O relatório de impacto à proteção de dados (RIPD) é um instrumento, de responsabilidade do controlador, pelo qual, em qualquer operação que envolva o tratamento de dados pessoais que possa gerar riscos às liberdades civis e aos direitos fundamentais, será realizada a descrição dos processos para mitigação de riscos e, concomitantemente, de responsabilidades.
O RIPD deve ser incorporado dentro dos procedimentos de governança em privacidade corporativa do controlador,[1] servindo como base para o cumprimento de diversos princípios da LGPD, especialmente: finalidade, mediante a avaliação dos propósitos legítimos do tratamento;[2] adequação, mediante a avaliação da compatibilidade das finalidades pretendidas de acordo com o contexto do tratamento; [3] necessidade, limitando o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos;[4] segurança, com a avaliação das medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;[5] e prevenção, com a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.[6]
Como o relatório de impacto à proteção de dados pessoais tem o propósito de mitigar riscos, ele deverá ser realizado antes do início do tratamento,[7] mas com uma visão completa de todo o ciclo de vida dos dados.[8] Assim, o controlador conseguirá enxergar, claramente, quais serão os principais fatores que poderão impactar as liberdades civis e os direitos fundamentais para a tomada de decisão, desde a implementação de medidas e mecanismos que demonstrem o cumprimento da Lei até a descontinuidade do projeto. Essas medidas e mecanismos podem ser administrativos ou técnicos, como a abstenção da coleta de uma determinada espécie de dado pessoal, restrição de acessos aos dados tratados, reforçar a tecnologia de criptografia ou realizar o procedimento de pseudonimização dos dados, apenas para citar alguns exemplos.
Assim, no mínimo, o RIPD deverá conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.[9]
No GDPR, os elementos mínimos obrigatórios, conforme art. 35 (7), são:
- descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;
- avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos; avaliação dos riscos para os direitos e liberdades dos titulares dos direitos;
- avaliação das medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o Regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.
Vejamos a seguir figura ilustrativa do Art. 29 WP. [10]
A responsabilidade da decisão de quais operações de tratamento de dados deverão ser precedidas do relatório de impacto à proteção de dados pessoais, mediante a avaliação se poderão gerar riscos às liberdades civis e aos direitos fundamentais, é do controlador. Uma situação clara ocorrerá quando a base legal para o tratamento for o interesse legítimo, pois a ANPD poderá solicitar ao controlador o RIPD.[11] As demais situações mandatórias serão dispostas por meio de regulamentação, inclusive quando envolver dados sensíveis.[12]
No GDPR, a realização de RIPD é obrigatória quando o tratamento, em particular que utilize novas tecnologias, tendo em vista a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar elevado risco para os direitos e liberdades dos titulares,[13] notadamente quando houver
- avaliação sistemática e extensiva de aspectos pessoais relacionados às pessoas naturais, baseada no tratamento automatizado, incluindo a definição de perfis, quando as decisões produzirem efeitos jurídicos ou afetarem significativamente o titular dos dados;
- operações de tratamento em grande escala de categorias especiais de dados (sensíveis) ou de dados pessoais relacionados à condenações penais; ou
- monitoramento sistemático de ambientes de acesso público em grande escala.[14]
Por meio da Consideranda 75 do GDPR é possível extrair o entendimento da natureza dos riscos aos direitos e às liberdades individuais dos titulares, na UE:
[…] poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial quando o tratamento possa dar origem à discriminação, à usurpação ou roubo da identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a quaisquer outros prejuízos importantes de natureza econômica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controle sobre os respectivos dados pessoais; quando forem tratados dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical, bem como dados genéticos ou dados relativos à saúde ou à vida sexual ou a condenações penais e infrações ou medidas de segurança conexas; quando forem avaliados aspectos de natureza pessoal, em particular análises ou previsões de aspectos que digam respeito ao desempenho no trabalho, à situação econômica, à saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou as deslocações das pessoas, a fim de definir ou fazer uso de perfis, quando forem tratados dados relativos a pessoas vulneráveis, em particular crianças, ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados.
Também é previsto no GDPR, o que não ocorre na LGPD, a obrigação de o controlador consultar previamente a ANPD antes de iniciar a operação de tratamento de dados pessoais caso o relatório de impacto à proteção de dados pessoais indique a permanência de elevado risco que o controlador não consiga o atenuar através de medidas adequadas, atendendo à tecnologia disponível e aos custos da aplicação.[15]
O responsável pela elaboração do RIPD é o controlador, mas pode ser realizado por terceiros, dentro ou fora da organização, sendo recomendável, apesar da omissão da LGPD acerca do assunto, solicitar o acompanhamento e o parecer do Encarregado,[16] que terá o conhecimento técnico para opinar de forma independente e qualificada, bem como buscar, se o caso, também opiniões de outros especialistas de acordo com cada ocorrência.
Portanto, o RIPD é medida efetiva de análise de viabilidade de novos negócios e projetos, ou continuidade de antigos, sob o ponto de vista da proteção de dados pessoais, mediante a avaliação da necessidade e da proporcionalidade das operações de tratamento em relação aos seus objetivos, além de indicar quais medidas deverão ser adotadas para mitigar potenciais riscos, como forma de possibilitar que o corpo diretivo do controlador tome decisões sopesando custos, riscos e benefícios.
É importante que o RIPD seja entendido não só como uma obrigação, nas circunstâncias apontadas, mas também como um instrumento útil para avaliação de impactos em qualquer operação de tratamento de dados, de forma a contribuir com a mudança cultural corporativa em termos de proteção de dados pessoais e não somente jurídica. [17]
Fonte
VAINZOF, Rony. Disposições preliminares: XVII – relatório de impacto à proteção de dados sociais. In: NÓBREGA MALDONADO, Viviane; OPICE BLUM, Renato (coord.). Lei Geral de Proteção de Dados Comentada. São Paulo: Thomson Reuters Brasil, 2019. p. 126-130. ISBN 978-85-5321-393-1.
[1] art 50.8 20.1.d, da LGPD prevê que, na aplicação dos princípios segurança e prevenção, o controlador, observados a estrutura, a escala e o volume de suas operações, bem a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para as titulares dos dados, poderá, implementar programa de governança em privacidade que, no mínimo, estabeleça políticas e salvaguardas adequadas com base em processo avaliação sistemática de impactos e riscos à privacidade.
[2] Art. 6º, I, da LGPD.
[3] Art. 6º, II, da LGPD.
[4] Art. 6º, III, da LGPD.
[5] Art. 6°, VII, da LGPD.
[6] Art. 6°, VIII, da LGPD.
[7] Lembrando que o art. 46, § 2º, da LGPD dispõe, que: as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
[8] Nesse sentido também a Opinion do Art. 29 WP, tendo em vista a previsão do RIPD no GDPR: “deve ser iniciado o mais cedo possível na concepção da operação de tratamento, mesmo que algumas das operações de tratamento ainda sejam desconhecidas. A atualização da AIPD ao longo do ciclo de vida do projeto garantirá que a proteção dos dados e a privacidade serão consideradas e incentivará a criação de soluções que promovem a conformidade. Pode também ser necessário repetir as etapas individuais da avaliação à medida que o processo de desenvolvimento progride, uma vez que a seleção de determinadas medidas técnicas ou organizacionais pode afetar a gravidade dos riscos colocados pelo tratamento ou a probabilidade de estes se concretizarem”) ARTICLE 29 DATA PROTECTION WORKING PARTY. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679. Revisado em 04.10.2017. Disponível em: (https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236). Acesso em: 04.02.2019.
[9] Art. 38, parágrafo único, da LGPD.
[10] Art. 29 WP. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679. Revisado em 04.10.2017. Disponível em: [https://ec.europa.eu/newsroom/article 29/item-detail.cfm?item_id=611236]. Acesso em: 04.02.2019.
[11] Art. 10,8 3º, da LGPD.
[12] Art. 38, caput, da LGPD.
[13] Art. 35 (1) do GDPR.
[14] Art. 35 (3), a, bec, do GDPR.
[15] Art. 36 (1), e Consideranda 84 do GDPR.
[16] O art. 41, § 2º, III e IV, prevê como atividade do encarregado em proteção de dados, entre outras, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. No GDPR, há expressa determinação nesse sentido, conforme seu art. 35 (2): ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.
[17] Conforme ALVES, Fabrício da Mota. Avaliação de impacto sobre a proteção de dados. p. 186. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR. São Paulo: Revista dos Tribunais, 2018.
