A análise de riscos desempenha um papel crucial em qualquer empresa na Lei Geral de Proteção de Dados (LGPD). A LGPD, fundamentada especialmente no respeito à privacidade dos titulares de dados pessoais e na autodeterminação informativa, demanda cuidados claros aos agentes de tratamento. O objetivo é garantir que as atividades de tratamento de dados pessoais estejam alinhadas de forma harmônica e equilibrada com esses fundamentos.
Dentro desse contexto, o Relatório de Impacto à Proteção de Dados (RIPD), considerado a documentação do controlador, agente de tratamento, que analisa projetos envolvendo o tratamento de dados pessoais e os potenciais riscos para as liberdades civis e os direitos fundamentais dos titulares, se revela como uma ferramenta estratégica para a avaliação da atividade de tratamento. Além disso, o RIPD é essencial na identificação dos riscos associados e na proposição de medidas e mecanismos de mitigação específicos para cada caso.
Este documento, além de evidenciar a conformidade do agente de tratamento com a LGPD, também atende ao princípio da responsabilização e prestação de contas. Isso ocorre porque o RIPD inclui a descrição minuciosa dos tipos de dados pessoais envolvidos, abrangendo todo o ciclo de tratamento, da coleta à eliminação efetiva.
Ao permitir o monitoramento contínuo da atividade de tratamento, o RIPD pode ser atualizado periodicamente à medida que novas medidas de mitigação de riscos são implementadas ou, ainda, se houver alterações significativas na operação já realizada. Essa flexibilidade possibilita à organização demonstrar de forma consistente a conformidade com as normas de proteção de dados, proporcionando segurança aos titulares de dados cujas informações são tratadas.
A LGPD concede à Autoridade Nacional de Proteção de Dados (ANPD) a autoridade para exigir o RIPD em diferentes cenários, especialmente quando a atividade está fundamentada no legítimo interesse ou envolve o tratamento de dados pessoais sensíveis. Portanto, além das situações legalmente previstas, recomenda-se a elaboração do RIPD (veja orientações da ANPD aqui) em atividades que incluem:
Soluções tecnológicas ou organizacionais inovadoras.
Rastreamento da localização ou comportamento online/offline de titulares.
Dados relativos a pessoas vulneráveis, como crianças e adolescentes.
Tratamento de dados pessoais em grande escala.
Combinação, comparação ou cruzamento de dados de múltiplas fontes.
Tomada de decisão automatizada com impacto significativo nos titulares.
Definição de perfil pessoal, profissional, de consumo ou de crédito em larga escala.
Diante de uma atividade que apresenta riscos substanciais aos direitos e liberdades das pessoas naturais, a elaboração do RIPD torna-se essencial. Recomenda-se uma análise crítica para determinar a prioridade no Programa de Governança em Privacidade da organização. Baseando-se em orientações da doutrina europeia, a organização pode decidir se o RIPD será elaborado para uma única atividade ou para um conjunto de atividades semelhantes, considerando aspectos como natureza, escopo, contexto, finalidade e riscos conexos.
A colaboração de todas as partes envolvidas no tratamento de dados pessoais, incluindo o encarregado e o operador, é crucial na elaboração do RIPD. A designação da tarefa de elaboração deste documento pode ser atribuída a qualquer pessoa com conhecimento técnico sobre a atividade e os riscos potenciais à proteção de dados pessoais envolvidos.
É importante observar que a análise de risco no RIPD deve ser conduzida sob a perspectiva do titular. O foco principal não é nos riscos que impactam diretamente o controlador, como aspectos financeiros, jurídicos ou de reputação da organização. Em vez disso, a atenção deve ser voltada para os prejuízos e danos percebidos pelo titular, avaliando como a atividade pode impactar negativamente sua vida, resultando em danos patrimoniais, morais, individuais ou coletivos. Nesse sentido, o controlador pode aplicar uma metodologia para mensurar o risco, considerando a probabilidade e o possível impacto percebido pelo Titular em caso de sua materialização.
A profunda análise de uma atividade sujeita à elaboração de um RIPD reflete um alto nível de diligência do controlador. Essa conduta contribui para a percepção positiva da ANPD sobre o comprometimento do controlador com a LGPD e o respeito à privacidade e proteção de dados dos titulares envolvidos.
Embora a LGPD não exija expressamente a elaboração prévia do RIPD antes da solicitação da ANPD, a consideração dos princípios de prevenção, responsabilização e prestação de contas, juntamente com a necessidade de análise de privacidade desde a concepção de novos processos, produtos ou serviços, torna altamente recomendável a elaboração antecipada do RIPD pelo controlador. Ademais, a LGPD estabelece que o Programa de Governança em Privacidade deve, no mínimo, ser implementado com a criação de políticas e salvaguardas adequadas, baseadas em uma avaliação sistemática de impactos e riscos à privacidade (Art. 50, I, d da LGPD).
Por fim, vale chamar a atenção para que novas orientações da ANPD e regulamentações de proteção de dados, inclusive setoriais, podem trazer peculiaridades na aplicação do RIPD, sendo recomendável sempre contar com o auxílio de especialistas na área para a implementação adequada deste e de outros instrumentos legais.
_________________
¹ Art. 6º, X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
² Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
³ Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Comments