Depois de muitas idas e vindas, com direito a um belo plot twist no final, a Lei Geral de Proteção de Dados Pessoais deve realmente ser efetivada ainda em setembro de 2020, porém, com multas e sanções apenas em agosto de 2021.
Com a LGPD em vigor, não há dúvidas de que será um desafio para a maior parte das organizações brasileiras, uma vez que essa mudança de paradigma para garantir a proteção de seus dados pessoais na prática, impõe uma profunda transformação na forma como muitos negócios tratam os dados de titulares.
Na verdade, para o titular – a pessoa natural a quem se referem os dados pessoais tratados – a LGPD é uma enorme vitória, uma vez que concede amplos direitos em relação ao tratamento de seus dados pessoais, desde exigências como o fornecimento do consentimento ou existência de outra base legal antes sequer de se coletar, armazenar e tratar esses dados. Além disso, titulares tem direito de acesso e portabilidade de seus dados na maioria das situações, e precisam ser notificados sobre eventuais incidentes de segurança que possam ocasionar riscos significativos.
Já para as empresas que precisam cumprir fielmente a lei, não faltam desafios. Na prática, garantir a conformidade com a LGPD, incluindo o respeito tanto aos princípios fundamentais da proteção de dados pessoais e quanto aos direitos dos titulares, e na maioria das vezes essa é uma longa jornada, que inclui desde diagnósticos, mapeamento de dados, implantação de controles, ações de conscientização e uma profunda mudança na cultura corporativa.
Dentre os muitos pontos exigidos pela LGPD, o Relatório de Impacto à Proteção de Dados Pessoais – RIPDP, se destaca como o instrumento usado pelo controlador nos casos em que o tratamento de dados pessoais pode gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, servindo como uma ferramenta para identificar medidas, salvaguardas e mecanismos de mitigação de riscos.
Esse relatório de impacto, que também é conhecido como DPIA (Data Protection Impact Assessment) já gera bastante polêmica, tendo sido solicitado em 2019 – quando a LGPD sequer estava em vigor – pelo MPDFT (Ministério Público do Distrito Federal e Territórios), a uma das maiores empresas de Telecom com atuação no Brasil, que na época estava sob suspeita de realizar uso irregular de dados pessoais dos seus clientes em soluções para anúncios online.
Apesar do pedido do MPDFT não ter prosperado, essa é uma clara demonstração do que deve acontecer, uma vez que a LGPD entrar em pleno vigor. Mas o que fazer agora neste momento? Enquanto a ANPD (Autoridade Nacional de Proteção de Dados Pessoais) ainda não está na ativa para prestar esclarecimentos e orientações, a melhor opção é adotar uma postura proativa, apta a atender as novas exigências, incluindo a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais.
Como criar um Relatório de Impacto à Proteção de Dados Pessoais – RIPDP
Embora a LGPD não especifique passo a passo o processo para elaboração do RIPDP, as exigências da lei são compatíveis com práticas de trabalho já existentes e comprovadamente efetivas. Por exemplo, adaptar o modelo de Avaliação de Impacto da Privacidade (PIA) do Information Commissioner’s Office (ICO) é uma ótima abordagem para facilitar a criação de um RIPDP.
As etapas básicas, incluem:
1. Identificar a necessidade de um RIPDP
Ao invés de esperar por uma solicitação da ANPD, o melhor momento para se conduzir um Relatório de Impacto à Proteção de Dados Pessoais em qualquer novo projeto, é “o mais cedo possível”. Com essa abordagem, certamente será mais fácil para sua organização incorporar o tratamento de quaisquer dos riscos identificados durante o tratamento de dados pessoais.
É importante lembrar que um RIPDP só é obrigatório em casos específicos, como situações em que o tratamento de dados pessoais pode resultar em um alto risco para os direitos e liberdades dos titulares. A LGPD menciona explicitamente algumas condições básicas sobre quando o relatório de impacto é necessário:
- Quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do Controlador. (Art. 10º, II, § 3º, LGPD);
- Quando o tratamento de dados pessoais gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. (Art. 5º, XVII, LGPD);
- Quando ocorrer o tratamento de dados pessoais sensíveis, especialmente em grandes volumes. (Art. 38º, LGPD);
- Quando o tratamento for relativo a dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, no uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência. (Art. 4º, IV, § 3º, LGPD).
A LGPD deixa claro que a ANPD pode editar regulamentos e procedimentos específicos sobre relatórios de impacto à proteção de dados pessoais, para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais. Mas enquanto a ANPD não se pronunciar, uma excelente opção é utilizar o Working Party Guidelines – WP 248:
2. Descrever o tratamento de Dados Pessoais
Depois de confirmar que o relatório de impacto é mesmo necessário, a próxima etapa lógica é descrever que tipo de tratamento de dados pessoais é realizado. Isso pode ser feito, por exemplo, fornecendo detalhes sobre como as informações dentro da operação de tratamento são coletadas, armazenadas, usadas e descartadas, incluindo até mesmo o desenho do fluxo dos dados pessoais nos processos de negócio.
3. Realizar processo de consulta
Consultar todas as partes interessadas no tratamento dos dados pessoais, pode ser um ponto bem relevante em um relatório de impacto. Por exemplo, pode ser necessário descrever quando e como sua organização buscou as opiniões dos titulares ou justificar por que não foi necessário fazê-lo, se existiu a necessidade de pedir ajuda ou informações aos operadores da sua organização ou mesmo se especialistas em segurança da informação ou outros especialistas participaram do processo.
4. Avaliar necessidade e proporcionalidade
Obviamente todo tratamento de dados pessoais deve ser realizado observando requisitos de necessidade e proporcionalidade, isso também deve ser refletido no seu relatório de impacto. Por exemplo, informando qual é a sua base legal para o tratamento de dados pessoais, ou como sua organização garantirá a qualidade e a minimização dos dados.
5. Identificar e avaliar riscos
Como mencionado antes, o principal objetivo do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), é compreender e reduzir os riscos envolvidos no tratamento a um nível aceitável. Isso exigirá uma visão clara de todas as ameaças e vulnerabilidades durante o tratamento de dados pessoais e deve resultar em um catálogo de riscos, incluindo a probabilidade e a gravidade de qualquer impacto sobre os direitos e liberdades dos indivíduos, cujos dados serão coletados e/ou tratados.
6. Identificar medidas para tratar o risco
Depois de criar seu catálogo de riscos, a próxima etapa é identificar quais controles são necessários para reduzir ou mesmo eliminar os riscos. Em outras palavras, sua empresa deve definir ações para mitigar, evitar, transferir ou aceitar os riscos.
Tal como acontece com qualquer abordagem de gestão de risco, para a maioria dos casos, não será necessário extinguir completamente um risco específico, a ideia é reduzir sua probabilidade e impacto a níveis aceitáveis.
7. Assinar e registrar resultados do RIPDP
Após a tomada das decisões de risco, é necessário criar um registro dos resultados do relatório de impacto e obter a assinatura dos responsáveis pelas decisões mencionadas.
8. Integre as soluções de proteção de dados ao projeto
Como última etapa, é necessário garantir que os resultados DPIA, como os controles de segurança, estejam totalmente integrados ao seu projeto. Considere revisar e revisitar o DPIA quando necessário, especialmente nos casos em que houver uma mudança significativa em seu projeto.
Para concluir
Mesmo deixando de lado os requisitos da LGPD, quando adotamos uma abordagem proativa, que trata a proteção de dados pessoais desde a concepção e por padrão, não há dúvidas que essa é a estratégia inteligente, que toda organização deveria utilizar, uma vez que seus benefícios vão muito além da “simples” conformidade com a Lei Geral de Proteção de Dados Pessoais. Por exemplo, riscos potenciais e outros problemas podem ser identificados em um estágio inicial, o que, por sua vez, tornará o tratamento dessas situações mais simples e mais barato.
Isso também resultará em um maior nível de conscientização sobre privacidade e proteção de dados pessoais em toda a organização, reduzindo a probabilidade de violação dos requisitos da LGPD e– consequentemente – tratará riscos relacionados às pesadas multas e sanções previstas na lei.
Conduzir um Relatório de Impacto a Proteção de dados Pessoais não é uma tarefa simples e deve ser feito por profissionais com experiência e conhecimento suficiente do projeto em questão, incluindo as orientações do Encarregado pelo Tratamento de Dados Pessoais (DPO). Se sua equipe não possui experiência suficiente, a melhor aposta é investir em treinamento ou recorrer a especialistas externos.
Que tal aprender a construir um Relatório de Impacto à Proteção de Dados Pessoais na prática?
Se você precisa construir um RIPDP, ou simplesmente quer ganhar novos conhecimentos práticos, tenho boas notícias! Meu novo curso LGPD: Relatório de Impacto à Proteção de Dados Pessoais apresenta uma visão detalhada, prática e completa de toda metodologia descrita neste artigo!
Este treinamento inclui exemplos práticos, estudos de caso e modelos editáveis prontos para você adaptar a sua organização.
Ao final você estará apto a:
- Descrever todos os principais conceitos relacionados ao Relatório de Impacto à Proteção de Dados Pessoais;
- Construir, revisar e aplicar Relatórios de Impacto à Proteção de Dados Pessoais alinhados a LGPD e padrões internacionalmente aceitos;
- Explicar – em termos do negócio – a importância e os benefícios de se realizar um Relatório de Impacto à Proteção de Dados Pessoais mesmo quando esse não é exigido por lei;
- Adaptar e aplicar efetivamente o modelo gratuito de Relatório de Impacto à Proteção de Dados Pessoais fornecido como material complementar deste curso.
2 Comentários
Gostaria de um retorno para realizar curso especifico em relatórios de impacto de proteção de dados.
O link do curso não existe mais?