Diretrizes metodológicas para a elaboração do relatório de impacto a proteção de dados pessoais: Uma proposta de atualização do modelo do Governo Federal

Em cumprimento à Agenda Regulatória para o biênio 23/24, a Autoridade Nacional de Proteção de Dados - ANPD elaborou, em abril/23, algumas diretrizes para a elaboração do Relatório de Impacto à Proteção de Dados Pessoais - RIPD, através de 15 perguntas e respostas sobre o tema.¹

Apesar das valiosas diretrizes existentes, na realidade, muitos controladores encontram dificuldades na elaboração do documento, tão relevante para a consolidação de boas práticas e mitigação de riscos. 

A louvável flexibilidade metodológica estabelecida pela ANPD², pode, por vezes, fazer com que as instituições enfrentem dificuldades, num momento em que ainda é necessária a formação de uma cultura institucional de proteção de dados.  

O Governo Federal, por meio do Programa de Privacidade e Segurança da Informação, disponibilizado pelo Ministério da Gestão e da Inovação em Serviços Públicos, propôs um Guia e Template para elaboração de RIPD³. Todavia a metodologia empregada pode ser aprimorada, evitando a descrição de informações repetidas em vários tópicos e melhor parametrizando todos os elementos de compliance à lei. Sugerimos, portanto, a reformulação do Template, com o objetivo de orientar o controlador à análise crítica dos tratamentos de dados propostos e de seus riscos associados, à medida que se preenche o RIPD. Desta forma, por um lado reiteramos partes do framework e, por outro, sugerimos modificações metodológicas ou classificatórias para direcionar o gestor na análise reflexiva sobre os riscos no tratamento de dados. 

Nesse sentido, sugerimos a estruturação do RIPD a partir de 12 tópicos principais, quais sejam: 

1. Definição dos agentes de tratamento e do encarregado 
2. Partes interessadas consultadas
3. Justificativa da necessidade de elaborar o relatório
4. Escopo do relatório de impacto
5. Finalidades: Delimitação e justificativa dos propósitos com o tratamento de dados pessoais
6. Natureza dos dados tratados
7. Descrição do tratamento
8. Base legal do tratamento
9. Avaliação principiológica e demais requisitos legais
10. Inventário e análise de riscos
11. Medidas, salvaguardas e mecanismos de mitigação de riscos
12. Aprovação

Abordaremos sucintamente cada um deles a seguir.

1 - Definição dos agentes de tratamento e encarregado 

Entendemos como acertada a iniciativa do Governo Federal, no template de referência, em estabelecer por ponto de partida para a confecção do RIPD, a identificação clara sobre os agentes de tratamento. A LGPD define como agentes de tratamento, o controlador e o operador, além de instituir a figura do encarregado como canal de comunicação entre os titulares, o controlador e a ANPD. Cabe destacar que a confecção do RIPD é atribuição do controlador, que é quem delimita de forma inequívoca, os propósitos os quais se almeja atingir com o tratamento. O controlador é o agente a quem competem as decisões referentes ao tratamento, cujos interesses estão sendo atendidos com a manipulação dos dados pessoais. 

De fato, a identificação clara dos interesses atendidos com o tratamento deve ser vetor de orientação, auxiliando na identificação do controlador mesmo nos casos mais complexos. Por exemplo, em determinadas situações, os Entes Públicos poderão atuar exclusivamente como operadores de dados pessoais. É o caso do tratamento de dados de funcionários terceirizados, quando o tratamento, embora realizado em alguma medida pelo ente público, se dá no interesse da empresa contratada, em questões trabalhistas, folha de ponto, atestados médicos etc. 

• Confira aqui a íntegra do artigo.

-------------------------------

1 ANPD. Relatório de Impacto à Proteção de Dados Pessoais. Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais. Pulicado em: 6/4/2023 16h49. Atualizado em: 6/4/2023 17h14. Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd/relatorio-de-impacto-a-protecao-de-dados-pessoais

2 Conforme se depreende no trecho de resposta da pergunta "Quais critérios e metodologias devem ser utilizados para a gestão de riscos?": "As diretrizes gerais do processo de gestão de risco de privacidade, além de estarem alinhadas à política de segurança do responsável, poderão considerar, entre outros aspectos, objetivos estratégicos, processos, estrutura organizacional, requisitos da LGPD e demais normativos aplicáveis." (ANPD, 2023). No mesmo sentido: "Enquanto a matéria não estiver regulamentada, controladores de dados têm flexibilidade para determinar as melhores estruturas e formatos de seu RIPD, da forma que mais se ajuste às práticas de trabalho existentes na organização, observadas as disposições pertinentes da LGPD." (ANPD, 2023).

3 Disponível em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-e-modelos. O guia/template pode ser especificamente acessado em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/guia_template_ripd.docx