A Lei Geral de Proteção de Dados Pessoais-LGPD (Lei 13.709/18) voltou a ser pauta de inúmeros debates após o Senado Federal derrubar o adiamento do início da sua vigência.
A notícia, que surpreendeu a todos, escancarou o que muitos já sabiam, mas ainda pareciam ignorar: a adequação às disposições da LGPD constitui uma medida urgentíssima.
Enquanto norma que visa trazer segurança jurídica ao mundo dos dados pessoais, a lei 13.709/18 impõe diversas obrigações a todos aqueles1 que, de alguma forma, realizam o tratamento de dados pessoais2.
Entre as inúmeras imposições, encontra-se o Relatório de Impacto à Proteção de Dados (RIPD), o qual, resumidamente, é produzido com a finalidade de reduzir os riscos sobre as liberdades civis e os direitos fundamentais dos titulares dos dados.
A LGPD define o Relatório de Impacto como a documentação que possui o mapeamento dos processos de tratamento, bem como medidas e mecanismos de mitigação de riscos (artigo 5º, inciso XVII).
Justamente por constituir uma exposição minuciosa de todo o ciclo de vida dos dados e do nível de risco ao qual os titulares estão sujeitos, o Relatório é denominado como “documentação do controlador”, pois é ele que delibera sobre o tratamento dos dados pessoais coletados (artigo 5º, inciso VI).
Mas, para ser considerado um Relatório de Impacto que atenda à forma legal, não basta conter o mapeamento dos processos e a previsão de mecanismos de mitigação de riscos, também devem estar presentes, no mínimo, os seguintes elementos (artigo 38, parágrafo único):
- descrição dos tipos de dados coletados;
- metodologia empregada na coleta dos dados;
- metodologia utilizada para a garantia da segurança das informações;
- análise do controlador no tocante aos mecanismos de mitigação de riscos.
A fim de orientar a elaboração do Relatório de Impacto, o Governo Federal produziu o Guia de Boas Práticas- Lei Geral de Proteção de Dados (LGPD), o qual apresenta uma espécie de “passo a passo” e detalha os elementos mínimos exigidos pela LGPD.
Segundo o Guia, a depender do perfil e do tamanho da organização, é possível elaborar apenas um RIDP para todas as operações de tratamento de dados pessoais ou produzir um RIDP para cada projeto, sistema ou serviço. Logo, o volume de tratamento dos dados pessoais deve ser avaliado caso a caso.
Para tal avaliação, é fundamental que haja a descrição dos processos de tratamento de dados, compreendendo a análise da natureza, do escopo, do contexto e da finalidade do tratamento, pontos que estão diretamente relacionados aos princípios da LGPD (artigo 6º).
A natureza se refere ao modo como os dados são tratados desde a sua coleta até a sua eliminação, inclusive, se há o compartilhamento com terceiros ou não, além das medidas de segurança eventualmente adotadas.
Já o escopo está relacionado à abrangência, isto é, quais tipos de dados são tratados, o volume, número de titulares envolvidos, o tempo de retenção dos dados e a área geográfica abarcada.
O contexto e a finalidade estão, de certa forma, conectados, pois dizem respeito à relação entre a instituição que trata os dados e os indivíduos, no sentido de compreender qual é a natureza do relacionamento e o interesse no tratamento.
Especificamente em relação à finalidade, entende-se que ela constitui a razão pela qual se deseja tratar os dados pessoais, a qual deve, necessariamente, estar fundada em uma das bases legais antevistas nos artigos 7º e 11 da Lei.
É evidente que esta seria apenas uma das primeiras etapas, cabendo, ainda, àquele que elaborar o Relatório de Impacto identificar os riscos e depois avaliá-los a fim de compreender qual é o nível potencial de risco para cada evento previamente avaliado.
Somente após desenhar todos os processos de tratamento de dados e mapear os riscos, é possível identificar as espécies de medidas de mitigação de riscos adequadas.
Logicamente, existem muitos outros pontos a serem observados no momento da elaboração do Relatório de Impacto, aqui foram expostos apenas aspectos mínimos legais no intuito de introduzir o tema.
Registra-se: tanto a etapa de elaboração do RIPD quanto todo o procedimento de adequação à LGPD demandam um esforço denso, mediante estudo técnico, minucioso e multidisciplinar, que deve, obrigatoriamente, considerar as particularidades de cada instituição, motivo pelo qual não poderiam ser resumidos em poucas linhas.
Dessa forma, tendo em vista tratar-se de um processo tão complexo de diagnóstico e implantação, o sentimento, por grande parte dos sujeitos à LGPD, é de “atraso”. Afinal, muito se discutiu sobre a data em que possivelmente a LGPD entraria em vigor, e, nesse ínterim, pouquíssimo foi feito para que as instituições efetivamente se adequassem às obrigações que seriam impostas com o advento da Lei. Chegou a hora de recuperar o atraso!
____________
1 A lei aplica-se à pessoa natural ou à pessoa jurídica de direito público ou privado, que realize qualquer operação de tratamento de dados, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, respeitados os limites do art. 3º da lei 13.709/18.
2 A lei 13.709/18 entende que “tratamento” é “toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
____________
BRASIL. COMITÊ CENTRAL DE GOVERNANÇA DE DADOS. Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD). Publicado em 10/04/2020. Disponível em: clique aqui. Acesso em 07/09/2020;
BRASIL. Lei Federal n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: clique aqui. Acesso em 07/09/2020;
BRASIL. SENADO FEDERAL. Nota de esclarecimento- Vigência da LGPD. Disponível em: clique aqui. Acesso em 07/09/2020.
____________
*Marina Ferraz de Miranda é advogada do Marina Miranda Assessoria e consultoria jurídica, graduada em Direito pelo CESUSC (2016), administradora de empresas pela UDESC (2010), mestre em Finanças e Desenvolvimento Econômico pela UFSC (2013) e Especialista em Processo Civil (com ênfase no Novo CPC) pelo CESUSC (2018). Pós-Graduanda em Compliance e Gestão de Riscos: Ênfase em Governança e Inovação (Faculdade Polis Civitas).
*Tayná Tomaz de Souza é graduanda em Direito pela Universidade Federal de Santa Catarina (UFSC), voluntária no Observatório Social de Florianópolis, membro externo da Comissão Parlamentar Especial pela Transparência da Administração Pública de Florianópolis.