A Lei nº 13.709/2018, Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, assim como a legislação europeia no qual foi inspirada, o General Data Protection Regulation – GDPR (UE), estabeleceu novas regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e direitos aos titulares desses dados..
Dessa forma, a lei estabelece a necessidade da existência de alguns documentos para que seja demonstrada a conformidade do Agente de Tratamento com a norma vigente. Entre eles podemos encontrar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD).
Este artigo busca demonstrar que a necessidade de elaboração prévia à solicitação do RIPD ainda se encontra, em alguns casos, em obscuridade. Para isso iremos adentrar os seguintes tópicos: 1. O que é o Relatório de Impacto à Proteção de Dados Pessoais? 2. Quanto à identificação de Tratamento de Alto Risco. 3. O legítimo interesse como sinônimo de Alto risco.
O que é o Relatório de Impacto à Proteção de Dados Pessoais?
O RIPD, é definido no art. 5º, XXVII da LGPD como “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;”.
Ou seja, é um documento que deve ser elaborado pelo controlador (isto é, a entidade que toma as decisões relativas ao tratamento de dados pessoais) que descreve o processo de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais.
Sua principal finalidade é demonstrar as medidas, salvaguardas e mecanismos de mitigação de risco adotados para garantir a proteção dos dados pessoais, assegurando a conformidade do tratamento de dados com os princípios e regras previstos na LGPD.
O relatório deve incluir, no mínimo:
- A descrição dos tipos de dados coletados;
- A metodologia utilizada para a coleta e garantia da segurança da informação;
- A análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados;
- A avaliação do controlador sobre as medidas para garantir a proteção dos dados.
A elaboração do RIPD é uma ferramenta que ajuda as organizações a identificarem riscos no tratamento de dados e adotarem medidas preventivas, garantindo, assim, maior conformidade com a LGPD. Além disso, é uma maneira de demonstrar comprometimento e responsabilidade com a proteção dos dados pessoais dos titulares.
Sua necessidade de elaboração, será determinada pela Autoridade Nacional de Proteção de Dados (ANPD). Geralmente, é solicitado em situações de tratamento de dados que possam causar algum risco à privacidade dos titulares.
Quanto à identificação de Tratamento de Alto Risco
Nesse sentido, cabe destacar o disposto no artigo 10°, II, § 3º, da LGPD, que afirma a possibilidade de solicitação pela Autoridade Nacional de Proteção de Dados – ANPD, de RIPD em caso de tratamento de dados baseado em legítimo interesse.
Bem como, o dever da Autoridade de dispor sobre esta necessidade para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na lei (art. 55-J, XIII, da Lei nº 13.709/2018).
Importante pontuar que, em abril de 2023, a ANPD divulgou em sua página web, Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais, onde destaca o entendimento da Autoridade quanto à necessidade de elaboração do documento.
Como resultado, no item 3 das perguntas e respostas, resta evidente que independente da hipótese de realização do processo de elaboração do RIPD, será primeiramente necessário se verificar a existência de Alto Risco na atividade de tratamento de dados, a saber:
3. Em qual contexto a ANPD recomenda que seja elaborado o RIPD?
Como regra geral, é recomendado elaborar o RIPD em todo contexto em que as operações de tratamento de dados pessoais possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados, conforme art. 5º, inciso XVII, e art. 55-J, inciso XIII, da LGPD, o que deverá ser avaliado pelo agente de tratamento.
Sendo assim, fica evidente a necessidade de se esclarecer o entendimento da ANPD quanto ao que vem a ser “Alto Risco”. Objetivando responder a essa questão, nas Perguntas e Respostas anteriormente insinuados a Autoridade esclarece que dever-se-a utilizar a definição encontrada no art. 4º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte da Resolução n° 2/2020.
De acordo, tratamento de alto risco será identificado quando o tratamento envolver ao menos um critério geral e um critério específico, da seguinte forma:
- Critérios Gerais
- Tratamento em Larga Escala:
- “Quando o tratamento abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.”
- Tratamento que possa afetar significativamente interesses e direitos dos titulares:
- “Quando o tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.”
- Critérios Específicos
- Vigilância ou controle de zonas acessíveis ao público;
- Tratamento automatizado;
- Tecnologias emergentes ou inovadoras;
- Dados sensíveis ou de crianças, adolescentes e idosos.
Como podemos observar, os critérios parecem de certa forma taxativos e abrangentes ao mesmo tempo, tendo em vista que a ampla gama de definições que pode se dar aos tipos de critérios.
O legítimo interesse como sinônimo de Alto Risco
A dúvida quanto à questão da necessidade de elaboração de RIPD previamente à solicitação da ANPD, quando o tratamento se basear em legítimo interesse, surge, devido à publicação do Estudo Preliminar sobre legítimo interesse publicada pela autoridade e a faculdade de solicitação apresentada no art. 10, II, §3º da LGPD.
Conforme eximiamente apresentado pelo professor Matheus Sturari, o parágrafo 57 do estudo parece corroborar com a tese da necessidade da identificação do Alto risco:
57. Também deve constar do registro o Relatório de Impacto à Proteção de Dados (RIPD), caso o tratamento envolva alto risco. O RIPD pode incorporar o teste de balanceamento, contendo, ainda, análise mais ampla e detalhada sobre os riscos e as medidas de mitigação adotadas no caso. Ademais, é possível que a ANPD solicite ao controlador a elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), observados os segredos comercial e industrial, conforme previsto no art. 10, II, § 3º, da LGPD.
Ainda segundo Sturari, a obrigação de elaboração de RIPD em todo e qualquer tratamento que envolva legítimo interesse, levantaria duas suposições: “(i) a fundamentação na base legal do legítimo interesse se equipara à identificação de alto risco; ou (ii) a fundamentação na base legal do legítimo interesse é elemento que configura, por si só, a presença de alto risco”
Em que pese o acima descrito, ao próprio professor não parece a situação coerente, tendo em vista que a equiparação da base legal ao Alto Risco, banalizaria a razão de se definir o próprio legítimo interesse.
Dessa forma, pontua que no documento de Perguntas e Respostas a ANPD trata ainda de “situações específicas” nas quais poderá exigir a elaboração de RIPD:
A LGPD lista, ainda, situações específicas em que o RIPD poderá ser exigido pela ANPD, como:
· nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, § 3º);
· quando o tratamento tiver como fundamento a hipótese de interesse legítimo (art. 10, § 3º);
· para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD (art. 32); e
· para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis (art. 38).
Resta claro então que a possibilidade de elaboração do documento encontra-se em diversos momentos. Contudo, é importante ficarmos atentos ainda ao que será considerado de obrigatoriedade de elaboração prévia ao pedido e o que apenas será exigido após a requisição da Autoridade.
Conclusão
Entender o momento de exigência de documentos complexos e de difícil elaboração como o Relatório de Impacto à Proteção de Dados Pessoais é de suma importância para o profissional que atuará na área, seja prestando consultorias jurídicas, seja elaborando documentos, ou seja na atuação de defesa de clientes controladores de dados.
O estudo contínuo do direito, de novas colocações do mundo empírico e ideal, é o que diferencia um bom profissional dos demais.
A fim de se preparar para a constante evolução de temas, principalmente voltados para esse mundo de dados da sociedade da informação, o IDP oferece a Pós Graduação em Direito digital e Proteção de Dados, com profissionais que atuam em seu dia-a-dia com as questões apresentadas neste trabalho.
Referências
STURARI, MATHEUS. RIPD para Legítimo Interesse e Estudo Preliminar da ANPD. Disponível em: <https://www.linkedin.com/pulse/ripd-para-leg%25C3%25ADtimo-interesse-e-estudo-preliminar-da-anpd-sturari/?trackingId=mIqFHGFoNGi5VLB3waZ9TQ%3D%3D>. Acessado em: 23/10/2023.
BRASIL, Autoridade Nacional de Proteção de Dados Pessoais. Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais. Disponível em: <https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd>. Acessado em: 23/10/2023
BRASIL, Autoridade Nacional de Proteção de Dados Pessoais. Estudo Preliminar: Hipóteses Legais de Tratamento de Dados Pessoais Legítimo Interesse. Disponível em: <https://www.gov.br/participamaisbrasil/consulta-a-sociedade-de-estudo-preliminar-sobre-legitimo-interesse-1> Acessado em: 23/10/2023.
BRASIL. Lei Federal Nº 13.709/2018. Lei Geral de Proteção de Dados.