Migalhas de Peso

Anotações rápidas sobre a LGPD: Relatório de Impacto à Proteção de Dados (RIPD)

A LGPD apresenta diversas imposições, uma delas diz respeito ao Relatório de Impacto à Proteção de Dados, instrumento essencial para a implementação de um programa de adequação à norma. Entenda neste artigo o porquê.

10/9/2020

A Lei Geral de Proteção de Dados Pessoais-LGPD (Lei 13.709/18) voltou a ser pauta de inúmeros debates após o Senado Federal derrubar o adiamento do início da sua vigência.

A notícia, que surpreendeu a todos, escancarou o que muitos já sabiam, mas ainda pareciam ignorar: a adequação às disposições da LGPD constitui uma medida urgentíssima.

Enquanto norma que visa trazer segurança jurídica ao mundo dos dados pessoais, a lei 13.709/18 impõe diversas obrigações a todos aqueles1 que, de alguma forma, realizam o tratamento de dados pessoais2.

Entre as inúmeras imposições, encontra-se o Relatório de Impacto à Proteção de Dados (RIPD), o qual, resumidamente, é produzido com a finalidade de reduzir os riscos sobre as liberdades civis e os direitos fundamentais dos titulares dos dados.

A LGPD define o Relatório de Impacto como a documentação que possui o mapeamento dos processos de tratamento, bem como medidas e mecanismos de mitigação de riscos (artigo 5º, inciso XVII).

Justamente por constituir uma exposição minuciosa de todo o ciclo de vida dos dados e do nível de risco ao qual os titulares estão sujeitos, o Relatório é denominado como “documentação do controlador”, pois é ele que delibera sobre o tratamento dos dados pessoais coletados (artigo 5º, inciso VI).

Mas, para ser considerado um Relatório de Impacto que atenda à forma legal, não basta conter o mapeamento dos processos e a previsão de mecanismos de mitigação de riscos, também devem estar presentes, no mínimo, os seguintes elementos (artigo 38, parágrafo único): 

A fim de orientar a elaboração do Relatório de Impacto, o Governo Federal produziu o Guia de Boas Práticas- Lei Geral de Proteção de Dados (LGPD), o qual apresenta uma espécie de “passo a passo” e detalha os elementos mínimos exigidos pela LGPD.

Segundo o Guia, a depender do perfil e do tamanho da organização, é possível elaborar apenas um RIDP para todas as operações de tratamento de dados pessoais ou produzir um RIDP para cada projeto, sistema ou serviço. Logo, o volume de tratamento dos dados pessoais deve ser avaliado caso a caso.

Para tal avaliação, é fundamental que haja a descrição dos processos de tratamento de dados, compreendendo a análise da natureza, do escopo, do contexto e da finalidade do tratamento, pontos que estão diretamente relacionados aos princípios da LGPD (artigo 6º).

A natureza se refere ao modo como os dados são tratados desde a sua coleta até a sua eliminação, inclusive, se há o compartilhamento com terceiros ou não, além das medidas de segurança eventualmente adotadas.

Já o escopo está relacionado à abrangência, isto é, quais tipos de dados são tratados, o volume, número de titulares envolvidos, o tempo de retenção dos dados e a área geográfica abarcada.

O contexto e a finalidade estão, de certa forma, conectados, pois dizem respeito à relação entre a instituição que trata os dados e os indivíduos, no sentido de compreender qual é a natureza do relacionamento e o interesse no tratamento.

Especificamente em relação à finalidade, entende-se que ela constitui a razão pela qual se deseja tratar os dados pessoais, a qual deve, necessariamente, estar fundada em uma das bases legais antevistas nos artigos 7º e 11 da Lei.

É evidente que esta seria apenas uma das primeiras etapas, cabendo, ainda, àquele que elaborar o Relatório de Impacto identificar os riscos e depois avaliá-los a fim de compreender qual é o nível potencial de risco para cada evento previamente avaliado.

Somente após desenhar todos os processos de tratamento de dados e mapear os riscos, é possível identificar as espécies de medidas de mitigação de riscos adequadas.

Logicamente, existem muitos outros pontos a serem observados no momento da elaboração do Relatório de Impacto, aqui foram expostos apenas aspectos mínimos legais no intuito de introduzir o tema.

Registra-se: tanto a etapa de elaboração do RIPD quanto todo o procedimento de adequação à LGPD demandam um esforço denso, mediante estudo técnico, minucioso e multidisciplinar, que deve, obrigatoriamente, considerar as particularidades de cada instituição, motivo pelo qual não poderiam ser resumidos em poucas linhas.

Dessa forma, tendo em vista tratar-se de um processo tão complexo de diagnóstico e implantação, o sentimento, por grande parte dos sujeitos à LGPD, é de “atraso”. Afinal, muito se discutiu sobre a data em que possivelmente a LGPD entraria em vigor, e, nesse ínterim, pouquíssimo foi feito para que as instituições efetivamente se adequassem às obrigações que seriam impostas com o advento da Lei. Chegou a hora de recuperar o atraso!

____________

1 A lei aplica-se à pessoa natural ou à pessoa jurídica de direito público ou privado, que realize qualquer operação de tratamento de dados, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, respeitados os limites do art. 3º da lei 13.709/18.

2 A lei 13.709/18 entende que “tratamento” é “toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

____________

BRASIL. COMITÊ CENTRAL DE GOVERNANÇA DE DADOS. Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD). Publicado em 10/04/2020. Disponível em: clique aqui. Acesso em 07/09/2020;

BRASIL. Lei Federal n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: clique aqui. Acesso em 07/09/2020;

BRASIL. SENADO FEDERAL. Nota de esclarecimento- Vigência da LGPD. Disponível em: clique aqui. Acesso em 07/09/2020.

____________

*Marina Ferraz de Miranda é advogada do Marina Miranda Assessoria e consultoria jurídica, graduada em Direito pelo CESUSC (2016), administradora de empresas pela UDESC (2010), mestre em Finanças e Desenvolvimento Econômico pela UFSC (2013) e Especialista em Processo Civil (com ênfase no Novo CPC) pelo CESUSC (2018). Pós-Graduanda em Compliance e Gestão de  Riscos: Ênfase em Governança e Inovação (Faculdade Polis Civitas).

*Tayná Tomaz de Souza é graduanda em Direito pela Universidade Federal de Santa Catarina (UFSC), voluntária no Observatório Social de Florianópolis, membro externo da Comissão Parlamentar Especial pela Transparência da Administração Pública de Florianópolis.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

Estabilidade dos servidores públicos: O que é e vai ou não acabar?

19/11/2024

O SCR - Sistema de Informações de Crédito e a negativação: Diferenciações fundamentais e repercussões no âmbito judicial

20/11/2024

Quais cuidados devo observar ao comprar um negócio?

19/11/2024