O que sabemos do relatório de impacto à proteção de dados pessoais da LGPD

No último dia 6, a ANPD (Autoridade Nacional de Proteção de Dados) divulgou uma série de perguntas e respostas para orientar e esclarecer questões sobre um dos documentos exigidos pela LGPD (Lei Geral de Proteção de Dados Pessoais): o Ripd (relatório de impacto à proteção de dados pessoais).

Como o tema ainda não é regulamentado pela ANPD — o que deve ocorrer em breve, pois está previsto na agenda regulatória para o biênio 2023/2024 — e muitas são as incertezas que envolvem este documento devido aos itens que o compõem, o FAQ elaborado pela Autoridade traz um norte para que possamos seguir aplicando a LGPD de forma efetiva, garantindo a adequação das atividades de tratamento dos controladores e, por consequência, os direitos fundamentais de toda a sociedade enquanto titulares de dados.

O primeiro ponto reforçado pela ANPD é a recomendação de elaboração do Ripd, cuja necessidade deverá ser avaliada pelo controlador quando uma atividade envolver operações de tratamento de dados (artigo 5º, inciso X da LGPD) que possam gerar alto risco à garantia dos princípios previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados. Neste caso, para identificar o alto risco, considera-se a definição prevista no artigo 4º da Resolução CD/ANPD nº 2/2022, que possui dois critérios gerais e quatros específicos a serem avaliados. Haverá alto risco se verificada, no caso concreto, a presença de ao menos um critério geral: 1) larga escala ou 2) afetar significativamente interesses e direitos fundamentais dos titulares; e de um critério específico: 1) uso de tecnologias emergentes ou inovadoras, 2) vigilância ou controle de zonas acessíveis ao público, 3) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, ou 4) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos. Esses critérios não devem ser considerados exaustivos, de modo que o controlador poderá verificar a existência de alto risco em situações diferentes das indicadas.

Haverá situações em que a própria a ANPD pode exigir a elaboração do relatório — único momento em que o controlador deve enviar este documento à autoridade nacional, sob pena de aplicação de medidas de fiscalização.

O momento ideal considerado para a elaboração do relatório é na concepção da atividade de tratamento, para possibilitar a avaliação de riscos à ela inerentes antes de a sua implementação. Porém, tendo a LGPD entrado em vigor em 2020, muitas das atividades de tratamento de dados executadas pelos controladores estão ao longo do tempo sendo adequadas à legislação, por meio de análises de riscos, ações para sua mitigação e elaboração do RIPD.

Os riscos são avaliados e geridos de acordo com a metodologia e critérios definidos pelo controlador dos dados, mas a ANPD recomenda que sejam adotados aqueles reconhecidos pela comunidade técnica de segurança, privacidade e proteção de dados. Além disso, reforça que a identificação e análise dos fatores de risco devem ser documentadas e justificadas de forma a demonstrar que as decisões tomadas em relação à gestão de riscos foram as mais adequadas. O processo de avaliação do nível de risco deve levar em conta as possíveis consequências sobre os titulares dos dados pessoais, tais como: perda de confidencialidade, integridade ou disponibilidade de dados, reversão da anonimização ou pseudonimização, uso de dados para fins incompatíveis, violação de liberdades e direitos, ou qualquer forma de tratamento inadequado ou ilícito.

O Ripd deve, no mínimo, conter: 1) a descrição dos tipos de dados pessoais coletados ou tratados de qualquer forma; 2) a metodologia usada para o tratamento e para a garantia da segurança das informações; e 3) a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de riscos adotados. Mas, a ANPD recomenda que ele seja detalhado a ponto de que a autoridade e o controlador tenham clareza de como o tratamento de dados acontece e quais são os potenciais riscos a ele associados, por isso o Ripd também deve conter: 1) a descrição dos tipos de dados pessoais tratados, 2) as operações de tratamento (artigo 5º, X, da LGPD), suas finalidades (incluindo interesses legítimos) e hipóteses legais, 3) avaliação da necessidade e da proporcionalidade das operações de tratamento, e 4) os riscos para os direitos e liberdades dos titulares de dados e as medidas a serem adotadas para minimizar esses riscos, entre outros dados e informações.

A divulgação do Ripd não é obrigatória, porém trata-se de uma medida que atende aos princípios do livre acesso, da transparência e da responsabilização e prestação de contas, previstos na LGPD, além de demonstrar o comprometimento do controlador com a privacidade dos titulares e com a segurança dos dados, observados os segredos comercial e industrial. Se o controlador realiza múltiplas operações de tratamento semelhantes quanto à natureza, finalidade e riscos a ANPD entende ser razoável a elaboração de apenas um Ripd que inclua todas essas operações de tratamento, mas, se são muito distintas, cada uma deve ter um relatório diferente. Para a elaboração do relatório é necessário que o encarregado de dados do controlador seja consultado, porém não cabe manifestação da ANPD sobre as salvaguardas e medidas adequadas a serem adotadas para mitigar os riscos identificados em um determinado caso.

Observadas as previsões da LGPD e enquanto aguarda-se a regulamentação do tema, os controladores de dados podem determinar as melhores estruturas e formatos de seu Ripd, que deverá ter revisões contínuas, pois com ele verificarão a viabilidade de prosseguir ou não com os processos de tratamento de dados pessoais que ensejaram a elaboração do relatório ou a necessidade de modificação na forma do tratamento.