A Autoridade Nacional de Proteção de Dados (ANPD) organizou um webinar hoje (15), em que apresentou quais devem ser os padrões considerados pelas organizações controladoras de dados pessoais para classificar o nível de risco das informações geridas internamente. Através dessa percepção, a ANPD pretende lançar um Guia Orientativo a respeito desses padrões ainda no começo do próximo semestre.
A ideia da autoridade é ajudar as organizações que agem no tratamento de dados a classificar toda a base de registros a partir do risco que eles podem representar aos titulares caso sejam expostos indevidamente. A partir disso, as empresas poderão ter a percepção adequada para traçar medidas de Segurança melhores, proporcionais a necessidade de cada dado sensível.
Segundo o Coordenador-Geral de Normatização da ANPD, Rodrigo Santana, espera-se que o Guia Orientativo se junte aos diversos dispositivos legais, como a própria Lei Geral de Proteção de Dados (LGPD), e o Projeto de lei 2338, sobre Inteligência Artificial, para criar um arcabouço de governança capaz de deixar claro aos agentes de tratamento de dados quais são as melhores maneiras de proteger as informações de clientes, parceiros e colaboradores.
“Esse Guia vem para esclarecer e criar métricas sobre o que é o tratamento de Alto Risco aos olhos da ANPD, gerando mais objetividade nos processos de cuidado dos dados dos cidadãos. Assim, com base na proposta de prestação de contas e responsabilização, será demanda do controlador fazer as análises internas para concluir que tipo de controle os dados tratados demandam”, explicou Santana.
O processo proposto pela Autoridade é calcular os pesos de cada característica da base de dados e somá-la para se chegar ao nível de risco esperado. Para isso, as empresas devem considerar critérios gerais quantitativos, como tratamento de dados em larga escala, para proceder na classificação.
A partir da soma desses pesos, tem-se uma grandeza que representa o nível de risco dos dados tratados. Considerando a linha de corte estabelecida pela ANPD, entre 23,5 e 25 de peso total, qualquer valor abaixo disso não se caracterizaria uma informação de alto risco, enquanto qualquer valor acima exigiria controles de proteção mais evoluídos para evitar o comprometimento.
Ainda é necessário às empresas analisarem os critérios qualitativos das informações, buscando saber quais os potenciais impactos significativos em interesses e direitos fundamentais dos titulares. Nesse aspecto, são considerados como elementos centrais ocasionar danos materiais ou morais ao indivíduo e impedir o exercício regular de direitos e o uso regular de serviços.
“Nesse caso, também consideramos alguns critérios mais específicos que podem identificar um dado de alto risco, como os usados em tecnologias emergentes e inovadoras, em vigilância de zonas públicas, os que orientem decisões tomadas com base em tratamento automatizado de informações e aquelas relativas às populações vulneráveis. Estes dados sensíveis tenderão a indicar um dado cujo risco é potencialmente alto”, explica o Coordenador Geral.
Para o Diretor Presidente da ANPD, Waldemar Gonçalves, a demanda por direcionar as melhores condutas na gestão dos dados pelos controladores é um projeto crucial para evoluir a camada de Data Protection da Segurança Informacional do Brasil. Nesse sentido, a chegada do novo Guia Orientativo abre as portas para maior diálogo entre a autarquia regulatória e todas as verticais de negócio que tenham a informação como ativo principal de suas operações.
“Nesse sentido, parabenizamos a CGN da Autoridade por oferecer mais transparência a terminologias essenciais e caras para o bom funcionamento da Lei Geral de Proteção de Dados, como dados de alto risco e em larga escala. Consideramos sempre importante o diálogo com toda a área de proteção de dados e estaremos sempre abertos a receber sugestões e ideias sobre esse tema durante todo o processo de consulta pública”, concluiu Gonçalves.
