A Autoridade Nacional de Proteção de Dados (ANPD) publicou em seu site oficial uma série de perguntas e respostas que objetivam orientar e esclarecer a sociedade sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD). As referidas orientações presentes no documento não são vinculantes, mas servem de norte para entendermos o atual posicionamento da Autoridade sobre o tema.
O Relatório, previsto no art. 5º, inciso XVII, e art. 38 da Lei Geral de Proteção de Dados Pessoais (LGPD), deve ser elaborado pelo controlador dos dados e é a documentação que contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD, bem como às liberdades civis e aos direitos fundamentais dos titulares de dados. Nele devem constar, ainda, as medidas, salvaguardas e mecanismos de mitigação de risco ao tratamento dos dados pessoais em questão.
Com a vigência da LGPD e o início da sua aplicação, muito se tem discutido sobre o que deveria ser considerado como um tratamento de dados de “alto risco”. Neste Q&A (perguntas e respostas) preparado pela Autoridade, esclareceu-se que enquanto não há a publicação de regulamento próprio sobre o tema, os agentes de tratamento podem adotar como parâmetro a definição de “alto risco” estabelecida no art. 4º da Resolução nº 2/2022 da ANPD, que regula a aplicação da LGPD para agentes de pequeno porte.
Segundo a referida Resolução, para averiguar se determinado tratamento de dados pessoais oferece “alto risco” é necessário analisar os chamados “critérios gerais” e “critérios específicos”, conforme abaixo:
Critérios gerais:
Critérios específicos:
Caso seja identificada a presença de pelo menos 1 critério geral e 1 critério específico, cumulativamente, estaríamos diante de um tratamento de alto risco.
No entanto, a Autoridade ressaltou que os referidos critérios não devem ser considerados exaustivos para fins de elaboração do RIPD, sendo absolutamente possível que o controlador verifique a existência de alto risco no tratamento dos dados em situações distintas das indicadas nos critérios pré-estabelecidos pela ANPD.
Deste modo, é importante que cada processo seja analisado e sejam sempre levados em consideração os possíveis impactos e potenciais danos aos titulares de dados, especialmente as consequências para o exercício de seus direitos e possíveis efeitos que impactem a sua liberdade civil, constitucionalmente garantida.
Para além da definição de “alto risco”, dentre os diversos esclarecimentos fornecidos pela ANPD, destacamos os seguintes:
De todo modo, o controlador deverá, ainda, elaborar o RIPD sempre que solicitado pela ANPD.
No mais, a Autoridade orienta que, embora não seja obrigatório divulgar o RIPD, a sua publicação no sítio eletrônico do controlador, por exemplo, é considerada como uma boa prática, na medida em que demonstra a preocupação do controlador com a segurança dos dados, a transparência e seu compromisso com a privacidade e proteção dos dados, além de ser um instrumento de prestação de contas. A ANPD esclarece que a versão pública do RIPD pode ser distinta da versão interna, no intuito de resguardar segredos comerciais e industriais e outras informações protegidas por lei.
Todavia, especificamente em relação a entidades e órgãos públicos, o RIPD deverá ser publicado:
(i) por determinação da ANPD, nos termos do art. 32 da LGPD; ou
(ii) pelo próprio controlador, quando não identificada hipótese de sigilo aplicável ao caso.
O processo de regulamentação do tema ainda está em andamento, conforme previsto na Agenda Regulatória da Autoridade para o biênio 2023/2024, de modo que obrigações e parâmetros adicionais serão estabelecidos pela ANPD futuramente, quando da publicação do regulamento oficial. Enquanto a regulamentação específica não é publicada, é recomendável levar em conta os esclarecimentos compartilhados pela Autoridade, como medida adicional de observância às boas práticas de governança em proteção de dados pessoais, em linha com a LGPD.
22 de maio de 2023
6 de setembro de 2024
6 de dezembro de 2024