O Relatório de Impacto à Proteção de Dados (RIPD), mais conhecido pela sigla em inglês “DPIA” (Data Protection Impact Assessment), é um documento concebido para descrever o tratamento de dados pessoais, avaliar a sua necessidade/proporcionalidade e ajudar a gerir os respectivos riscos aos direitos e liberdades, por meio da avaliação de tais riscos e da determinação de medidas para fazer frente a eles.
O DPIA é, pois, uma ferramenta importante de prestação de contas, já que auxilia os agentes de dados pessoais a cumprirem os requisitos da LGPD e a demonstrar que o fizeram, sendo, assim, um processo de construção e comprovação de conformidade.
Esse é um aspecto fundamental: quando falamos de conformidade com a LGPD, falamos também de demonstração dessa conformidade. Ocorre que a forma de produzir tal demonstração nem sempre é clara a partir da leitura do texto “frio” da Lei.
Fabricio da Mota Alves[1] destaca que “o investimento de tempo e recursos econômicos ou de pessoal para esse tipo de procedimento agrega valor às atividades corporativas de uma empresa, na medida em que reforçam a permanente preocupação de mitigação de riscos ao titular dos dados pessoais”.
Assim, a despeito de tratar-se de documento fundamental para as empresas no processo de adequação à LGPD, a lógica do DPIA é a proteção do titular de dados pessoais e dos seus direitos.
Índice
Os benefícios da elaboração do Relatório de Impacto à Proteção de Dados – DPIA
Para além da demonstração da conformidade com a LGPD, há outros benefícios advindos da elaboração do Relatório de Impacto à Proteção de Dados – DPIA, não somente para o agente de tratamento, mas também para o próprio titular.
Inicialmente, do ponto de vista do agente de tratamento, o DPIA pode ser útil para impedir que processos internos tenham de sofrer mudanças dispendiosas e o redesenho de sistemas. Isso porque, como veremos no tópico que descreve o conteúdo do Relatório, o documento se presta a descrever, com detalhes, a natureza, o escopo, o contexto e a finalidade do tratamento de dados pessoais.
O DPIA representa, pois, uma oportunidade para que o agente de tratamento reveja processos que, porventura, possam estar obsoletos, permitindo a otimização deles.
Ademais, o Relatório de Impacto à Proteção de Dados permite verificar a viabilidade de novos projetos, podendo resultar em melhorias na prestação de serviços ao cliente e na tomada de decisões no âmbito interno da empresa.
Ao aumentar a conscientização interna sobre a importância da privacidade e da proteção de dados pessoais, o DPIA também reforça a confiança dos titulares sobre a forma como seus dados pessoais são tratados pelo agente de dados, melhorando a comunicação.
Como o documento é centrado no titular dos dados pessoais (o que reflete a vontade geral da própria LGPD), certamente a transparência é um dos mais importantes elementos propiciados pela elaboração do Relatório, sendo certo que um projeto que tenha sido submetido a um Relatório de Impacto a Proteção de Dados provavelmente não terá natureza intrusiva do ponto de vista da privacidade e da proteção de dados pessoais, com menor propensão de afetar o titular de maneira negativa.
Conceito e obrigatoriedade
Conforme já abordamos em nossos outros textos sobre a matéria, a LGPD é fortemente inspirada no GRPD (Regulamento Geral de Proteção de Dados), norma que regula o tratamento de dados pessoais no âmbito da União Europeia. Em razão de tal inspiração, muitos conceitos, princípios e interpretações aplicáveis à LGPD são oriundos de entendimentos desenvolvidos sob a lógica do GDPR.
No que tange ao Relatório de Impacto à Proteção de Dados – DPIA, contudo, diferentemente do GDPR, que contém uma seção específica para tratar do tema, a LGPD traz disposições esparsas sobre a realização da avaliação de impacto.
O Relatório de Impacto a Proteção de Dados é citado pela primeira vez no parágrafo 3º do artigo 4º, inciso III, da LGPD, o qual prevê que a ANPD (Autoridade Nacional de Proteção de Dados) emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.
A elaboração do DPIA é também citada no parágrafo 3º do artigo 10 da LGPD, que trata de situações em que é permitido o tratamento de dados com base no legítimo interesse do controlador.
Ressalte-se, porém, que o conceito do Relatório de Impacto à Proteção de Dados é dado pelo artigo 5º, inciso XVII, da LGPD, que o define como a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Embora a LGPD tenha trazido esse conceito, nem todas as lacunas no tocante à elaboração do documento foram preenchidas.
De fato, na definição trazida pela Lei, não há nenhuma orientação ou direcionamento sobre o formato do documento, de tal sorte que cabe à ANPD regular o assunto para que haja a necessária segurança jurídica acerca dele.
Além da conceituação contida no artigo 5º, inciso XVII, também é necessário observar o que prevê o artigo 38 da Lei:
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Observa-se, portanto, uma previsão de possibilidade de solicitação, pela ANPD, do DPIA, havendo, no parágrafo único do citado artigo 38, uma descrição geral quanto ao conteúdo do documento.
A norma, porém, não vai além disso e não detalha tal conteúdo, o que impõe que a ANPD atue para determinar o nível de detalhamento a ser apresentado e também o nível de risco a ser considerado à luz do Relatório de Impacto à Proteção de Dados.
No que se refere à obrigatoriedade, se, de um lado, o GDPR estabelece explicitamente alguns tipos de tratamento que exigem a elaboração do Relatório, a LGPD não o faz.
Note-se que a redação do artigo 38 utiliza a expressão “poderá”, que, a princípio, não confere obrigatoriedade de elaboração do DPIA, sendo que o artigo 5º, inciso XVII, também nada impõe nesse sentido.
Seja como for, ainda que essa indefinição seja temporária e que venha a ser suprida pela regulação posterior da LGPD pela ANPD ou mesmo por atividade legislativa, a elaboração do Relatório de Impacto à Proteção de Dados é recomendada para fins de comprovação de conformidade com a legislação.
Vamos repetir: tão importante quanto adequar-se à Lei é conseguir comprovar tal adequação, inclusive para fins de responsabilização quando da eventual ocorrência de incidentes com dados pessoais.
A propósito, o artigo 43 da LGPD determina que os agentes de tratamento só não serão responsabilizados em caso de incidentes com dados pessoais quando provarem:
(i) que não realizaram o tratamento de dados pessoais que lhes é atribuído;
(ii) que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
(iii) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Conteúdo de um Relatório de Impacto à Proteção de Dados – DPIA
Ao ler este texto, você aprendeu que a LGPD fornece apenas um norte quanto ao conteúdo que um Relatório de Impacto à Proteção de Dados – DPIA deve possuir, sem maior detalhamento.
E o que fazer diante disso se você precisa elaborar um Relatório dessa natureza?
O melhor caminho é apoiar-se nas orientações do Grupo de Trabalho do Artigo 29 (“Art. 29 WP”)[2], que nos levam a estabelecer o seguinte conteúdo mínimo que deve constar em um Relatório de Impacto à Proteção de Dados:
1. Descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for o caso, os interesses legítimos do responsável pelo tratamento (falamos bastante sobre interesse legítimo na LGPD em outro artigo, confira!);
2. Avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;
3. Avaliação dos riscos para os direitos e liberdades dos titulares;
4. Avaliação das medidas previstas para fazer frente aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com a LGPD, tendo em conta os direitos e os legítimos interesses dos titulares de dados pessoais e de outras pessoas em causa.
As diretrizes do Grupo de Trabalho do Artigo 29 fornecem uma figura ilustrativa para melhor compreensão do conteúdo mínimo de um DPIA:
Sugerimos que você use e abuse dessas diretrizes se você precisa elaborar um Relatório de Impacto à Proteção de Dados!
Conclusão
O Relatório de Impacto à Proteção de Dados – DPIA, conquanto não esteja devidamente detalhado na LGPD e ainda careça de maior regulamentação por parte da ANPD, é uma ferramenta extremamente útil na adequação das empresas à legislação.
Na pior das hipóteses, o DPIA garante maior transparência na relação com o titular de dados pessoais, uma vez que tal documento demonstrará quais medidas foram adotadas para prevenir, controlar e mitigar os riscos, sejam eles quais forem (isso deve ser avaliado caso a caso).
Além disso, garante que a empresa esteja preparada para a ocorrência de um incidente de segurança, tal como o vazameto de dados pessoais, cabendo a ela seguir o procedimento pré-estabelecido para mitigar os danos.
Se o Relatório de Impacto à Proteção de Dados ainda não é visto como obrigatório, ele é, ao menos, um poderoso aliado no processo de adequação à LGPD e na disseminação de uma cultura corporativa mais condizente com as exigências atuais dos mercados no que tange a direitos tão caros aos regimes democráticos e às sociedades mais avançadas em relação às liberdades e garantias individuais.
E aí? Gosta do tema e se interessa por ele? Comente e cadastre-se abaixo para receber a nossa newsletter e continuar acompanhando, em primeira mão, as publicações do blog sobre proteção de dados pessoais.
Caso precise de ajuda especializada para elaborar o DPIA da sua empresa ou na adequação geral à LGPD, pode contar conosco. É só nos enviar uma mensagem.
E se quiser nos avaliar no Google, ficaremos muito agradecidos, a sua opinião é muito importante para nós!
*Imagem de Getty Images, no Canva Pro.
[1] ALVES, Fabricio da Mota. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. Coord. Viviane Nóbrega Maldonado e Renato Opice Blum. Revista dos Tribunais. 2018. São Paulo.
[2] O Grupo de Trabalho do Artigo 29 (“Art. 29 WP”), cujo nome completo é “Grupo de Trabalho para a Proteção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais”, era um órgão consultivo composto por um representante da autoridade de proteção de dados de cada Estado-Membro da União Europeia, da Autoridade Europeia para a Proteção de Dados e da Comissão Europeia. O nome “Grupo de Trabalho do Artigo 29“ decorre do fato de sua composição e objetivo terem sido estabelecidos no Artigo 29 da Diretiva de Proteção de Dados (Diretiva 95/46 / CE) O Grupo foi substituído pelo Conselho Europeu de Proteção de Dados (European Data Protection Board).
Boa tarde, a empresa de vocês faz a adequação LGPD ou tem um software para as empresas interessadas comprarem?
Estou em Araçatuba interior de SP e procuro parcerias para adequações.
Atenciosamente
Dr. Machado
OAB/SO Nº 361939
Olá, Ulisses! Agradecemos os eu comentário.
Fazemos sim. Entramos em contato por e-mail.