A ideia da produção de um relatório de impacto surgiu na Europa com a General Data Protection Regulation (GDPR), sendo a primeira legislação a tornar obrigatória a condução de Data Protection Impact Assessments (DPIA), em alguns casos específicos.

A Lei Geral de Proteção de Dados – Lei 13.709/2018, inspirada na GDPR, trouxe a figura do chamado Relatório de Impacto à Proteção De Dados Pessoais (RIPD), tendo características específicas inseridas da lei com definição de conteúdo mínimo em seu artigo 5º, XVII, além dos artigos 10, §3º e 38, parágrafo único, que pode ser entendido como o DPIA na GDPR.

Art. 5º. Para os fins desta Lei, considera-se:

XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:..

§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

O RIPD, como é conhecido no Brasil, é um instrumento essencial e um dos mais relevantes em qualquer programa de governança em privacidade de dados, servindo como ferramenta de identificação, análise e mitigação, ou mesmo, eliminação de riscos, tratados na forma de registros de controles de tais riscos, inventários de regularidade e legalidade das operações empresariais, dentre outras características, o que remete ao princípio do Privacy by Design, devendo ser pensado desde o início em qualquer projeto, embutindo a ideia de privacidade desde a concepção, na arquitetura do programa de tratamento de dados pessoais.

Como a LGPD dispõe, a Autoridade Nacional de Proteção de Dados (ANPD), na forma dos artigos adrede mencionados, poderá solicitar a elaboração do referido relatório, no qual é de reponsabilidade do controlador tal tarefa, quando da solicitação, ou mesmo, determinação pela referida autoridade nos casos dos artigos 4º, §3º, e 32. Todavia, a elaboração do RIPD pode ser feita pela organização sem que haja a prévia solicitação, sendo de suma importância, tanto para a prevenção de riscos e reconhecimento dos Gaps, quanto para a comprovação de conformidade no que se refere à governança, fazendo parte da prática empresarial, inclusive nos entes públicos, buscando a prevenção de eventuais situações complexas, fazendo com que haja documentação capaz de demonstrar a adequação à LGPD.

Para a análise de avaliação prévia da necessidade de elaboração de um DPIA, relevante que se identifique o grau de risco à privacidade nas operações de tratamento e, caso seja considerado elevado, recomenda-se que se faça tal relatório.

A condução do processo para a confecção do RIPD não é uma tarefa simples, nem deve ser realizada, por um único profissional (encarregado de dados – DPO), mas por uma equipe de colaboradores (assessores em privacidade), onde deverá ocorrer a conscientização sobre a relevância do relatório, treinamento e formalidades de um programa de governança em privacidade, carecendo, também, haver a adoção de boas práticas e envolver diversos setores distintos dentro da organização, para que seja cumprida a LGPD, avaliando os riscos de forma adequada e ampla, podendo, inclusive, ser o processo conduzido na falta de um encarregado de dados ou de assessoria especializada, por uma equipe responsável pelo compliance, em conjunto com o jurídico e a área de tecnologia e segurança da informação, sendo importante a visão multidisciplinar, e, caso necessário, ante à complexidade, uma auditoria externa.

Como se observa, o RIPD não pode ser considerado como “só um documento, ou um único documento”, devendo ser encarado sob a ótica de uma visão macro, ou seja, como um processo, e apesar da nomenclatura de relatório de impacto à proteção de dados pessoais, não se trata de confeccionar um simples formulário relacionando os problemas encontrados para que sejam informados e resolvidos.

Assim, o DPIA não se exaure em si mesmo, uma vez que após toda a análise dos riscos, a prevenção, sendo necessária a fase de implementação das recomendações, além do acompanhamento do processo evolutivo ao longo do tempo, devendo ser acompanhado, atualizado e revisto, sempre quando necessário, no intuito de mitigar os riscos evidenciados conforme determinação expressa do artigo 38, parágrafo único da LGPD, não sendo, desta forma, o fim em si mesmo, considerando, ainda, que havendo qualquer alteração ou mudança no projeto que possa vir a causar algum risco posterior à privacidade dos titulares, será necessária a adoção de novas medidas para mitigação ou eliminação dos referidos riscos.

Aconselha-se a elaboração ou a atualização do RIPD sempre que houver possibilidade de um impacto na privacidade dos dados pessoais em decorrência de aplicação de novos serviços, tecnologias, dados pessoais sensíveis, dados de crianças e adolescentes, serviços de rastreamento ou outro serviço para formação de um profile do titular, meios automatizados para tomada de decisões, com intuito de definir o perfil comportamental, profissional, de crédito, consumo ou outros aspectos relacionados à personalidade, qualquer tratamento que possa resultar em dano patrimonial, moral, individual ou coletivo, em caso de incidente de violação dos dados, ainda nos casos de tratamento de dados pessoais para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais, tratamento com a base legal do legítimo interesse do controlador e ainda quando houver alterações legais e regulatórias aplicáveis à privacidade, política e normas internas, operação do sistema de informações, propósitos e meios para tratar dados, fluxos de dados novos ou alterados, etc.; bem como, nos casos de reformas administrativas que impliquem em nova estrutura organizacional resultante da incorporação, fusão ou cisão de órgãos ou entidades, além de dos casos de infração da LGPD em decorrência do tratamento de dados pessoais por órgãos públicos.

Diante disso, engana-se quem acredita que o DPIA é só um documento. Realmente deve ser assimilado como um processo contínuo, implicando, inclusive, atualização constante e revisões periódicas, quando necessário, além da importância quando da execução de novos projetos, produtos, serviços, tecnologias, conforme mencionado adrede, devendo ser reavaliado desde a concepção, remetendo-se ao privacy by design.

Além de todo o processo envolvendo o RIPD, igualmente importante que sejam de fato implementadas pela organização as soluções e recomendações, uma vez que ignorar trará sanções graves à empresa, não só de ordem financeira, mas reputacional, além do tempo “perdido” em todo o processo.

Realizando o procedimento que corresponde à nomenclatura simplificada trazida pela LGPD de Relatório de Impacto à Proteção de Dados, já compreendido como um processo, este poderá ser exigido pela ANPD por meio de um documento de comprovação, no qual faz parte de um programa de adequação à LGPD, objetivando a análise prévia de riscos à privacidade, para que sejam utilizadas técnicas e mecanismos eficazes para a eliminação ou redução desses riscos.

Por fim, a LGPD não menciona que a confecção é obrigatória, ou seja, sem a solicitação ou determinação da ANPD, mas como já mencionado, recomenda-se que seja realizado de forma contínua, não apenas com a finalidade da organização se mostrar atualizada e em compliance com a LGPD, mas em cumprimento com as obrigações relativas à governança de dados e a preocupação em proteger e evitar problemas relativos aos riscos que realmente podem ser mitigados pelo procedimento de análise no qual compreende o RIPD, o que gera transparência, demonstra responsabilidade e respeito aos direitos dos titulares, além de evidente cumprimento e preocupação com a conformidade.

Dra. Tereza Cristina Machado

Especialista em LGPD; Idealizadora, Fundadora e CEO da Compliance Dados.

REFERÊNCIAS BIBLIOGRÁFICAS

BRASIL. Lei Federal Nº 13.709, de 14 de agosto e 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 31 de out. de 2021.

MALDONADO, Viviane Nóbrega et al. LGP Lei Geral de Proteção de Dados Pessoais: Manual de Implementação. São Paulo: Thomson Reuters Brasil, 2021.

RELATÓRIO de Impacto à Proteção de Dados Pessoais (RIPD). Governo Digital, 2021. Disponível em https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd. Acesso em 31 de out. de 2021.

UE. GENERAL DATA PROTECTION REGULATION (GDPR). Disponível em https://gdpr-info.eu/. Acesso em 31 de out. de 2021.