O Relatório de Impacto é um documento capaz de formalizar e determinar riscos em relação ao tratamento de dados, ou seja, as atividades que envolvem dados pessoais. Este, em termos ideais, deveria ser elaborado antes mesmo do tratamento de dados efetivamente começar a ocorrer, devendo abordar medidas de salva -guardas, medidas protetivas e corretivas, as quais irão prevenir a ocorrência de incidentes e em caso de ocorrência irão remediar e detectar o incidente ou até mesmo a sua suspeita.
A elaboração de um RIPD leva conta determinações legais, mas também princípios e preceitos contidos não só em nossa legislação, mas também na legislação europeia sobre o assunto.
Vejamos o que prevê o art. 38 da Lei Geral de Proteção Dados (LGPD):
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Cabe frisar que a Lei Geral de Proteção de Dados (LGPD) não previu como deve ser feito um RIPD. Frisamos ainda que um RIPD mapeia vulnerabilidades, de modo que sua elaboração deverá ser feita após o início de adequação à LGPD e antes, de forma ideal, do início de qualquer tratamento de dados pessoais.
Além disso, segundo orientação do General Data Protection Regulation (GDPR) e da própria LGPD, em seus artigos 10 §3º, art. 32, a necessidade da existência do Relatório de Impacto, importará em segurança jurídica e da informação, a partir do mapeamento dos riscos e a efetiva prevenção de cenários com o amparo de medidas protetivas pensadas e implementadas anteriormente ao tratamento de dados. Frisamos que da leitura do art. 32 podemos extrair a informação de que quando há tratamento de dados em conjunto com o Poder Público, ou seja, controlador ou operador do Poder Público, a ANPD (Autoridade Nacional de Proteção de Dados) poderá exigir um RIPD.
Para além dos casos mencionados nos artigos acima, no art. 38 da Lei há também essa exigência, ao se referir aos dados pessoais sensíveis, a ANPD poderá exigir o RIPD, quando a base legal para tratamento de dados pessoais for o legítimo interesse (art. 10, §3º) é importante que haja o RIPD também, da mesma forma quando são tratados dados pessoais de crianças, adolescentes e idosos. Pessoas vulneráveis demandam um cuidado especial quando o assunto é a proteção e a privacidade de dados.
E mais, dados coletados e captados em grande escala oriundos de zonas de acesso ao público, por exemplo, locais em que haja filmagem, metrô e etc., câmera de ônibus, etc., demandam a existência de um RIPD. Também aqui podemos mencionar a atividade de perfilhamento de dados pessoais e/ou quando existirem decisões automatizadas que tratam de dados pessoais, deve, da mesma forma, se ter em mãos o RIPD.
Cabe destacar que art. 46 da LGPD, estipula que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Essas medidas são retiradas do sistema de gestão de segurança ISO 27.001 e 27.002.
Não há, contudo, ainda na nossa legislação como deve ser exatamente um RIPD, não existem modelos ou exigências específicas, mas existe a previsão que isso possa a vir ser regrado posteriormente.
Hodiernamente sabemos que é importante informar o local físico em que os dados se encontram, isso deverá e poderá ser exigido pela ANPD, de modo que os agentes de tratamento de dados devem fornecer essa informação, ou seja, é salutar tal informação, que poderá ser obtida a partir do contato com o provedores.
O Relatório de Impacto em Proteção de Dados deve ser considerado como uma espécie de “Livro Caixa” da empresa, como uma Declaração de Imposto, de modo que sua confecção com erros poderá ao invés de ajudar, causar problemas.
No Programa de Adequação que nós sugerimos possui em média 8 passos, onde a elaboração do RIPD é o 5 passo, ou seja, anterior a sua elaboração existem 4 passos anteriores que irão auxiliar na elaboração de um RIPD que atenda as necessidades exigidas na lei, conferindo proteção aos que tratam os dados, bem como, aqueles que são titulares desses dados.
Portanto, uma vez feito o relatório, esse poderá trazer controles, aplicar e diminuir as consequências dos riscos, além da notificação que deverá ser feita em casos de armazenamentos físicos. O meio utilizado para notificar as autoridades ou os órgãos governamentais, é o chamado sistema SEI, sistema eletrônico de informações, utilizado para a realização de peticionamentos eletrônicos. Para acesso integral ao sistema é necessário um cadastro de autenticação, que após avaliação possibilitará o integral acesso ao sistema.
Cabe destacar que dependendo de quando e como é feito o RIPD, você poderá estar criando um problema e não uma solução.
Gregori Dalgais
Sócio LZN
Presidente da Comissão Especial de Proteção de Dados e Privacidade da OAB Pelotas
Eduarda Hartwig
Estagiária de Direito LZN
Comments