Apontamentos rápidos sobre a LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº 13.709/2018) voltou a ser pauta de inúmeros debates após o Senado Federal derrubar o adiamento do início da sua vigência. A notícia, que surpreendeu a todos, escancarou o que muitos já sabiam, mas ainda pareciam ignorar: a adequação às disposições da LGPD constitui uma medida urgentíssima.

Entre as inúmeras imposições, encontra-se o Relatório de Impacto à Proteção de Dados (RIPD), o qual, resumidamente, é produzido com a finalidade de reduzir os riscos sobre as liberdades civis e os direitos fundamentais dos titulares dos dados.

A LGPD define o relatório de impacto como a documentação que possui o mapeamento dos processos de tratamento, bem como medidas e mecanismos de mitigação de riscos (artigo 5º, inciso XVII).

Justamente por constituir uma exposição minuciosa de todo o ciclo de vida dos dados e do nível de risco ao qual os titulares estão sujeitos, o Relatório é denominado como “documentação do controlador”, pois é ele que delibera sobre o tratamento dos dados pessoais coletados (artigo 5º, inciso VI).

Mas, para ser considerado um relatório de impacto que atenda à forma legal, não basta conter o mapeamento dos processos e a previsão de mecanismos de mitigação de riscos, também devem estar presentes, no mínimo, os seguintes elementos (artigo 38, parágrafo único):

— Descrição dos tipos de dados coletados;

— Metodologia empregada na coleta dos dados; 

— Metodologia utilizada para a garantia da segurança das informações;

— Análise do controlador no tocante aos mecanismos de mitigação de riscos.

A fim de orientar a elaboração do relatório de impacto, o governo federal produziu o Guia de Boas Práticas – Lei Geral de Proteção de Dados (LGPD), o qual apresenta uma espécie de "passo a passo" e detalha os elementos mínimos exigidos pela LGPD.

Segundo o guia, a depender do perfil e do tamanho da organização, é possível elaborar apenas um RIDP para todas as operações de tratamento de dados pessoais ou produzir um RIDP para cada projeto, sistema ou serviço. Logo, o volume de tratamento dos dados pessoais deve ser avaliado caso a caso.

Para tal avaliação, é fundamental que haja a descrição dos processos de tratamento de dados, compreendendo a análise da natureza, do escopo, do contexto e da finalidade do tratamento, pontos que estão diretamente relacionados aos princípios da LGPD (artigo 6º).

A natureza se refere ao modo como os dados são tratados desde a sua coleta até a sua eliminação, inclusive se há o compartilhamento com terceiros ou não, além das medidas de segurança eventualmente adotadas.

Já o escopo está relacionado à abrangência, isto é, quais tipos de dados são tratados, o volume, número de titulares envolvidos, o tempo de retenção dos dados e a área geográfica abarcada.

O contexto e a finalidade estão, de certa forma, conectados, pois dizem respeito à relação entre a instituição que trata os dados e os indivíduos, no sentido de compreender qual é a natureza do relacionamento e o interesse no tratamento.

Especificamente em relação à finalidade, entende-se que ela constitui a razão pela qual se deseja tratar os dados pessoais, a qual deve, necessariamente, estar fundada em uma das bases legais antevistas nos artigos 7º e 11 da Lei.

É evidente que esta seria apenas uma das primeiras etapas, cabendo, ainda, àquele que elaborar o relatório de impacto identificar os riscos e depois avaliá-los, a fim de compreender qual é o nível potencial de risco para cada evento previamente avaliado.

Somente após desenhar todos os processos de tratamento de dados e mapear os riscos, é possível identificar as espécies de medidas de mitigação de riscos adequadas.

Logicamente, existem muitos outros pontos a serem observados no momento da elaboração do relatório de impacto, aqui foram expostos apenas aspectos mínimos legais no intuito de introduzir o tema.

Registre-se: tanto a etapa de elaboração do RIPD quanto todo o procedimento de adequação à LGPD demandam um esforço denso, mediante estudo técnico, minucioso e multidisciplinar, que deve, obrigatoriamente, considerar as particularidades de cada instituição, motivo pelo qual não poderiam ser resumidos em poucas linhas.

Dessa forma, tendo em vista tratar-se de um processo tão complexo de diagnóstico e implantação, o sentimento, por grande parte dos sujeitos à LGPD, é de "atraso". Afinal, muito se discutiu sobre a data em que possivelmente a LGPD entraria em vigor e, nesse ínterim, pouquíssimo foi feito para que as instituições efetivamente se adequassem às obrigações que seriam impostas com o advento da lei. Chegou a hora de recuperar o atraso!

Referências bibliográficas
BRASIL. COMITÊ CENTRAL DE GOVERNANÇA DE DADOS. Guia de Boas Práticas – Lei Geral de Proteção de Dados (LGPD). Publicado em 10/04/2020. Disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-lgpd.pdf. Acesso em 07/09/2020;

BRASIL. Lei Federal n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 07/09/2020;

BRASIL. SENADO FEDERAL. Nota de esclarecimento- Vigência da LGPD. Disponível em: <https://www12.senado.leg.br/assessoria-de-imprensa/notas/nota-de-esclarecimento-vigencia-da-lgpd> Acesso em 07/09/2020.