Foto: Gerd Altmann/Pixabay Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD), no uso das atribuições que lhe são conferidas pelo artigo 55-J, incisos VI, VI e VII, e artigo 16, inciso II, do seu Regimento Interno, publicou na sua página 15, perguntas e respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais.
Apesar do caráter meramente orientativo e não vinculativo do referido material, haja vista que se encontra pendente a regulamentação específica sobre o tema, de acordo com a Agenda Regulatória do biênio 2023/2024, o documento apresenta o entendimento da ANPD em relação ao Relatório de Impacto à Proteção de Dados (RIPD), instrumento da maior relevância para os agentes de tratamento, mas em especial aos titulares de dados.
Antes de adentrarmos de forma resumida nos esclarecimentos trazidos pela ANPD, faz-se necessária uma breve revisão do instrumento ora debatido nos dispositivos legais da Lei Geral de Proteção de Dados (LGPD) e no Regulamento Geral de Proteção de Dados da União Europeia (RGPD), facilitando assim uma melhor compreensão do RIPD enquanto instrumento de gestão de riscos à proteção de dados.
A exemplo do RGPD, a Lei Geral de Proteção de Dados brasileira impõe o dever de os agentes de tratamento garantirem a adequação às normas protetivas dos dados pessoais e de comprovarem a conformidade com as imposições legais. Tal exigência está amparada no princípio da responsabilização e prestação de contas, também denominado de “accountability”.
Sendo assim, a partir do entendimento do propósito do RIPD, ou como é chamado no RGPD, Data Protection Impact Assessment (DPIA), em evidenciar a aderência da lei através da avaliação dos impactos de operações de tratamento de dados, é possível constatar a relevância do instrumento para a identificação dos riscos envolvidos e a consequente redução de eventuais sanções. Isso porque a sua elaboração pode ser caracterizada como medida capaz de minimizar o dano, nos moldes do previsto no art. 52, §1º, inciso VIII, da LGPD.
O Regulamento Europeu, através do seu artigo 35 e considerando nº 84, estabelece que incumbe ao controlador a avaliação da existência de eventual risco aos direitos e às liberdades individuais dos titulares relacionado ao processamento de dados pessoais ao qual está sob sua gestão.
Note-se que o artigo 35 da norma europeia condiciona o início do tratamento de dados que for suscetível de representar elevado risco aos direitos dos titulares à elaboração de avaliação destas operações, através da elaboração do DPIA.
Na LGPD, no entanto, consoante disposto em seu artigo 38, a obrigatoriedade do RIPD está prevista mediante a exigência da ANPD ao controlador, na medida em que a autoridade “poderá determinar” a sua elaboração.
A LGPD apenas faz menção à realização do RIPD nos casos em que se vislumbre alto risco às garantias de direitos previstas na lei ao dispor sobre suas competências, no artigo 55 – J, XIII.
Portanto, da leitura fria da lei, especialmente em seu artigo 38, caput, depreende-se que apesar do RIPD representar medida de boa prática por parte do agente de tratamento, eis que se traduz em medida mitigatória de risco, a sua exigência se daria até o presente momento após provocação da ANPD.
Poder-se-ia interpretar a norma, no entanto, como parte da doutrina o faz, no sentido de que o RIPD já deve estar pronto quando da provocação da ANPD. Isso porque, em uma interpretação conjunta com o teor do § único do mesmo artigo 38, o controlador, para cumprir com as exigências deste item normativo, levaria um lapso temporal relativamente longo para a sua realização, haja vista a complexidade de tais imposições – o que, em última análise, colocaria em risco os titulares envolvidos em tal período.
Nesse sentido, tendo em vista que presentemente não dispomos de regulamentação específica sobre o tema em questão, é muito bem-vinda a publicação produzida pela ANPD, disponibilizada no seu sítio eletrônico no último 6 de abril.
Além de uma definição de RIPD que mesclou fragmentos dos artigos 5º, inciso XVII, e 38, da LGPD, dispondo que deverá ser elaborado em tratamentos que podem gerar alto risco ao titular, a publicação esclarece situações da maior relevância prática, como, dentre outros, o contexto de sua elaboração, quais critérios e metodologias devem ser utilizados para a gestão de riscos, o que é alto risco e os dados e informações que devem ser incluídos.
No que tange à categoria de dados a serem informados no documento, a ANPD orienta pelo detalhamento dos dados tratados, pessoais e sensíveis, para que seja possível uma ampla compreensão dos tratamentos realizados, seus riscos e medidas de mitigação adotadas, evitando-se a transposição completa da base de dados.
Seguindo o modelo europeu, a ANPD recomendou a elaboração do RIPD antes do início do tratamento de dados, justamente para que seja viável uma verificação prévia dos possíveis riscos associados àquele tratamento. A publicação, apesar disso, reafirma a possibilidade disposta na LGPD de que em determinadas situações “o controlador elaborará o RIPD para atender à determinação da ANPD”, nos termos do artigo 38.
Percebe-se com a publicação da Autoridade a natureza de exceção do RIPD. Isso porque a sua elaboração deve estar relacionada à existência de tratamentos de dados que impliquem alto risco, ou seja, um risco significativo aos direitos e garantias dos titulares dos dados pessoais.
Quanto à definição de alto risco, a publicação da ANPD recomenda, enquanto ainda não editado o regulamento específico sobre o RIPD, a adoção como parâmetro das disposições constantes na Resolução n° 2/2022, que cuidou da aplicação da LGPD para os agentes de pequeno porte.
Neste ponto, cabe referir que, considerando os princípios da segurança e da prevenção e o disposto nos artigos 44, II, e 50, §2º, inciso I, alínea “d”, da LGPD, este último exigindo uma avaliação sistemática de impactos e riscos à privacidade dos tratamentos realizados, independentemente da provocação da autoridade, poderá ser entendido como uma infração à lei passível de multa o fato de o controlador, diante de um tratamento de dados de alto risco, permanecer omisso quanto à elaboração do RIPD.
Entretanto, inobstante as possíveis divergências interpretativas sobre a obrigatoriedade ou não de elaboração antecipada do RIPD à provocação da ANPD, não restam dúvidas de que é altamente recomendável a sua elaboração em caráter preventivo nas hipóteses de operações de tratamento que envolvam significativo risco.
Importante registrarmos que a adoção de medidas mitigatórias de risco demonstra a observância dos princípios da segurança, prevenção e possibilitam ao agente de tratamento de dados ilustrar a adoção das boas práticas e de governança (art. 50, I LGPD), altamente valorizadas na Resolução de nº 4 que regulamenta a dosimetria da pena pela ANPD.
Martha Leal, Advogada especialista em Proteção de Dados, Mestre em Direito e Negócios Internacionais pela Universidad Internacional Iberoamericana Europea del Atlántico e pela Universidad Unini México, Data Protection Officer ECPB pela Maastricht University, certificada como Data Protection Officer pela EXIN e pela FGV-RJ e presidente da Comissão de Comunicação Institucional do Instituto Nacional de Proteção de Dados (INPD)
Por: Guilherme Spillari Costa, Mestre e doutorando em Direito pela UFRGS, Especialista em Direito Civil, Advogado e professor
