Fabíola Grimaldi*
O presente artigo surge devido ao recente posicionamento da Autoridade Nacional Proteção de Dados (ANPD) que determinou em Nota Técnica nº 46/2022/CGF/ANPD a confecção de Relatório de Impacto à Proteção de Dados – RIPD para o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP).
Esclarecendo, a Autoridade Nacional (ANPD) manifestou-se sobre a temática em torno da divulgação dos microdados do Censo Escolar e do Exame Nacional do Ensino Médio (Enem) pelo Instituto (INEP).
Sendo assim, nasce a necessidade de abordar neste artigo as considerações e etapas práticas para elaborar um Relatório de Impacto à Proteção de Dados (RIPD) para atender às demandas da ANPD, LGPD e do mercado.
O que é o Relatório de Impacto à Proteção de Dados?
Primeiramente, é aconselhável entender a definição do relatório de impacto trazido no art. 5°, XVII da LGPD, no qual explica que o RIPD trata-se de documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Ou seja, vale entender que o relatório de impacto tem como seu propósito mitigar riscos, implementar princípios de segurança e prevenção para os dados pessoais dos titulares envolvidos, não se confundindo com o parecer de viabilidade de operação de tratamento de dados.
No entanto, a LGPD não deixa exatamente claro quais as atividades de tratamento de dados que geram riscos às liberdades civis e aos direitos fundamentais dos titulares, fato esse que nos faz recorrer às orientativas internacionais sobre o tema.
Critérios para o Relatório de Impacto à Proteção de Dados
Diante disso, o artigo começa a desvendar o passo a passo para elaboração do relatório de impacto produzidas pelo “Article 29 Working Party” no âmbito europeu, vejamos critérios adotados:
- Avaliação ou scoring: criação de perfis individualizados que afetem a privacidade.
- Decisões automatizadas: tratamento que possa conduzir a exclusão discriminação dos titulares.
- Monitoramento sistemático: coleta de dados do titular sem sua expectativa, ciência ou sem poder evitar.
- Utilização/Tratamento de dados sensíveis, de alta criticidade ou vulneráveis: importância da sensibilidade dos dados utilizados.
- Tratamento em alta escala: elevado número de titulares, volume de dados, tempo de duração e extensão geográfica.
- Combinação ou cruzamento de bases: utilização de dados para fins secundários que ameace o princípio da finalidade.
- Utilização de inovação tecnológica: nova tecnologia que envolva novas formas de coleta e/ou utilização dos dados.
- Tratamento que impeça exercício direito: aqueles que gerem consequências na esfera dos direitos e liberdades dos titulares dos dados.
Vale considerar ainda, nos critérios acima, a utilização da base legal de legítimo interesse na qual pode ensejar a necessidade da exigência do relatório de impacto não apenas pela base em si, mas sim pela análise do risco da atividade à ela condicionada.
Desta forma, antes de adentrar ao próprio passo a passo para confecção do relatório de impacto, é necessário entender que o mesmo deve vir acompanhado para fundamentação de fechamento do ciclo de boas práticas, governança, prevenção e mitigação de riscos de um procedimento específico para avaliação de riscos e impacto à proteção de dados. Assim como, do documento de controle de riscos e plano de ação.
Leia outro artigo da autora: As campanhas de e-mail marketing com aplicação da LGPD
Como elaborar o Relatório de Impacto à Proteção de Dados
Assim, vejamos o passo a passo a ser analisado para elaboração do Relatório de Impacto à Proteção de Dados – RIPD:
1° Passo – Mapeamento
Essa etapa trata-se da necessidade de mapear o fluxo dos dados para entender a sua natureza, escopo, base legal e propósito do tratamento dos dados, dentre outros. Nesse passo, é essencial que a metodologia usada no mapeamento, roadmap ou inventário possua interação com seu relatório de impacto para agilizar as transferências de informação.
2° Passo – Consultas
Neste passo, é necessário verificar, a depender da atividade de tratamento de dados, a necessidade de consultar operadores e titulares quanto à possibilidade de contribuição ao processo de elaboração do relatório de impacto.
3° Passo – Apoio do Encarregado de Dados (DPO)
A elaboração do relatório de impacto necessita da participação do Encarregado (DPO) ao longo de toda análise e confecção, sendo o maestro na realização, metodologia e viabilidade do relatório formal.
4° Passo – Atendimento às legislações
O relatório deve analisar profundamente os princípios e regras trazidos pela LGPD a fim de verificar se a atividade pretendida atinge adequadamente as legislações aplicáveis. Nessa etapa, pode ser necessário verificar a interação com outras legislações, o que chamamos de diálogos das leis.
5° Passo – Traçar riscos
É preciso que o relatório de impacto (RIPD) trace os riscos oriundos da atividade de tratamento dos dados dos titulares.
6° Passo – Impacto
De nada adianta levantar os riscos, se o relatório não levantar as probabilidades e impactos inerentes aos tratamentos dos dados. Nesta etapa, insere-se os riscos na Matriz de Riscos conforme probabilidade e impacto estimados.
7° Passo – Medidas Mitigadoras dos Riscos
Identificados os riscos, levantadas as probabilidades e impactos estimados, o próximo passo fica por conta de mapear as medidas necessárias para mitigar os riscos, garantir a proteção dos dados pessoais e privacidade no relatório de impacto.
8° Passo – Documentar
Enfim, realizados os passos acima relacionados, é necessário documentar, ou seja, registrar o processo, análise e as decisões no relatório de impacto (RPID). Este passo é formalizar em evidência para garantir a implementação das medidas traçadas na conclusão e, claro, resguardar-se contra futuras investigações, processos judiciais e sanções.
9° Passo – Revisar
O relatório de impacto à proteção de dados (RIPD) não finaliza com sua conclusão e registro. O relatório precisa de revisão e, por muitas vezes, atualizações a depender da atividade de tratamento de dados desempenhada. Ou seja, necessita de monitoramento e acompanhamento geralmente associado aos indicadores de impactos (KPI) estabelecidos pela organização para governança do sistema de gestão de proteção de dados.
Diante desses passos descritos, recomenda-se que as organizações se empenhem com extrema atenção na elaboração e aplicação do Relatório de Impacto à Proteção de Dados (RIPD), uma vez que é importante para preservar a liberdade, direitos fundamentais e privacidade dos titulares dos dados.
Ademais, o RIPD, como sugere o artigo 10 §3° e artigo 38 da LGPD, poderá ser solicitado pela Autoridade Nacional de Proteção de Dados (ANPD) referente às operações de tratamento de dados nos termos da legislação, a exemplo da determinação aplicada ao caso da Nota Técnica nº 46/2022/CGF/ANPD para a confecção de Relatório de Impacto à Proteção de Dados – RIPD para Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP) trazida no bojo deste artigo.
Referências:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
DONEDA, Danilo. Tratado de Proteção de Dados Pessoais. Editora Forense, 2021.
PALHARES, Felipe. Compliance Digital e LGPD. Editora Thomsom Reuters Brasil, 2021
Fabíola Grimaldi: Advogada e gestora especializada em consultoria empresarial, digital e proteção de dados para empresas, negócios digitais, e-commerce e Startups. Fundadora do portal de cursos direitotech.com.br
