Migalhas de Peso

ANPD esclarece dúvidas frequentes sobre o relatório de impacto à proteção de dados pessoais

Enquanto a regulamentação específica não é publicada, é recomendável levar em conta os esclarecimentos compartilhados pela Autoridade, como medida adicional de observância às boas práticas de governança em proteção de dados pessoais, em linha com a LGPD.

24/5/2023

A Autoridade Nacional de Proteção de Dados (ANPD) publicou em seu site oficial uma série de perguntas e respostas que objetivam orientar e esclarecer a sociedade sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD). As referidas orientações presentes no documento não são vinculantes, mas servem de norte para entendermos o atual posicionamento da Autoridade sobre o tema.

O Relatório, previsto no art. 5º, inciso XVII, e art. 38 da Lei Geral de Proteção de Dados Pessoais (LGPD), deve ser elaborado pelo controlador dos dados e é a documentação que contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD, bem como às liberdades civis e aos direitos fundamentais dos titulares de dados. Nele devem constar, ainda, as medidas, salvaguardas e mecanismos de mitigação de risco ao tratamento dos dados pessoais em questão.

Com a vigência da LGPD e o início da sua aplicação, muito se tem discutido sobre o que deveria ser considerado como um tratamento de dados de “alto risco”. Neste Q&A (perguntas e respostas) preparado pela Autoridade, esclareceu-se que enquanto não há a publicação de regulamento próprio sobre o tema, os agentes de tratamento podem adotar como parâmetro a definição de “alto risco” estabelecida no art. 4º da Resolução 2/22 da ANPD, que regula a aplicação da LGPD para agentes de pequeno porte.

Segundo a referida Resolução, para averiguar se determinado tratamento de dados pessoais oferece “alto risco” é necessário analisar os chamados “critérios gerais” e “critérios específicos”, conforme abaixo:

Critérios gerais:

Critérios específicos:

Caso seja identificada a presença de pelo menos 1 critério geral e 1 critério específico, cumulativamente, estaríamos diante de um tratamento de alto risco.

No entanto, a Autoridade ressaltou que os referidos critérios não devem ser considerados exaustivos para fins de elaboração do RIPD, sendo absolutamente possível que o controlador verifique a existência de alto risco no tratamento dos dados em situações distintas das indicadas nos critérios pré-estabelecidos pela ANPD.

Deste modo, é importante que cada processo seja analisado e sejam sempre levados em consideração os possíveis impactos e potenciais danos aos titulares de dados, especialmente as consequências para o exercício de seus direitos e possíveis efeitos que impactem a sua liberdade civil, constitucionalmente garantida.

Para além da definição de “alto risco”, dentre os diversos esclarecimentos fornecidos pela ANPD, destacamos os seguintes:

De todo modo, o controlador deverá, ainda, elaborar o RIPD sempre que solicitado pela ANPD.

No mais, a Autoridade orienta que, embora não seja obrigatório divulgar o RIPD, a sua publicação no sítio eletrônico do controlador, por exemplo, é considerada como uma boa prática, na medida em que demonstra a preocupação do controlador com a segurança dos dados, a transparência e seu compromisso com a privacidade e proteção dos dados, além de ser um instrumento de prestação de contas. A ANPD esclarece que a versão pública do RIPD pode ser distinta da versão interna, no intuito de resguardar segredos comerciais e industriais e outras informações protegidas por lei.

Todavia, especificamente em relação a entidades e órgãos públicos, o RIPD deverá ser publicado:

(i) por determinação da ANPD, nos termos do art. 32 da LGPD; ou

(ii) pelo próprio controlador, quando não identificada hipótese de sigilo aplicável ao caso.

O processo de regulamentação do tema ainda está em andamento, conforme previsto na Agenda Regulatória da Autoridade para o biênio 23/24, de modo que obrigações e parâmetros adicionais serão estabelecidos pela ANPD futuramente, quando da publicação do regulamento oficial. Enquanto a regulamentação específica não é publicada, é recomendável levar em conta os esclarecimentos compartilhados pela Autoridade, como medida adicional de observância às boas práticas de governança em proteção de dados pessoais, em linha com a LGPD.

Enrique Tello Hadad
Sócio do escritório Loeser e Hadad Advogados.

Bibianna Peres
Bacharel em Direito pelo Centro Universitário de Brasília - UniCEUB. MBA em Direito e Relações Internacionais pela FGV. Associada do escritório Loeser e Hadad Advogados.

Milene Rodrigues
Advogada Sênior no Loeser e Hadad Advogados, certificada em Privacidade e Proteção de Dados pelo Data Privacy BR, membro da ANPPD

Danilo Bernardi
Colaborador do escritório Loeser & Hadad Advogados

Isabelle Nepomuceno
Colaboradora no escritório Loeser Hadad Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Afinal, quando serão pagos os precatórios Federais em 2025?

19/12/2024

Decisão importante do TST sobre a responsabilidade de sócios em S.A. de capital fechado

20/12/2024

Planejamento sucessório e holding patrimonial: Cláusulas restritivas societárias

20/12/2024

As perspectivas para o agronegócio brasileiro em 2025

20/12/2024

A sua empresa monitora todos os gatilhos e lança as informações dos processos trabalhistas no eSocial?

20/12/2024