multas:-anpd-propoe-conceito-de-‘larga-escala’-que-inclui-ppps

Multas: ANPD propõe conceito de ‘larga escala’ que inclui PPPs

ANPD propõe conceito de 'larga escala' que inclui PPPs
Conceito de larga escala compõe critérios para determinar se uma infratora deve levar multa da ANPD | Foto: Freepik

A Autoridade Nacional de Proteção de Dados (ANPD) está em fase de construção de complementos à regulação de dosimetria, que estabelece as sanções que podem ser aplicadas a partir de incidentes de segurança com informações pessoais. Publicada no ano passado, a norma deixou dúvidas sobre alguns pontos, entre eles, o que poderia ser considerado um “tratamento de dados em larga escala”, que é um dos critérios que classificam uma infração como grave, ou seja, passível de multa. A autarquia sugere a adoção de um sistema que alcança grandes empresas, mas também inclui pequenas por analisar outros critérios para além da quantidade de pessoas afetadas. 

Conforme o regulamento da ANPD, a larga escala é caracterizada “quando abrange número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado”.

Para o conceito de “número significativo”, a autoridade sugere adotar a marca de 2 milhões de titulares, no mínimo. No entanto, aqueles com número inferior terão “pesos” proporcionais à dimensão e dependerão dos outros critérios para determinar se são infratores graves (saiba mais abaixo). 

No universo das prestadoras de banda larga fixa, as operadoras TIM, Claro e Telefônica – Vivo são as únicas a alcançarem 2 milhões individualmente, de acordo com números da Agência Nacional de Telecomunicações (Anatel) mais recentes, atualizados até fevereiro deste ano. A Alloha, que mais se aproxima do trio, soma 1,5 milhão de acessos,  e apenas outras duas apresentam mais de 1 milhão de clientes –  Brisanet e Desktop. 

Ao contextualizar a escolha para o patamar significativo, estudo técnico da ANPD cita o PL 2630/2020, que define a marca de 2 milhões de usuários como um número norteador para adotar “medidas adequadas e proporcionais no combate ao comportamento inautêntico e na transparência sobre conteúdos pagos” em provedores de redes sociais. 

Sistema de pontuação

Todos os critérios que envolvem o conceito de larga escala (volume, duração, frequência e extensão geográfica), serão somados ao número de titulares em um sistema de pontuação por peso. Da seguinte forma:

  • Número de titulares
Peso Total de titulares cujos dados são tratados
1 Menor que 10 mil
5 Maior ou igual a 10 mil e menor que 500 mil
10 Maior ou igual a 500 mil e menor que 1 milhão
15 Maior ou igual a 1 milhão e menor que 1,5 milhão
20 Maior ou igual a 1,5 milhão e menor que 2 milhões
25 Maior ou igual a 2 milhões
  • Volume de dados

Cada informação do titular deve ser considerada como um dado. Por exemplo: CPF (1 dado), número da identidade (1 dado), rua do endereço (1 dado), bairro do endereço (1 dado), tipo sanguíneo (1 dado), dados do cartão de crédito (1 dado), entre outros.

Peso Faixa média dos volumes dos dados

por titular

1 Menor ou igual a 5
3 Maior que 5 e menor ou igual a 10
6 Maior que 10 e menor ou igual a 20
9 Maior que 20 e menor ou igual a 50
12 Acima de 50
  • Duração do tratamento de dados

Nesta etapa, ocorre a determinação do valor associado ao intervalo de tempo durante o qual os dados dos titulares são tratados.

Peso Definição das faixas da duração do tratamento dos dados

de Titulares

1 Menor ou igual a 1 ano
2 Maior que 1 ano e menor ou igual a 5 anos
3 Maior que 5 anos e menor ou igual a 10 anos
4 Maior que 10 anos
  • Frequência

Avalia-se o valor associado à frequência em que os dados dos titulares são tratados, observando a finalidade do tratamento, conforme a LGPD. 

Peso Frequência com que os dados dos Titulares são tratados
1 Anualmente
2 Mensalmente
3 Semanalmente 
4 Diariamente 
5 Múltiplas ocorrências diárias
  • Extensão geográfica

Tomando como referência a localização dos agentes de tratamento e dos titulares que tenham seus dados tratado, sendo:

Peso Faixa de extensão geográfica dos dados de Titulares
0,5 Municipal: quando se limita à extensão do próprio município
1,0 Estadual: quando envolve mais de um município dentro do mesmo estado
1,5 Regional: quando envolve municípios de estados diferentes contidos numa mesma Região
2,0 Nacional: quando envolve municípios de estados diferentes contidos em 2 (duas) ou mais regiões do Brasil
3 Internacional: quando extrapola o território do Brasil 

A título de exemplo, o estudo da ANPD detalha que “se o agente de tratamento tratar dados de titulares em um município do estado Rio de Janeiro e de um titular de apenas um município do estado de São Paulo, o tratamento deverá ser considerado como ‘Regional’ para efeitos de Larga Escala. Mesmo que não abranja os demais estados da região Sudeste e, tampouco, outros municípios de São Paulo e Rio de Janeiro”.

Cálculo

Por fim, os valores são somados e, partir do resultado:

  • < 23,5:  não é larga escala
  • 23,5 ≤ e < 25: será submetido a avaliação
  • ≥ 25: é larga escala

Infração grave

A larga escala, no entanto, não é o único critério para definir uma infração de segurança envolvendo a proteção de dados pessoais como grave. De acordo com o regulamento da ANPD, também são características, bastando uma delas:

  • o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
  • a infração implicar risco à vida dos titulares;
  • a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
  • o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD (Lei Geral de Proteção de Dados);
  •  o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
  • verificada a adoção sistemática de práticas irregulares pelo infrator, constituir obstrução à atividade de fiscalização.

Consulta pública

O Estudo Preliminar sobre Larga Escala e Alto Risco está em consulta pública aberta pela ANPD na semana passada. As contribuições devem ser encaminhadas por meio do Espaço Opine Aqui, na Plataforma Participa+Brasil. 

O prazo para contribuições vai até 16 de maio. Acesse aqui a minuta em análise.

Compartilhe

Fui com vários Provedores para Las Vegas a convite da DPR no evento da NOKIA SREXPERTS
A TV QUE SEU PROVEDOR MERECE : Explorando Oportunidades de Mercado
MAX DICAS - Especialista em Roteadores Wi-Fi CAST DOS LOUCOS
ESTRATÉGIAS PARA CRESCER COM EFICIÊNCIA NO MERCADO DE ISP4 - KAREN BANAR
ATENDA 512 CASAS NA FIBRA ÓPTICA COM ESSA OLT DA DATACOM
ARRUMAMOS UM PROVEDOR DE INTERNET REGIONAL - Aproveite todas as dicas e melhore também seu provedor
O QUE É ASN E IRR - com ARLEI especialista da ASAP Telecom
INICIAMOS A MONTAGEM DO DATA CENTER
PARTE ELÉTRICA DO ZERO DE UM PROVEDOR DE INTERNET- EP 05
QUAL É O MELHOR ROTEADOR HUAWEI - NE8000 M8, M14 E M4 ?