O relatório de impacto à proteção de dados pessoais na LGPD

Antes de descrevermos minimante como elaborar um relatório de impacto à proteção de dados pessoais, é importante conceituarmos o que é esse documento e sua obrigatoriedade (ou não) de desenvolvimento perante às atividades de tratamento de dados pessoais.

O que é o relatório de impacto?
Atualmente o relatório de impacto à proteção de dados pessoais ainda é um documento pouco compreendido em sua essência, isso pois ainda paira certo desconhecimento sobre seu objetivo principal e como deve ser desenvolvido ao se deparar com uma atividade de risco.

O RIPD é focado, corretamente, nos direitos dos indivíduos, de forma que: 1) o conceito do relatório de impacto prevê a elaboração desse instrumento quando as atividades puderem gerar "riscos às liberdades civis e aos direitos fundamentais" (artigo 5º, XVII, LGPD); e 2) entre as competências da Autoridade Nacional de Proteção de Dados (ANPD) está regulamentar o RIPD para os casos em que o tratamento represente "alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na lei" (artigo 55-J, XIII, LGPD) [2].

Para Maria Cecília, tal documento deve ser visto não apenas como uma documentação que pode ser solicitada ao controlador, prevista em lei, mas também como um suporte nas operações de tratamento, para que uma organização possa fazer realizar sua governança em dados [3].

Diferentemente de outras legislações de proteção de dados, a Lei Geral de Proteção de Dados Pessoais (LGPD) não procedimentalizou o relatório de impacto e, por esse motivo ainda, esse documento tem se desenvolvido de forma inadequada, servido como mero controle de conformidade das organizações, para medir a adequação aos princípios, bases legais e atendimento à requisitos legais, quando, na realidade, seu objetivo principal é encontrar os riscos que as atividades de tratamento apresentam perante os titulares e quais medidas são necessárias para mitigar esses riscos.

Relatórios de impacto são obrigatórios?
A noção de obrigatoriedade de confecção de um relatório de impacto no âmbito da proteção de dados está intrinsicamente ligada com os riscos apresentados pela atividade de tratamento desenvolvida. Mas será que toda atividade que apresenta riscos aos titulares deve representar a elaboração de um relatório de impacto?

É inegável que as atividades de tratamento de dados pessoais por si só são atividades de risco e que sujeitam os titulares de dados pessoais à riscos. Se a regra para elaboração de relatórios de impacto fosse pura e simplesmente apresentação de riscos em uma atividade, todas, portanto, demandariam sua elaboração.

No entanto, o desenvolvimento dos relatórios de impacto, se relaciona com demandas que possam apresentar alto risco aos titulares, e que posteriormente serão regulamentadas por parte da autoridade nacional.

No artigo 10, §3º, da LGPD é mencionado que a ANPD poderá solicitar ao controlador o RIPD em casos de tratamento de dados sensíveis e de legítimo interesse, mas não menciona qualquer hipótese de obrigatoriedade de desenvolvimento de relatórios de impacto por parte dos agentes de tratamento para os casos citados ou outros [4].

O que se entende, portanto, é que os relatórios de impacto não são documentos (ainda) obrigatórios, segundo leitura da lei, mas que podem se tornar de acordo com regulamentos e determinações futuras da autoridade nacional, que poderá elencar um rol de atividades que demandem a elaboração do instrumento.

Com qual metodologia desenvolvo um RIPD?
Quando falamos sobre relatórios de impacto no âmbito da proteção de dados pessoais e da privacidade, logo imaginamos uma descrição apenas dos riscos de uma atividade de tratamento de dados pessoais. E por que não mapear também os benefícios que ela pode gerar à organização ou ao titular?

Segundo a LGPD, um relatório de impacto deverá conter a metodologia utilizada para seu desenvolvimento e, atualmente, o método de referência do Brasil e que serve de bases para elaboração de documentos desse porte é voltado apenas para análise de riscos.

A legislação brasileira de proteção de dados não condiciona a elaboração do relatório de impacto à utilização da metodologia baseada em risco, mas tropicaliza normas e referências europeias que, diferentemente da nossa legislação, possuem prevista no GDPR a indicação do risk-based approach (abordagem baseada em risco) na elaboração desse documento [5].

Todavia, segundo Maria Cecília, a abordagem baseada em riscos está sendo muito criticada, seja por que sua análise se concentra apenas em uma parte de um todo muito maior na atividade de tratamento, ou ainda, por estar sendo equivocadamente interpretada como um check list de conformidade, que se afasta totalmente da natureza primordial do relatório de impacto, que é a de prevenir e mitigar riscos aos direitos dos titulares [6].

Com carência de definição da abordagem a ser utilizada na LGPD, os agentes de tratamento podem seguir uma linha totalmente diferente daquela imposta na parte europeia do mundo, abordando não apenas os riscos que suas atividades de tratamento apresentam, mas também os benefícios que elas causam.

Os pontos positivos de se ter uma abordagem tanto baseada em riscos quanto em benefícios é trazer ponderação para a atividade e mostrar que o tratamento não condiciona o titular ou a organização apenas a riscos derivados do tratamento de seus dados pessoais, mas também lhe imputa vários benefícios e, partir disso, permitir que a organização tome uma decisão acertada quanto a assumir o risco ou não.

Não obstante, ainda precisamos esperar novidades vindas da ANPD, que está correndo contra o tempo para regulamentar todos as lacunas deixadas pela LGPD, inclusive o relatório de impacto.

Referências bibliográficas
BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm

European Comission. ARTICLE 29 DATA PROTECTION WORKING PARTY. WP 248 rev.01. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679. Disponível em https://ec.europa.eu/info/law/law-topic/data-protection_en

GOMES, Maria Cecília Oliveira. Relatório de Impacto a Proteção de Dados Pessoais: uma breve análise da sua definição e papel na LGPD. Disponível em https://www.academia.edu/41160034/Relat%C3%B3rio_de_Impacto_a_Prote%C3%A7%C3%A3o_de_Dados_Pessoais_uma_breve_an%C3%A1lise_da_sua_defini%C3%A7%C3%A3o_e_papel_na_LGPD

Idem. LGPD: Desafios da regulamentação do relatório de impacto. Disponível em https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/desafios-da-regulamentacao-do-relatorio-de-impacto-11022021

VAINZOF, Rony. A LGPD e o Relatório de Impacto à Proteção de Dados Pessoais. Disponível em https://www.conjur.com.br/2021-jun-28/rony-vainzof-lgpd-relatorio-impacto-protecao-dados