Migalhas de Peso

Diretrizes metodológicas para a elaboração do relatório de impacto a proteção de dados pessoais: Uma proposta de atualização do modelo do Governo Federal

ANPD apresentou diretrizes para RIPD, mas controladores enfrentam desafios na elaboração. O artigo sugere melhorias no framework proposto pelo Governo Federal para melhor parametrização e análise crítica.

29/2/2024

Em cumprimento à Agenda Regulatória para o biênio 23/24, a Autoridade Nacional de Proteção de Dados - ANPD elaborou, em abril/23, algumas diretrizes para a elaboração do Relatório de Impacto à Proteção de Dados Pessoais - RIPD, através de 15 perguntas e respostas sobre o tema.1

Apesar das valiosas diretrizes existentes, na realidade, muitos controladores encontram dificuldades na elaboração do documento, tão relevante para a consolidação de boas práticas e mitigação de riscos. 

A louvável flexibilidade metodológica estabelecida pela ANPD2, pode, por vezes, fazer com que as instituições enfrentem dificuldades, num momento em que ainda é necessária a formação de uma cultura institucional de proteção de dados.  

O Governo Federal, por meio do Programa de Privacidade e Segurança da Informação, disponibilizado pelo Ministério da Gestão e da Inovação em Serviços Públicos, propôs um Guia e Template para elaboração de RIPD3. Todavia a metodologia empregada pode ser aprimorada, evitando a descrição de informações repetidas em vários tópicos e melhor parametrizando todos os elementos de compliance à lei. Sugerimos, portanto, a reformulação do Template, com o objetivo de orientar o controlador à análise crítica dos tratamentos de dados propostos e de seus riscos associados, à medida que se preenche o RIPD. Desta forma, por um lado reiteramos partes do framework e, por outro, sugerimos modificações metodológicas ou classificatórias para direcionar o gestor na análise reflexiva sobre os riscos no tratamento de dados. 

Nesse sentido, sugerimos a estruturação do RIPD a partir de 12 tópicos principais, quais sejam: 

  1. Definição dos agentes de tratamento e do encarregado 
  2. Partes interessadas consultadas
  3. Justificativa da necessidade de elaborar o relatório
  4. Escopo do relatório de impacto
  5. Finalidades: Delimitação e justificativa dos propósitos com o tratamento de dados pessoais
  6. Natureza dos dados tratados
  7. Descrição do tratamento
  8. Base legal do tratamento
  9. Avaliação principiológica e demais requisitos legais
  10. Inventário e análise de riscos
  11. Medidas, salvaguardas e mecanismos de mitigação de riscos
  12. Aprovação

Abordaremos sucintamente cada um deles a seguir.

1 - Definição dos agentes de tratamento e encarregado 

Entendemos como acertada a iniciativa do Governo Federal, no template de referência, em estabelecer por ponto de partida para a confecção do RIPD, a identificação clara sobre os agentes de tratamento. A LGPD define como agentes de tratamento, o controlador e o operador, além de instituir a figura do encarregado como canal de comunicação entre os titulares, o controlador e a ANPD. Cabe destacar que a confecção do RIPD é atribuição do controlador, que é quem delimita de forma inequívoca, os propósitos os quais se almeja atingir com o tratamento. O controlador é o agente a quem competem as decisões referentes ao tratamento, cujos interesses estão sendo atendidos com a manipulação dos dados pessoais. 

De fato, a identificação clara dos interesses atendidos com o tratamento deve ser vetor de orientação, auxiliando na identificação do controlador mesmo nos casos mais complexos. Por exemplo, em determinadas situações, os Entes Públicos poderão atuar exclusivamente como operadores de dados pessoais. É o caso do tratamento de dados de funcionários terceirizados, quando o tratamento, embora realizado em alguma medida pelo ente público, se dá no interesse da empresa contratada, em questões trabalhistas, folha de ponto, atestados médicos etc. 

-------------------------------

1 ANPD. Relatório de Impacto à Proteção de Dados Pessoais. Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais. Pulicado em: 6/4/2023 16h49. Atualizado em: 6/4/2023 17h14. Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd/relatorio-de-impacto-a-protecao-de-dados-pessoais

2 Conforme se depreende no trecho de resposta da pergunta “Quais critérios e metodologias devem ser utilizados para a gestão de riscos?”: “As diretrizes gerais do processo de gestão de risco de privacidade, além de estarem alinhadas à política de segurança do responsável, poderão considerar, entre outros aspectos, objetivos estratégicos, processos, estrutura organizacional, requisitos da LGPD e demais normativos aplicáveis.” (ANPD, 2023). No mesmo sentido: “Enquanto a matéria não estiver regulamentada, controladores de dados têm flexibilidade para determinar as melhores estruturas e formatos de seu RIPD, da forma que mais se ajuste às práticas de trabalho existentes na organização, observadas as disposições pertinentes da LGPD.” (ANPD, 2023).

3 Disponível em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-e-modelos. O guia/template pode ser especificamente acessado em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/guia_template_ripd.docx

Fernanda Potiguara Carvalho
Autora do livro "Desafios da Anonimização: Um framework dos requisitos e boas práticas para compliance à LGPD". Mestre (UnB), Assistente na Assessoria de Conformidade e Integridade Digital no STJ.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas de Peso

Relatório de impacto à proteção de dados pessoais: como elaborar?

28/4/2022

Artigos Mais Lidos

Afinal, quando serão pagos os precatórios Federais em 2025?

19/12/2024

Atualização do Código Civil e as regras de correção monetária e juros para inadimplência

19/12/2024

5 perguntas e respostas sobre as férias coletivas

19/12/2024

A política de concessão de veículos a funcionários e a tributação previdenciária

19/12/2024

Julgamento do Tema repetitivo 1.101/STJ: Responsabilidade dos bancos na indicação do termo final dos juros remuneratórios

19/12/2024