Relatório de Impacto à Proteção de Dados: Mitos e Verdades – Parte 1

foto relatório de umpacto à proteção de dados lgpd

1. Introdução: Relatório de Impacto à Proteção de Dados

Muito se tem falado sobre o denominado “Relatório de Impacto à Proteção de Dados”, conhecido pela sigla RIPD. Mas em que consiste este documento, quais as hipóteses nas quais tal documento é obrigatório, qual é a diferença entre o RIPD e o Assessment ou RoPA (Record of Processing Activities), dentre outros questionamentos importantes.

Na verdade, a Lei Geral de Proteção de Dados (Lei n. 13.709/2018) fala muito pouco sobre esse documento. Este documento é mencionado dentre os conceitos elencados no art. 5º da LGPD inc. XVII, no art. 10, § 3º (quando a base legal para o tratamento de dados for o legítimo interesse) e no art. 38 (com ênfase aos dados pessoais sensíveis).

Portanto, caberá à ANPD regulamentar esse tema nos termos do art. 55-J, inc. XIII da LGPD:

“editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei”.

Algumas leis específicas podem exigir tal documento, por exemplo, a Medida Provisória n. 954/2020, que autorizava o compartilhamento de informações dos consumidores pelas empresas de telefonia móvel e fixa com o IBGE, cuja eficácia ficou suspensa após o julgamento das Ações Diretas de Inconstitucionalidade (ADI n. 6387, n. 6388, n. 6389, n. 6390 e n. 6393) pelo Supremo Tribunal Federal.

O art. 3º, § 2º da MP 954/2020 exigia o Relatório de Impacto à Proteção de Dados Pessoais nos termos da LGPD, mesmo antes da entrada em vigor da lei, in verbis:

A Fundação IBGE informará, em seu sítio eletrônico, as situações em que os dados referidos no caputdo art. 2º foram utilizados e divulgará relatório de impacto à proteção de dados pessoais, nos termos do disposto na Lei nº 13.709, de 14 de agosto de 2018.” (Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/mpv/mpv954.htm)

Esta seria uma hipótese na qual tal documento deve ser obrigatório, pois se trata de tratamento de dados em massa; no entanto, com razão, tal Medida Provisória teve sua eficácia suspensa pelo julgamento das ADIs acima mencionadas.

Mas o que vem a ser o documento denominado “Relatório de Impacto à Proteção de Dados Pessoais” (RIPD), essa é uma pergunta recorrente após a entrada em vigor da LGPD.

2. O que é um Relatório de Imapcto à Proteção de Dados?

foto de relatório de impacto à proteção de dados
relatorio_de_impacto_a_protecao_de_dados

O inc. XVII do art. 5º da LGPD traz um conceito do que vem a ser o Relatório de Impacto à Proteção de Dados Pessoais, a saber:

documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Pode-se afirmar, portanto, que neste documento deve-se conter, minimamente (conforme o disposto no parágrafo único do art. 38 da LGPD) :

a) a descrição dos tipos de dados coletados;

b) a metodologia utilizada para a coleta e para a garantia da segurança das informações e;

c) a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados .

O objetivo desse documento é realizar uma avaliação dos riscos às liberdades civis e aos direitos fundamentais envolvidos no tratamento de dados pessoais como consta da definição do inc. XVII do art. 5º da LGPD.

No entanto, a proteção de dados pessoais é um direito fundamental (LIMA, 2020a, p. 91), restando a pergunta se tal documento será sempre obrigatório para as atividades de tratamento de dados. Antes de responder essa pergunta, deve-se atentar para alguns aspectos na elaboração deste relatório de impacto.

Neste documento, há a descrição do tratamento de dados, bem como a avaliação de sua necessidade e proporcionalidade aos riscos envolvidos com tal atividade.

O ideal é realizar essa avaliação antes do tratamento de dados pessoais. Esse documento é um processo contínuo, pois deve ser revisitado constantemente a fim de se verificar se as medidas de segurança apontadas para mitigar os riscos continuam eficazes tendo em vista à evolução tecnológica.

Quanto à metodologia, existem várias metodologias para fazer essa avaliação. A ISO 29.134 tem diretrizes para aplicar tal metodologia.

Para cada risco identificado, define-se: a probabilidade de ocorrência do evento de risco, o  possível impacto caso o risco ocorra, avaliando o nível potencial de risco para cada evento.

Como exemplo, os parâmetros escalares podem ser utilizados para representar os níveis de  probabilidade e impacto que, após a multiplicação, resultarão nos níveis de risco, que direcionarão  a aplicação de medidas de segurança. A CNIL fornece gratuitamente uma ferramenta para efetuar de forma guiada um DPIA, mas com base no GDPR (Disponível em: https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment).

No Brasil, em novembro de 2020, o Ministério da Economia liderou um estudo sobre o tema, resultando no Guia de Avaliação de Riscos de Segurança e Privacidade (Disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-avaliacao-de-riscos-de-seguranca-e-privacidade.pdf), neste documento, são oferecidos alguns modelos de matriz de risco:

Matriz de Risco

Portanto, a partir desta análise, pode-se identificar risco baixo, moderado ou alto, quanto maior o risco, maior o cuidado com a segurança da informação ou outras medidas de mitigação de risco, o agente de tratamento deverá adotar.

2.1. Semelhanças e diferenças entre o RIPD e o RoPA.

Não se pode confundir o RIPD com o denominado RoPA, Record of Processing Activities, este último é o mapeamento de todas as atividades de tratamento de dados realizadas pelos agentes de tratamento de dados.

Em outras palavras, RoPA, Record of Processing Activities é um controle de fluxo dos dados pessoais, para realiza-lo é preciso ter em mente a taxonomia dos processos que envolvam o tratamento de dados pessoais, indicando a base legal para cada tratamento de dados realizado. A ICO oferece diretrizes muito úteis para a elaboração deste documento.

O art. 30 do GDPR menciona o RoPA e seus elementos essenciais, a saber:

Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações:

  1. O nome e os contatos dos agentes de tratamento de dados;
  • As finalidades do tratamento dos dados;
  • A descrição das categorias de titulares de dados e das categorias de dados pessoais;
  • As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo as transferências internacionais;
  • Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais, indicando a documentação que comprove a existência das garantias adequadas (ex. a decisão de adequação);
  • Os prazos previstos para o apagamento das diferentes categorias de dados;
  • Descrição geral das medidas técnicas e organizacionais para a segurança dos dados pessoais.

Neste documento, não é necessário aplicar a metodologia de análise de matriz de risco. O que distingue o RoPA do DPIA.

Outra ferramenta importante é o Data Mapping, que pode ser compreendido como as ferramentas aplicáveis para uma compreensão clara sobre as informações pessoais mantidas pelos agentes de tratamento. (Disponível em: https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/data-mapping/).

Portanto, pode-se afirmar que o Data Mapping está relacionado ao levantamento de dados pessoais manejados pelos agentes de tratamento, bem como os funcionários envolvidos neste tratamento. Já o RoPA é o fluxo de dados que deve ser claro, auditável, elaborado a partir do Data Mapping (Disponível em: https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/record-of-processing-activities-ropa/).

Esse documento é fundamental para a implementação da LGPD, e, na gestão desse processo (depois de implementado), porque deve ser constantemente revisto e atualizado.

Relatório de Impacto é a descrição sistemática dos tratamentos de dados realizados, com aplicação de determinada metodologia, para avaliar o contexto da minimização de dados (finalidade, adequação e necessidade), identificando os possíveis riscos às liberdades fundamentais e aos direitos fundamentais. Acima de tudo, o direito ao esquecimento tem fundamento constitucional (art. 1o, inc. III da CF/88), na medida em que seu exercício é fundamental para se permitir a evolução do ser humano.

3. Conclusão

Nesta primeira parte sobre o Relatório de Impacto à Proteção de Dados, buscamos apresentar o conceito e as especificidades tratadas pela LGPD e pelo Regulamento Geral Europeu de Proteção de Dados.

Além disso, procuramos estabelecer as distinções entre o Relatório de Impacto à Proteção de Dados, o Data Mapping e o RoPA, sendo que deverão ser desenvolvidas ferramentas que auixiliem as empresas na relaboração destes relatórios com o intuito de se acompanhar as avaliações de riscos de forma mais otimizada.

4. Referências Bibliográficas

BRASIL. Governo Digital. Guia de Avaliação de Riscos de Segurança e Privacidade. Brasília: Governo Federal, 2021. Disponível em: < https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-avaliacao-de-riscos-de-seguranca-e-privacidade.pdf>, acesso em 05 de maio de 2021.

CNIL. The open source PIA software helps to carry out data protection impact assesment. Disponível em: < https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment>, acesso em 05 de maio de 2021.

FINOCCHIARO, Giusella. Privacy e protezione dei dati personali: disciplina e strumenti operativi. Bologna: Zanichelli, 2012.

ICO. Data Mapping. London: ICO, 2021. Disponível em: < https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/data-mapping/>, acesso em 05 de maio de 2021.

ICO. ROPA Requirements. London: ICO, 2021. Disponível em: <https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/ropa-requirements/>, acesso em 05 de maio de 2021.

LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a Efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2020.

UNIÃO EUROPEIA. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Bruxelas: UE, 2021. Disponível em: < https://eur-lex.europa.eu/eli/reg/2016/679/oj>, último acesso em 05 de maio de 2021.

WORKING PARTY 29. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248rev.01. Bruxelas: UE, 2016. Disponível em: < https://ec.europa.eu/newsroom/article29/items/611236>, acesso em 05 de maio de 2021.

+ posts

Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD. Advogada.

+ posts

Advogada e Docente da Faculdade de Direito de Ribeirão Preto - USP. Pós-Doutora pela Université Paris I Panthéon-Sorbonne. Academic Visitor da Faculty of Law of the University of Oxford. Doutora e Graduada em Direito pela Faculdade de Direito da USP.

Artigos relacionados

Dever de Notificação dos Incidentes de Segurança com Dados Pessoais – Parte 1

Neste artigo, você compreenderá o que são incidentes de segurança à proteção de dados e como se efetivam as notificações dos incidentes de segurança. Assim, você verá os principais aspectos do dever de notificação dos incidentes de segurança com dados pessoais. Além disso, serão analisados os principais dispositivos do ISO 29.134/2017.

Respostas

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *