Controlador: já elaborou o seu Relatório de Impacto à Proteção de Dados Pessoais?
Governança

Controlador: já elaborou o seu Relatório de Impacto à Proteção de Dados Pessoais?

O RIPD é um instrumento importante para atender aos princípios previstos na LGPD, em especial a avaliação o gerenciamento de riscos à proteção de dados.

Dentre as várias atividades que os agentes de tratamento de dados pessoais devem executar para garantir a conformidade com a Lei Geral de Proteção de Dados LGPD), o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é uma das mais importantes delas. Previsto no artigo 5º, inciso XVII, da LGPD, é a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

Conforme definido no artigo 38, a Autoridade Nacional de Proteção de Dados (ANPD) poderá “determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial”. O RIPD é ainda mais importante, quando o controlador utiliza como hipótese para o tratamento o interesse legítimo (art. 7º, inciso IX), base legal controversa, sobre a qual já escrevi algumas considerações em um artigo1 recente.

Mas o que é e como deve ser elaborado esse relatório?

O RIPD é um documento que deve descrever os detalhes do tratamento realizado pelo controlador, avaliar a necessidade e a proporcionalidade desse tratamento — aderência aos princípios do artigo 6º — e ajudar na avaliação e na gestão dos riscos aos direitos e liberdades dos titulares, em função do tratamento dos dados pessoais que é ou será realizado, avaliando-os e determinando as medidas técnicas e administrativas necessárias para mitigar ou eliminar esses riscos.

O RIPD se torna, assim, instrumento importante para atendimento ao princípio da responsabilização e prestação de contas (art. 6º, X), uma vez que ajuda o controlador não apenas a cumprir os requisitos da LGPD, mas também a demonstrar que foram tomadas medidas adequadas para assegurar a conformidade com a legislação.

Em consonância com a abordagem baseada em risco incorporada na LGPD — e mantendo o alinhamento com a General Data Protection Regulation (GDPR), inspiração para a norma brasileira —, não é obrigatório elaborar um RIPD para todas as operações de tratamento. Só existe tal obrigação para o tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Ou seja, o RIPD é um instrumento profundamente ligado ao processo de avaliação e de gerenciamento de riscos.

O ideal é que o RIPD seja feito toda vez que for iniciado algum projeto, programa ou serviço que envolverá um alto risco para os dados pessoais que serão utilizados. Isso é especialmente verdade quando se pretende utilizar novas tecnologias — tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento — que possam resultar num elevado risco para os direitos e liberdades dos titulares dos dados pessoais. Assim, o controlador deve, antes de iniciar o tratamento, realizar uma avaliação do impacto das operações de tratamento previstas na proteção dos dados pessoais.

Alguns exemplos em que os direitos e liberdades dos titulares podem estar em risco são: utilização de novas tecnologias, monitoramento de localização ou comportamento dos titulares (art. 12 § 2º); utilização de dados pessoais sensíveis, que são definidos no artigo 11 (art. 5º, II); quando o tratamento é utilizado para tomar decisões automatizadas para definição de perfil dos titulares (art. 20); para tratamento de dados pessoais de crianças e adolescentes (art. 14); e se o tratamento puder causar algum tipo de dano patrimonial, moral, físico, individual ou coletivo aos titulares, em caso de vazamento (art. 42); tratamento de dados pessoais para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de repressão de infrações penais (art. 4º, § 3º); uso do interesse legítimo como base para tratamento de dados (art. 10, § 3º); dentre outros. A identificação da necessidade de elaboração do RIPD é uma das etapas para a elaboração do relatório, que será abordada nas seções seguintes.

Papéis e responsabilidades na elaboração do RIPD

A responsabilidade pela elaboração do RIPD é do controlador, que deve garantir os meios, recursos e aprovar diretrizes que permitam a sua conclusão.

Contudo, em função de sua natureza multidisciplinar, outros atores também participam dessa atividade, assim como em todas as fases na jornada de adequação à LGPD. O encarregado pelo tratamento de dados pessoais deve apoiar a alta administração da instituição na definição de diretrizes que deverão assegurar a elaboração do RIPD, no que for aplicável em cada caso. E por ser o profissional que conhece a legislação e sua aplicação, o encarregado deverá avaliar e ajudar na definição do modelo de relatório mais adequado. Indo além, ele deverá trabalhar na orientação da elaboração do RIPD e aprovar a versão final, tomando outras medidas que sejam necessárias — como a publicação desse relatório, se for o caso.

O controlador deverá indicar a pessoa responsável pela elaboração do RIPD. Esse papel deverá ser exercido por alguém que tenha o conhecimento técnico necessário para a realização da tarefa: LGPD, privacidade e proteção de dados pessoais, gestão de riscos, governança de dados e medidas técnicas para proteção de dados. Contudo, essa pessoa não poderá (e nem deverá) trabalhar sozinha: é fundamental que ela tenha o apoio de todas as áreas da instituição, de forma a conduzir um trabalho adequado às expectativas internas e externas.

Etapas para elaboração do RIPD

Segundo o artigo 38, parágrafo único, da LGPD, o relatório deverá conter, no mínimo, os seguintes itens: a descrição dos tipos de dados coletados; a metodologia utilizada para a coleta e para a garantia da segurança das informações; e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Mas qual é o processo para se criar esse relatório e que informações, além das citadas anteriormente, são necessárias?

Não há um modelo padrão para a elaboração do RIPD. Contudo, a Secretaria de Governo Digital do Ministério da Economia tem trabalhado na elaboração de guias operacionais para incentivar e acelerar a evolução da maturidade das entidades e órgãos públicos na busca da conformidade à LGPD. Nesse contexto, foi criado um modelo de RIPD e uma metodologia em nove etapas para a elaboração do relatório:

1) Identificar os agentes de tratamento e o encarregado, etapa na qual devem ser identificados o controlador, operador e o encarregado no RIPD, este último com a inclusão do e-mail e telefone de contato, uma vez que ele é o canal de comunicação entre o controlador, titulares e ANPD;

2) Identificar a necessidade de elaborar o relatório, onde é feita a avaliação da necessidade de se elaborar um RIPD para cada projeto/sistema/serviço ou um único relatório para todas as operações de tratamento de dados pessoais realizadas pelo controlador, de acordo com sua realidade e necessidades. É nesta etapa que o controlador deve explicitar para qual tratamento de dados o RIPD deverá ser elaborado ou atualizado. Contudo, é importante se atentar aos casos em que o RIPD deverá ou poderá ser solicitado pela ANPD (a qualquer momento, como previsto no art. 38), quando houver infração da LGPD em decorrência do tratamento de dados pessoais por órgãos públicos (artigos 31 e 32) e, especialmente, quando houver possibilidade de ocorrer impacto na privacidade dos dados pela utilização de novas tecnologias, conforme já abordado anteriormente;

3) Descrever o tratamento, que envolve o detalhamento:

a. natureza – como os dados pessoais são coletados, armazenados, tratados, usados e eliminados; qual a fonte de dados; se há compartilhamento; se há operadores envolvidos no tratamento; se há utilização de novas tecnologias que podem aumentar o risco de vazamento e medidas de segurança adotadas na proteção desses dados;

b. escopo – tipos de dados pessoais tratados, especificando se há dados pessoais sensíveis, o volume de dados coletados e tratados, a quantidade e frequência do tratamento, período de retenção, número de titulares afetados e abrangência geográfica do tratamento;

c. contexto – natureza da relação do controlador com o titular; como o titular pode ter controle sobre seus dados; verificar se o tratamento é alinhado à expectativa do titular e à finalidade divulgada; deve-se destacar experiência anterior do controlador nesse tipo de tratamento e os avanços tecnológicos e de segurança que podem contribuir para a proteção dos dados pessoais;

d. finalidade – destacar a razão para o tratamento desejado, de acordo com as hipóteses previstas nos artigos 7º e 11 da LGPD. Nesta fase é importante avultar os resultados pretendidos para o titular, sua importância e os benefícios esperados para o órgão, entidade ou para a sociedade.

4) Identificar partes interessadas e consultadas, como o operador, encarregado de dados, gestores, especialistas em segurança da informação, consultores jurídicos e outros cuja participação tenha sido relevante para a construção do RIPD, com o devido registro dessas consultas;

5) Descrever necessidade e proporcionalidade, demonstrando que há respeito ao princípio da minimização de dados, ou seja, se os dados coletados se limitam ao mínimo necessário para o atingimento da finalidade proposta, sendo pertinentes, proporcionais e não excessivos. Deve-se garantir, ainda, a qualidade dos dados — exatidão, clareza, relevância e atualização — e descrever as medidas para atendimento aos direitos dos titulares, previstos no art. 18;

6) Identificar e avaliar riscos, onde o controlador deve adotar uma metodologia eficaz de avaliação de riscos, de forma a identificar os potenciais riscos que podem gerar um incidente de segurança com comprometimento de dados pessoais. A Secretaria de Governo Digital do Ministério da Economia elaborou um guia detalhado2 que pode ser usado como referência por todos os controladores;

7) Identificar medidas para tratar os riscos, etapa na qual, uma vez identificados os riscos, deve-se definir medidas tecnológicas e administrativas para mitigar os riscos. Já abordei algumas medidas que podem ser utilizadas em alguns artigos aqui na MIT Technology Review;

8) Aprovar o relatório
, com a obtenção das assinaturas dos responsáveis pela elaboração do RIPD, como o representante do Controlador, do representante do Operador, do Encarregado e da pessoa que elaborou o relatório;

9) Manter revisão, etapa importante, uma vez que o RIPD deve ser atualizado periodicamente e sempre que houver alguma mudança que afete o tratamento de dados realizado pela instituição.

Não basta estar em conformidade, deve-se demonstrar que está em conformidade

A elaboração do RIPD, além de ser uma oportunidade para que a instituição avalie seu nível de conformidade com a LGPD, também demonstra seu comprometimento com a privacidade e proteção dos dados pessoais, tanto para os titulares, quanto para a ANPD. Isso é importante, até mesmo para concretizar o atendimento ao princípio da responsabilização e prestação de contas, previsto no art. 6º, inciso X. Além disso, em se tratando de instituição pública e em consonância com o artigo 32, “a autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público”. Desta forma, instituições públicas devem se atentar para atendimento à essa exigência de publicização, contemplando, no mínimo, a divulgação das informações sobre a previsão legal, a finalidade, os procedimentos e práticas utilizadas para execução do tratamento dos dados pessoais.

A jornada de adequação à LGPD não é simples e requer cuidados para que se demonstre, sempre, que o trabalho está sendo feito de boa-fé, princípio consagrado no caput do artigo 6º (caput) e no artigo 7º, § 3º 3 da LGPD e relevante como um parâmetro a ser considerado em caso de eventual processo administrativo para aplicação de sanções por parte da ANPD, em caso de incidente de segurança, conforme artigo 52, § 1º, inciso I4. Assim, parafraseando Júlio César: não basta estar em conformidade, deve-se demonstrá-lo.


Este artigo foi produzido por Fabio Correa Xavier, Diretor do Departamento de Tecnologia da Informação do TCESP, Mestre em Ciência da Computação, Professor e colunista da MIT Technology Review Brasil.

Último vídeo

Nossos tópicos