Migalhas de Peso

Relatório de impacto à proteção de dados pessoais: como elaborar?

O ideal é que o RIPD seja feito toda vez que for iniciado algum projeto, programa ou serviço que envolverá um alto risco para os dados pessoais que serão utilizados.

28/4/2022

(Imagem: Arte Migalhas)

Dentre as várias atividades que os agentes de tratamento de dados pessoais devem executar para garantir a conformidade com a Lei Geral de Proteção de Dados, lei 13.709/18, doravante LGPD, o RIPD – Relatório de Impacto à Proteção de Dados Pessoais – é uma das mais importantes delas. O RIPD, definido no art. 5º, inciso XVII, da LGPD, é a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Conforme definido no art. 38, a ANPD – Autoridade Nacional de Proteção de Dados – poderá “determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial”. O RIPD é ainda mais importante, quando o controlador utiliza como hipótese para o tratamento o interesse legítimo, art. 7º, inciso IX, base legal controversa, sobre a qual já escrevi algumas considerações em um art.1 recente.

Mas o que é e como deve ser elaborado esse relatório?

O RIPD é um documento que deve descrever os detalhes do tratamento realizado pelo controlador, avaliar a necessidade e proporcionalidade desse tratamento, aderência aos princípios do artigo 6º, e ajudar na avaliação e gestão dos riscos aos direitos e liberdades dos titulares, em função do tratamento dos dados pessoais que é ou será realizado, avaliando-os e determinando as medidas técnicas e administrativas necessárias para mitigar ou eliminar esses riscos.

O RIPD se torna, assim, instrumento importante para atendimento ao princípio da responsabilização e prestação de contas, art. 6º, X, uma vez que ajuda o controlador não apenas a cumprir os requisitos da LGPD, mas também a demonstrar que foram tomadas medidas adequadas para assegurar a conformidade com a legislação.

Em consonância com a abordagem baseada em risco incorporada na LGPD, e mantendo o alinhamento com a GDPR – General Data Protection Regulation, inspiração para a norma brasileira, não é obrigatório elaborar um RIPD para todas as operações de tratamento. Só existe tal obrigação para o tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Ou seja, o RIPD é um instrumento profundamente ligado ao processo de avaliação e gerenciamento de riscos.

O ideal é que o RIPD seja feito toda vez que for iniciado algum projeto, programa ou serviço que envolverá um alto risco para os dados pessoais que serão utilizados. Isso é especialmente verdade quando se pretende utilizar novas tecnologias, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, que possam resultar num elevado risco para os direitos e liberdades dos titulares dos dados pessoais. Assim, o controlador deve, antes de iniciar o tratamento, realizar uma avaliação do impacto das operações de tratamento previstas na proteção dos dados pessoais. Alguns exemplos em que os direitos e liberdades dos titulares podem estar em risco são: utilização de novas tecnologias, monitoramento de localização ou comportamento dos titulares, art. 12 § 2º; utilização de dados pessoais sensíveis, que são definidos no art. 11, art. 5º, II; quando o tratamento é utilizado para tomar decisões automatizadas para definição de perfil dos titulares, art. 20; para tratamento de dados pessoais de crianças e adolescentes, art. 14; e se o tratamento puder causar algum tipo de dano patrimonial, moral, físico, individual ou coletivo aos titulares, em caso de vazamento, art. 42, tratamento de dados pessoais para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de repressão de infrações penais, art. 4º, § 3º; uso do interesse legítimo como base para tratamento de dados, art. 10, § 3º; dentre outros. A identificação da necessidade de elaboração do RIPD é uma das etapas para a elaboração do relatório, que será abordada nas seções seguintes.

Papéis e responsabilidades na elaboração do RIPD

A responsabilidade pela elaboração do RIPD é do controlador, que deve garantir os meios, recursos e aprovar diretrizes que permitam a sua conclusão.

Contudo, em função de sua natureza multidisciplinar, outros atores também participam dessa atividade, assim como em todas as fases na jornada de adequação à LGPD. O encarregado pelo tratamento de dados pessoais deve apoiar a alta administração da instituição na definição de diretrizes que deverão assegurar a elaboração do RIPD, no que for aplicável em cada caso. E por ser o profissional que conhece a legislação e sua aplicação, o encarregado deverá avaliar e ajudar na definição do modelo de relatório mais adequado. Indo além, ele deverá trabalhar na orientação da elaboração do RIPD e aprovar a versão final, tomando outras medidas que sejam necessárias, como a publicação desse relatório, se for o caso.

O controlador deverá indicar pessoa responsável pela elaboração do RIPD. Esse papel deverá ser exercido por alguém que tenha o conhecimento técnico necessário para a realização da tarefa: LGPD, privacidade e proteção de dados pessoais, gestão de riscos, governança de dados e medidas técnicas para proteção de dados. Contudo, essa pessoa não poderá, e nem deverá, trabalhar sozinha: é fundamental que ela tenha o apoio de todas as áreas da instituição, de forma a conduzir um trabalho adequado às expectativas internas e externas.

Etapas para elaboração do RIPD

Segundo o art. 38, parágrafo único, da LGPD, o relatório deverá conter, no mínimo, os seguintes itens: I. a descrição dos tipos de dados coletados; II. a metodologia utilizada para a coleta e para a garantia da segurança das informações; e III. a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Mas qual é o processo para se criar esse relatório e que informações, além das citadas anteriormente, são necessárias?

Não há um modelo padrão para a elaboração do RIPD. Contudo, a secretaria de governo digital do Ministério da Economia tem trabalhado na elaboração de guias operacionais para incentivar e acelerar a evolução da maturidade das entidades e órgãos públicos na busca da conformidade à LGPD. Nesse contexto, foi criado um modelo de RIPD2 e uma metodologia em nove etapas para a elaboração do relatório:

I. Identificar os agentes de tratamento e o encarregado, etapa na qual devem ser identificados o controlador, operador e o encarregado no RIPD, este último com a inclusão do e-mail e telefone de contato, uma vez que ele o canal de comunicação entre o controlador, titulares e ANPD;

II. Identificar a necessidade de elaborar o relatório, onde é feita a avaliação da necessidade de se elaborar um RIPD para cada projeto/sistema/serviço ou um único relatório para todas as operações de tratamento de dados pessoais realizadas pelo controlador, de acordo com sua realidade e necessidades. É nesta etapa que o controlador deve explicitar para qual tratamento de dados o RIPD deverá ser elaborado ou atualizado. Contudo, é importante se atentar aos casos em que o RIPD deverá ou poderá ser solicitado pela ANPD, a qualquer momento, como previsto no art. 38, quando houver infração da LGPD em decorrência do tratamento de dados pessoais por órgãos públicos, arts. 31 e 32, e, especialmente, quando houver possibilidade de ocorrer impacto na privacidade dos dados pela utilização de novas tecnologias, conforme já abordado anteriormente;

III. Descrever o tratamento, que envolve o detalhamento:

a. Natureza – como os dados pessoais são coletados, armazenados, tratados, usados e eliminados; qual a fonte de dados; se há compartilhamento; se há operadores envolvidos no tratamento; se há utilização de novas tecnologias que podem aumentar o risco de vazamento e medidas de segurança adotadas na proteção desses dados;

b. Escopo – tipos de dados pessoais tratados, especificando se há dados pessoais sensíveis, o volume de dados coletados e tratados, a quantidade e frequência do tratamento, período de retenção, número de titulares afetados e abrangência geográfica do tratamento;

c. Contexto – natureza da relação do controlador com o titular; como o titular pode ter controle sobre seus dados; verificar se o tratamento é alinhado à expectativa do titular e à finalidade divulgada; deve-se destacar experiência anterior do controlador nesse tipo de tratamento e os avanços tecnológicos e de segurança que podem contribuir para a proteção dos dados pessoais;

d. Finalidade – destacar a razão para o tratamento desejado, de acordo com as hipóteses previstas nos arts. 7º e 11 da LGPD. Nesta fase é importante avultar os resultados pretendidos para o titular, sua importância e os benefícios esperados para o órgão, entidade ou para a sociedade.

identificar partes interessadas e consultadas, como o operador, encarregado de dados, gestores, especialistas em segurança da informação, consultores jurídicos e outros cuja participação tenha sido relevante para a construção do RIPD, com o devido registro dessas consultas;

IV. Descrever necessidade e proporcionalidade, demonstrando que há respeito ao princípio da minimização de dados, ou seja, se os dados coletados se limitam ao mínimo necessário para o atingimento da finalidade proposta, sendo pertinentes, proporcionais e não excessivos. Deve-se garantir, ainda, a qualidade dos dados, exatidão; clareza, relevância e atualização, e descrever as medidas para atendimento aos direitos dos titulares, previstos no art. 18;

V. Identificar e avaliar riscos, onde o controlador deve adotar uma metodologia eficaz de avaliação de riscos, de forma a identificar os potenciais riscos que podem gerar um incidente de segurança com comprometimento de dados pessoais. A Secretaria de governo digital do Ministério da Economia elaborou um guia detalhado3 que pode ser usado como referência por todos os controladores;

VI. Identificar medidas para tratar os riscos, etapa na qual, uma vez identificados os riscos, deve-se definir medidas tecnológicas e administrativas para mitigar os riscos.

VII. Aprovar o relatório, com a obtenção das assinaturas dos responsáveis pela elaboração do RIPD, como o representante do Controlador, do representante do Operador, do Encarregado e da pessoa que elaborou o relatório;

VIII. Manter revisão, etapa importante, uma vez que o RIPD deve ser atualizado periodicamente e sempre que houver alguma mudança que afete o tratamento de dados realizado pela instituição.

Não basta estar em conformidade, deve-se demonstrar que está em conformidade

A elaboração do RIPD, além de ser uma oportunidade para que a instituição avalie seu nível de conformidade com a LGPD, também demonstra seu comprometimento com a privacidade e proteção dos dados pessoais, tanto para os titulares, quanto para a ANPD. Isso é importante, até mesmo para concretizar o atendimento ao princípio da responsabilização e prestação de contas, previsto no art. 6º, inciso X. Além disso, em se tratando de instituição pública e em consonância com o art. 32, “A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público”. Desta forma, instituições públicas devem se atentar para atendimento à essa exigência de publicização, contemplando, no mínimo, a divulgação das informações sobre a previsão legal, a finalidade, os procedimentos e práticas utilizadas para execução do tratamento dos dados pessoais.

A jornada de adequação à LGPD não é simples e requer cuidados para que se demonstre, sempre, que o trabalho está sendo feito de boa-fé, princípio consagrado no caput do art. 6º 4, caput, e no art. 7º, § 3º 5 da LGPD e relevante como um parâmetro a ser considerado em caso de eventual processo administrativo para aplicação de sanções por parte da ANPD, em caso de incidente de segurança, conforme art. 52, § 1º, inciso I6. Assim, parafraseando Júlio César: não basta estar em conformidade, deve-se demonstrá-lo.

_____________
 
1 https://www.tce.sp.gov.br/publicacoes/lgpd-uso-legitimo-interesse-como-base-legal-para-tratamento-dados-pessoais

2 https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_template_ripd.docx

3 https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_avaliacao_riscos.pdf

4 Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

5 Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

(..)

§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

6 § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

(...)

II - a boa-fé do infrator;

Fabio Correa Xavier
Diretor do Departamento de Tecnologia da Informação do Tribunal de Contas do Estado de São Paulo. Mestre em Ciência da Computação (USP). MBA em Gestão Estratégica de Negócios (IBMEC). Pós-graduado em Gestão Pública e Responsabilidade Fiscal e em Projetos de Redes.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas Quentes

Daniel Silveira é eleito para Comissão de Segurança Pública da Câmara

27/4/2022
Migalhas Quentes

TRT-1 valida dispensa por banco que aderiu ao movimento “#NãoDemita"

27/4/2022
Migalhas Quentes

TRT-12: Vendedora pressionada a gravar anúncios deve ser indenizada

27/4/2022

Artigos Mais Lidos

Afinal, quando serão pagos os precatórios Federais em 2025?

19/12/2024

Decisão importante do TST sobre a responsabilidade de sócios em S.A. de capital fechado

20/12/2024

Planejamento sucessório e holding patrimonial: Cláusulas restritivas societárias

20/12/2024

As perspectivas para o agronegócio brasileiro em 2025

20/12/2024

A sua empresa monitora todos os gatilhos e lança as informações dos processos trabalhistas no eSocial?

20/12/2024