A Autoridade Nacional de Proteção de Dados (ANPD) publicou em seu site oficial uma série de perguntas e respostas que objetivam orientar e esclarecer a sociedade sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD). As referidas orientações presentes no documento não são vinculantes, mas servem de norte para entendermos o atual posicionamento da Autoridade sobre o tema.
O Relatório, previsto no art. 5º, inciso XVII, e art. 38 da Lei Geral de Proteção de Dados Pessoais (LGPD), deve ser elaborado pelo controlador dos dados e é a documentação que contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD, bem como às liberdades civis e aos direitos fundamentais dos titulares de dados. Nele devem constar, ainda, as medidas, salvaguardas e mecanismos de mitigação de risco ao tratamento dos dados pessoais em questão.
Com a vigência da LGPD e o início da sua aplicação, muito se tem discutido sobre o que deveria ser considerado como um tratamento de dados de “alto risco”. Neste Q&A (perguntas e respostas) preparado pela Autoridade, esclareceu-se que enquanto não há a publicação de regulamento próprio sobre o tema, os agentes de tratamento podem adotar como parâmetro a definição de “alto risco” estabelecida no art. 4º da Resolução 2/22 da ANPD, que regula a aplicação da LGPD para agentes de pequeno porte.
Segundo a referida Resolução, para averiguar se determinado tratamento de dados pessoais oferece “alto risco” é necessário analisar os chamados “critérios gerais” e “critérios específicos”, conforme abaixo:
Critérios gerais:
- Tratamento em larga escala (quando abranger número significativo de titulares);
- Tratamento que possa afetar significativamente interesses e direitos dos titulares (ou seja, quando o tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade).
Critérios específicos:
- Dados sensíveis ou de crianças, adolescentes e de idosos;
- Tratamento automatizado;
- Tecnologias emergentes ou inovadoras;
- Vigilância ou controle de zonas acessíveis ao público.
Caso seja identificada a presença de pelo menos 1 critério geral e 1 critério específico, cumulativamente, estaríamos diante de um tratamento de alto risco.
No entanto, a Autoridade ressaltou que os referidos critérios não devem ser considerados exaustivos para fins de elaboração do RIPD, sendo absolutamente possível que o controlador verifique a existência de alto risco no tratamento dos dados em situações distintas das indicadas nos critérios pré-estabelecidos pela ANPD.
Deste modo, é importante que cada processo seja analisado e sejam sempre levados em consideração os possíveis impactos e potenciais danos aos titulares de dados, especialmente as consequências para o exercício de seus direitos e possíveis efeitos que impactem a sua liberdade civil, constitucionalmente garantida.
Para além da definição de “alto risco”, dentre os diversos esclarecimentos fornecidos pela ANPD, destacamos os seguintes:
- Foi reforçado que a elaboração do RIPD deve ocorrer antes do início do tratamento dos dados pessoais para a finalidade almejada, justamente para que o controlador possa avaliar, de antemão, os possíveis riscos associados ao tratamento. Desta forma, o controlador conseguirá, antes mesmo de usar os dados pessoais para determinada finalidade, identificar a probabilidade de ocorrência de cada fator de risco e o seu impacto sobre as liberdades e direitos fundamentais dos titulares, assim como adotar as medidas, salvaguardas e mecanismos de mitigação de risco apropriados à hipótese.
- Caso não seja possível elaborar o relatório antes do início do tratamento, recomenda-se sua elaboração assim que o controlador identificar um tratamento que possa gerar alto risco.
De todo modo, o controlador deverá, ainda, elaborar o RIPD sempre que solicitado pela ANPD.
No mais, a Autoridade orienta que, embora não seja obrigatório divulgar o RIPD, a sua publicação no sítio eletrônico do controlador, por exemplo, é considerada como uma boa prática, na medida em que demonstra a preocupação do controlador com a segurança dos dados, a transparência e seu compromisso com a privacidade e proteção dos dados, além de ser um instrumento de prestação de contas. A ANPD esclarece que a versão pública do RIPD pode ser distinta da versão interna, no intuito de resguardar segredos comerciais e industriais e outras informações protegidas por lei.
Todavia, especificamente em relação a entidades e órgãos públicos, o RIPD deverá ser publicado:
(i) por determinação da ANPD, nos termos do art. 32 da LGPD; ou
(ii) pelo próprio controlador, quando não identificada hipótese de sigilo aplicável ao caso.
O processo de regulamentação do tema ainda está em andamento, conforme previsto na Agenda Regulatória da Autoridade para o biênio 23/24, de modo que obrigações e parâmetros adicionais serão estabelecidos pela ANPD futuramente, quando da publicação do regulamento oficial. Enquanto a regulamentação específica não é publicada, é recomendável levar em conta os esclarecimentos compartilhados pela Autoridade, como medida adicional de observância às boas práticas de governança em proteção de dados pessoais, em linha com a LGPD.