Relatório de Impacto à Proteção de Dados – O que é e qual sua importância?
Por Rodrigo Russo / Direito Digital / 17 novembro, 2020
Após uma novela de longos capítulos e grande indefinição, a Lei Geral de Proteção de Dados (LGPD) finalmente entrou em vigor e passou a dar início, efetivamente, à sua importante missão de regulamentar o tratamento e proteção de dados pessoais no Brasil, bem como, por consequência, proteger os interesses e direitos dos titulares de dados.
Com esse objetivo em vista, a LGPD destaca, em seu art. 6º uma série de princípios que devem ser observados pelos responsáveis pelo tratamento de dados pessoais em suas atividades, como, por exemplo:
Finalidade
Realização das atividades com propósitos específicos e legítimos, que delimite o âmbito da atividade e quais as destinações dos dados pessoais utilizados;
Adequação
Compatibilidade do tratamento realizado com a atividade exercida e com as informações e propósitos informados aos titulares de dados;
Transparência
Fornecimento de informações claras, completas, verídicas e acessíveis aos titulares sobre as atividades e procedimentos internos que envolvam tratamento de dados;
Segurança
Utilização de medidas e melhores esforços no sentido de proteger os direitos, interesses e dados pessoais dos titulares.
Além disso, já se demonstrou, em artigos anteriores, alguns dos passos que devem ser seguidos pelas empresas para que se adequem às novas regras impostas pela LGPD e, como é possível perceber, não se trata de um processo simples, que pode ser subestimado; pelo contrário: a trajetória rumo à adequação engloba uma série de ações e esforços intersetoriais, como a avaliação das atividades executadas, elaboração de documentos específicos, treinamento de toda a equipe, adaptação da cultura e forma de pensar da empresa, reavaliação de parceiros e fornecedores e implementação de medidas de segurança confiáveis.
Evidentemente, todo esse processo é feito em etapas que possuem suas próprias formas de aplicabilidade e expressão prática. Contudo, considerando a quantidade de princípios a serem observados e a complexidade do processo de adequação, restam os questionamentos: como o Estado verificará o status de regularidade e obediência dos responsáveis pelo tratamento de dados às diretrizes, práticas e princípios da LGPD? Ou, ainda, como a própria empresa pode comprovar esse status de conformidade de forma completa e acessível, tanto para fins de demonstração aos próprios órgãos fiscalizadores (principalmente para a Autoridade Nacional de Proteção de Dados, a “ANPD”) quanto aos titulares de dados?
Apresenta-se, então, um dos mecanismos que pode ser considerado a expressão prática dos princípios e diretrizes da LGPD e um dos meios pelo qual a ANPD exercerá a fiscalização das atividades de tratamento de dados: o Relatório de Impacto à Proteção de Dados.
O que é e para que serve o Relatório de Impacto à Proteção de Dados?
No conceito trazido pela própria LGPD, o Relatório de Impacto à Proteção de Dados (RIPD) seria a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Em outras palavras, trata-se de uma ferramenta de gestão de riscos e comprovação do estado de conformidade, consistente em um documento que descreve, detalhadamente, todos os processos de tratamento pelos quais os dados pessoais transitam durante uma ou várias atividades de operação.
Em resumo, o RIPD abordará, de forma minuciosa: (i) quais os dados pessoais tratados; (ii) como funciona o ciclo de vida do dado dentro da atividade – isto é, como se dá a coleta, utilização e eliminação desse dado –; (iii) quais os possíveis riscos que a atividade pode envolver e; (iv) quais os métodos de segurança implementados a fim de resguardar os direitos dos titulares, a proteção dos dados tratados e visando a mitigar aqueles riscos detectados, inerentes à atividade em questão.
Como visto, o RPID é um documento complexo e muito robusto, que se propõe a demonstrar, de forma completa, as medidas e cuidados implementados pela empresa com o propósito de adequar a realização de suas atividades às diretrizes da LGPD.
Sua elaboração pode, desse modo, servir para diversos propósitos muitíssimo relevantes, tais como:
Análise de viabilidade da implementação de novos negócios e projetos ou da continuidade de atividades já implementadas, mediante avaliação da adequação dessas atividades com as regras estabelecidas pela LGPD;
Aprimoramento e otimização da realização de determinadas atividades, facilitando a análise de toda a cadeia de tratamento, de modo a permitir a identificação de pontos de melhoria, identificação e eliminação de procedimentos desnecessários ou obsoletos, ponderação da relação de riscos e benefícios trazidos e atualização dos métodos de segurança ou da própria forma de se realizar as atividades;
Amparar e estruturar as defesas judiciais ou administrativas eventualmente necessárias para defender a empresa em casos de demandas propostas pelos próprios titulares ou por autoridades competentes, delimitando a responsabilidade da empresa e demonstrando, de forma clara e completa, um padrão pré-estabelecido de suas boas práticas;
Comprovar, por meio de “evidências” (ou em inglês, “accountability”), o estado de conformidade da empresa com a LGPD perante os titulares, parceiros comerciais, fornecedores e autoridades competentes.
Quando elaborar um Relatório de Impacto à Proteção de Dados?
A LGPD propõe algumas situações específicas em que a ANPD poderá exigir das empresas e agentes de tratamento de dados que apresentem um RIPD, como nos casos de utilização da base legal de “legítimo interesse” para fundamentar a realização da atividade ou caso a atividade envolva o tratamento de dados pessoais sensíveis.
Contudo, em geral, não há um rol específico de situações que podem ensejar a exigência de um Relatório de Impactos, tampouco existe a previsão de prazo para entrega desse relatório à ANPD – sendo certo, porém, que o prazo razoável para entrega não deve ser muito longo, tendo em vista a relevância de garantir a segurança dos titulares e a proteção de seus dados.
Portanto, ao mesmo tempo que o RIPD não deve ser encarado como indispensável para todas as atividades, sob o risco de burocratizar demasiadamente os processos ou dificultar a implementação prática e o desenvolvimento de algumas atividades, é igualmente imprudente aguardar a solicitação das autoridades competentes para se preocupar com sua elaboração, evitando o transtorno de ter que mobilizar diversos setores da empresa em uma “corrida contra o tempo” para a elaboração de um documento tão relevante.
Para auxiliar nessa questão, é possível se basear nas orientações advindas das agências e autoridades europeias – tendo em vista que o Velho Continente se encontra, desde 2018, sob a tutela da GDPR, a legislação de proteção de dados própria da União Europeia que foi amplamente recepcionada pela LGPD –, que indicam algumas situações mais comuns e sensíveis que podem gerar uma solicitação para elaboração do RIPD, como, exemplificativamente:
Tratamento de dados de menores de crianças e adolescentes;
Tratamento de dados relacionados a antecedentes criminais;
Implementação de tecnologias inovadoras e/ou disruptivas;
Qualquer atividade que obstaculize ou restrinja o acesso a direitos garantidos pela LGPD;
Atividades que envolvam criação de perfis ou decisões integralmente automatizadas;
Atividades que envolvam monitoramento sistemático;
Atividades cuja coleta dos dados a serem tratados combine, simultaneamente, diversas fontes (como domínios públicos, parceiros comerciais, prestadores de serviços ou o fornecimento direto pelo titular).
Nessas ocasiões, portanto, é interessante que o Relatório de Impactos seja produzido desde o início da atividade, de modo a antecipar qualquer potencial solicitação da ANPD. Entretanto, vale ressaltar, novamente, que a ANPD possui uma discricionariedade considerável para requerer aos agentes de tratamento que forneçam seus RIPD, podendo fazer essa solicitação conforme entender pertinente.
Sugere-se, desse modo, que a previsão de elaboração desse relatório esteja dentro dos processos de governança da empresa. Isto é, a possibilidade de elaboração antecipada do RIPD deve fazer parte do planejamento desde os primeiros projetos de conformidade à LGPD promovidos pela empresa. A ideia é que, ao passar pelas etapas de mapeamento de dados, análise das atividades, os principais pontos de atenção e os mecanismos de controle implementados em seus desenvolvimentos, seja possível concluir, paralelamente, que a elaboração do RIPD será necessária ou não, a depender da razão viabilidade x necessidade do caso concreto.
Ademais, o bom desenvolvimento das demais etapas do projeto de adequação já contribui para a construção gradual do RIPD, aproveitando-se os registros, descrições e relatórios produzidos ao longo da implementação dos processos de conformidade para compila-los no relatório de impactos.
Destaca-se, ainda, que, assim como tudo que envolve a LGPD, a decisão acerca da necessidade de preparação prévia do RIPD não deve ser exclusiva da diretoria, do setor jurídico ou do setor de tecnologia da informação, mas sim o produto da avaliação conjunta de todos esses setores, após a análise completa de todos os aspectos das atividades desenvolvidas pelas diversas áreas da empresa.
Por fim, é importante salientar que a mera elaboração antecipada do RIPD não cumpre permanentemente o dever de prestação de contas e o cumprimento de todos os princípios da LGPD. Para se manter útil e em conformidade com seu propósito, o relatório deve ser reavaliado periodicamente ou sempre que ocorrer qualquer alteração nas atividades desenvolvidas que possa impactar o tratamento de dados pessoais efetuado pela empresa.
COMPARTILHE NAS REDES SOCIAIS
Quer receber conteúdos exclusivos da Moreira Suzuki Advogados por e-mail? Cadastre-se!
Outros artigos
- « Anterior
- 1
- …
- 12
- 13
- 14