1. Introdução: Relatório de Impacto à Proteção de Dados
Muito se tem falado sobre o denominado “Relatório de Impacto à Proteção de Dados”, conhecido pela sigla RIPD. Mas em que consiste este documento, quais as hipóteses nas quais tal documento é obrigatório, qual é a diferença entre o RIPD e o Assessment ou RoPA (Record of Processing Activities), dentre outros questionamentos importantes.
Na verdade, a Lei Geral de Proteção de Dados (Lei n. 13.709/2018) fala muito pouco sobre esse documento. Este documento é mencionado dentre os conceitos elencados no art. 5º da LGPD inc. XVII, no art. 10, § 3º (quando a base legal para o tratamento de dados for o legítimo interesse) e no art. 38 (com ênfase aos dados pessoais sensíveis).
Portanto, caberá à ANPD regulamentar esse tema nos termos do art. 55-J, inc. XIII da LGPD:
“editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei”.
Algumas leis específicas podem exigir tal documento, por exemplo, a Medida Provisória n. 954/2020, que autorizava o compartilhamento de informações dos consumidores pelas empresas de telefonia móvel e fixa com o IBGE, cuja eficácia ficou suspensa após o julgamento das Ações Diretas de Inconstitucionalidade (ADI n. 6387, n. 6388, n. 6389, n. 6390 e n. 6393) pelo Supremo Tribunal Federal.
O art. 3º, § 2º da MP 954/2020 exigia o Relatório de Impacto à Proteção de Dados Pessoais nos termos da LGPD, mesmo antes da entrada em vigor da lei, in verbis:
“A Fundação IBGE informará, em seu sítio eletrônico, as situações em que os dados referidos no caputdo art. 2º foram utilizados e divulgará relatório de impacto à proteção de dados pessoais, nos termos do disposto na Lei nº 13.709, de 14 de agosto de 2018.” (Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/mpv/mpv954.htm)
Esta seria uma hipótese na qual tal documento deve ser obrigatório, pois se trata de tratamento de dados em massa; no entanto, com razão, tal Medida Provisória teve sua eficácia suspensa pelo julgamento das ADIs acima mencionadas.
Mas o que vem a ser o documento denominado “Relatório de Impacto à Proteção de Dados Pessoais” (RIPD), essa é uma pergunta recorrente após a entrada em vigor da LGPD.
2. O que é um Relatório de Imapcto à Proteção de Dados?
O inc. XVII do art. 5º da LGPD traz um conceito do que vem a ser o Relatório de Impacto à Proteção de Dados Pessoais, a saber:
“documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;”
Pode-se afirmar, portanto, que neste documento deve-se conter, minimamente (conforme o disposto no parágrafo único do art. 38 da LGPD) :
a) a descrição dos tipos de dados coletados;
b) a metodologia utilizada para a coleta e para a garantia da segurança das informações e;
c) a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados .
O objetivo desse documento é realizar uma avaliação dos riscos às liberdades civis e aos direitos fundamentais envolvidos no tratamento de dados pessoais como consta da definição do inc. XVII do art. 5º da LGPD.
No entanto, a proteção de dados pessoais é um direito fundamental (LIMA, 2020a, p. 91), restando a pergunta se tal documento será sempre obrigatório para as atividades de tratamento de dados. Antes de responder essa pergunta, deve-se atentar para alguns aspectos na elaboração deste relatório de impacto.
Neste documento, há a descrição do tratamento de dados, bem como a avaliação de sua necessidade e proporcionalidade aos riscos envolvidos com tal atividade.
O ideal é realizar essa avaliação antes do tratamento de dados pessoais. Esse documento é um processo contínuo, pois deve ser revisitado constantemente a fim de se verificar se as medidas de segurança apontadas para mitigar os riscos continuam eficazes tendo em vista à evolução tecnológica.
Quanto à metodologia, existem várias metodologias para fazer essa avaliação. A ISO 29.134 tem diretrizes para aplicar tal metodologia.
Para cada risco identificado, define-se: a probabilidade de ocorrência do evento de risco, o possível impacto caso o risco ocorra, avaliando o nível potencial de risco para cada evento.
Como exemplo, os parâmetros escalares podem ser utilizados para representar os níveis de probabilidade e impacto que, após a multiplicação, resultarão nos níveis de risco, que direcionarão a aplicação de medidas de segurança. A CNIL fornece gratuitamente uma ferramenta para efetuar de forma guiada um DPIA, mas com base no GDPR (Disponível em: https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment).
No Brasil, em novembro de 2020, o Ministério da Economia liderou um estudo sobre o tema, resultando no Guia de Avaliação de Riscos de Segurança e Privacidade (Disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-avaliacao-de-riscos-de-seguranca-e-privacidade.pdf), neste documento, são oferecidos alguns modelos de matriz de risco:
Portanto, a partir desta análise, pode-se identificar risco baixo, moderado ou alto, quanto maior o risco, maior o cuidado com a segurança da informação ou outras medidas de mitigação de risco, o agente de tratamento deverá adotar.
2.1. Semelhanças e diferenças entre o RIPD e o RoPA.
Não se pode confundir o RIPD com o denominado RoPA, Record of Processing Activities, este último é o mapeamento de todas as atividades de tratamento de dados realizadas pelos agentes de tratamento de dados.
Em outras palavras, RoPA, Record of Processing Activities é um controle de fluxo dos dados pessoais, para realiza-lo é preciso ter em mente a taxonomia dos processos que envolvam o tratamento de dados pessoais, indicando a base legal para cada tratamento de dados realizado. A ICO oferece diretrizes muito úteis para a elaboração deste documento.
O art. 30 do GDPR menciona o RoPA e seus elementos essenciais, a saber:
Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações:
- O nome e os contatos dos agentes de tratamento de dados;
- As finalidades do tratamento dos dados;
- A descrição das categorias de titulares de dados e das categorias de dados pessoais;
- As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo as transferências internacionais;
- Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais, indicando a documentação que comprove a existência das garantias adequadas (ex. a decisão de adequação);
- Os prazos previstos para o apagamento das diferentes categorias de dados;
- Descrição geral das medidas técnicas e organizacionais para a segurança dos dados pessoais.
Neste documento, não é necessário aplicar a metodologia de análise de matriz de risco. O que distingue o RoPA do DPIA.
Outra ferramenta importante é o Data Mapping, que pode ser compreendido como as ferramentas aplicáveis para uma compreensão clara sobre as informações pessoais mantidas pelos agentes de tratamento. (Disponível em: https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/data-mapping/).
Portanto, pode-se afirmar que o Data Mapping está relacionado ao levantamento de dados pessoais manejados pelos agentes de tratamento, bem como os funcionários envolvidos neste tratamento. Já o RoPA é o fluxo de dados que deve ser claro, auditável, elaborado a partir do Data Mapping (Disponível em: https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/record-of-processing-activities-ropa/).
Esse documento é fundamental para a implementação da LGPD, e, na gestão desse processo (depois de implementado), porque deve ser constantemente revisto e atualizado.
Relatório de Impacto é a descrição sistemática dos tratamentos de dados realizados, com aplicação de determinada metodologia, para avaliar o contexto da minimização de dados (finalidade, adequação e necessidade), identificando os possíveis riscos às liberdades fundamentais e aos direitos fundamentais. Acima de tudo, o direito ao esquecimento tem fundamento constitucional (art. 1o, inc. III da CF/88), na medida em que seu exercício é fundamental para se permitir a evolução do ser humano.
3. Conclusão
Nesta primeira parte sobre o Relatório de Impacto à Proteção de Dados, buscamos apresentar o conceito e as especificidades tratadas pela LGPD e pelo Regulamento Geral Europeu de Proteção de Dados.
Além disso, procuramos estabelecer as distinções entre o Relatório de Impacto à Proteção de Dados, o Data Mapping e o RoPA, sendo que deverão ser desenvolvidas ferramentas que auixiliem as empresas na relaboração destes relatórios com o intuito de se acompanhar as avaliações de riscos de forma mais otimizada.
4. Referências Bibliográficas
BRASIL. Governo Digital. Guia de Avaliação de Riscos de Segurança e Privacidade. Brasília: Governo Federal, 2021. Disponível em: < https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-avaliacao-de-riscos-de-seguranca-e-privacidade.pdf>, acesso em 05 de maio de 2021.
CNIL. The open source PIA software helps to carry out data protection impact assesment. Disponível em: < https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment>, acesso em 05 de maio de 2021.
FINOCCHIARO, Giusella. Privacy e protezione dei dati personali: disciplina e strumenti operativi. Bologna: Zanichelli, 2012.
ICO. Data Mapping. London: ICO, 2021. Disponível em: < https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/data-mapping/>, acesso em 05 de maio de 2021.
ICO. ROPA Requirements. London: ICO, 2021. Disponível em: <https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/ropa-requirements/>, acesso em 05 de maio de 2021.
LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a Efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2020.
UNIÃO EUROPEIA. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Bruxelas: UE, 2021. Disponível em: < https://eur-lex.europa.eu/eli/reg/2016/679/oj>, último acesso em 05 de maio de 2021.
WORKING PARTY 29. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248rev.01. Bruxelas: UE, 2016. Disponível em: < https://ec.europa.eu/newsroom/article29/items/611236>, acesso em 05 de maio de 2021.