplo, o estudo da ANPD detalha que “se o agente de tratamento tratar dados de titulares em um município do estado Rio de Janeiro e de um titular de apenas um município do estado de São Paulo, o tratamento deverá ser considerado como ‘Regional’ para efeitos de Larga Escala. Mesmo que não abranja os demais estados da região Sudeste e, tampouco, outros municípios de São Paulo e Rio de Janeiro”.
Cálculo
Por fim, os valores são somados e, partir do resultado:
< 23,5: não é larga escala
23,5 ≤ e < 25: será submetido a avaliação
≥ 25: é larga escala
Infração grave
A larga escala, no entanto, não é o único critério para definir uma infração de segurança envolvendo a proteção de dados pessoais como grave. De acordo com o regulamento da ANPD, também são características, bastando uma delas:
o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
a infração implicar risco à vida dos titulares;
a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD (Lei Geral de Proteção de Dados);
o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
verificada a adoção sistemática de práticas irregulares pelo infrator, constituir obstrução à atividade de fiscalização.
Consulta pública
O Estudo Preliminar sobre Larga Escala e Alto Risco está em consulta pública aberta pela ANPD na semana passada. As contribuições devem ser encaminhadas por meio do Espaço Opine Aqui, na Plataforma Participa+Brasil.
O prazo para contribuições vai até 16 de maio. Acesse aqui a minuta em análise.
O post Multas: ANPD propõe conceito de ‘larga escala’ que inclui PPPs apareceu primeiro em TeleSíntese.
