Na última quinta-feira, 6 de abril, a Autoridade Nacional de Proteção de Dados (“ANPD”) disponibilizou um documento com perguntas e respostas (“Q&A”) esclarecendo alguns pontos a respeito da elaboração de Relatório de Impacto à Proteção de Dados (“RIPD”).
Vale lembrar que o RIPD é um importante documento previsto na Lei Geral de Proteção de Dados ("LGPD"), cuja elaboração é de responsabilidade do Controlador de dados pessoais, para documentação e gestão de riscos relativos às atividades de tratamento de dados que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados. Ou seja, o documento deve mapear riscos e desenhar uma estratégia que seja capaz de mitigar tais riscos, avaliando a possibilidade (ou não) de prosseguimento da atividade (a depender dos riscos residuais). O Controlador, para fins da LGPD, é o agente de tratamento responsável por tomar as decisões relacionadas ao tratamento dos dados pessoais. O Operador, por sua vez, é o agente de tratamento responsável por tratar dados pessoais em nome e de acordo com as instruções do Controlador.
Embora o Q&A divulgado pela ANPD ainda não seja formal e vinculante (a regulamentação sobre o tema está prevista para ocorrer até o fim de 2023, segundo agenda regulatória), o documento antecipa algumas expectativas da autoridade acerca da elaboração do RIPD, oportunizando uma melhor assimilação dos seus requisitos pelos agentes regulados, para que estejam mais maduros e preparados quanto ao tema quando a regulamentação for publicada.
Dentre os 15 tópicos explicitados pela autoridade, destacamos os seguintes:
-
O RIPD deve ser elaborado pelo Controlador, preferencialmente antes iniciar o tratamento dos dados pessoais para a finalidade desejada, justamente para que ele possa avaliar, de antemão, os possíveis riscos associados ao tratamento. No entanto, caso não seja possível elaborar o RIPD antes do início do tratamento, recomenda-se elaborá-lo assim que se identificar a sua necessidade.
-
Cabe ao Controlador identificar o maior número possível de fatores de risco decorrentes da atividade de tratamento que possam afetar os dados pessoais que serão tratados. Para cada fator identificado, o Controlador deve estimar a probabilidade de materialização do risco e o impacto inerente. Esse impacto dependerá dos danos que possam ser causados aos titulares, em particular no âmbito dos seus direitos e liberdades.
-
É importante que o RIPD seja suficientemente detalhado, para que a ANPD e o próprio Controlador tenham compreensão ampla de como ocorre o tratamento dos dados pessoais e os possíveis riscos a ele associados.
-
Se o Controlador realiza múltiplas operações de tratamento similares em termos de natureza, finalidade e riscos, é razoável que seja elaborado apenas um RIPD que inclua todas essas operações de tratamento (e não um para cada operação).
-
Sem prejuízo da elaboração de RIPDs para outras situações em que o Controlador identifique sua necessidade, enquanto não for editada a regulamentação específica sobre o tema, o Controlador pode, no que couber, adotar como parâmetro o conceito de tratamento de alto risco definido no Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte (publicado no ano passado), conforme resumido no quadro abaixo elaborado e divulgado pela ANPD:
lFonte: ANPD
-
Os agentes de tratamentos (Controlador e Operador) observarão as recomendações provenientes do RIPD, especialmente no que se refere à implementação de medidas, salvaguardas e mecanismos de mitigação de riscos adotados. Ou seja, as medidas propostas no RIPD precisam ser efetivamente postas em prática pelos agentes de tratamento.
Caso deseje verificar o material elaborado pela ANPD, clique aqui.
