• Rafael Belisário

Relatório de impacto na proteção de dados

A Lei nº. 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados (LGPD) - em aplicação, em partes, desde 2018 e, de forma integral, desde 2021 - tem como finalidade regulamentar as diretrizes para o tratamento de informações pessoais no Brasil, com foco na criação de práticas responsáveis pela promoção de um ambiente seguro aos dados pessoais, de acordo com os parâmetros internacionais existentes.

Visando garantir este objetivo, mais especificamente, em seu artigo 5º, inciso XVII, a LGPD dispõe sobre a implementação do Relatório de Impacto à Proteção de Dados Pessoais (RIPD).


Esse é um documento focado nos controladores de dados pessoais, sejam estes pessoas naturais ou jurídicas, de direito público ou privado, os quais são responsáveis pelas decisões sobre o tratamento de dados pessoais, de acordo com a LGPD.


O RIPD tem como finalidade descrever o processo de tratamento de dados e informações pessoais, relativos à pessoas físicas ou jurídicas, que possam gerar qualquer tipo de dano ou risco aos seus direitos e liberdades individuais, bem como as medidas e mecanismos de mitigação dos referidos riscos.


Em outras palavras, busca fomentar a criação de mecanismos de redução de riscos, a partir da análise do tratamento atribuídos aos dados pessoais coletados por determinada instituição ou pessoa física.


No entanto, a LGPD não determina, especificamente, quais seriam as principais hipóteses e situações de riscos que ficariam sujeitas ao RIPD. Portanto, deve-se levar em consideração uma análise caso a caso, com foco nos cenários que apresentem provável risco aos titulares de dados.


Importante destacar que o relatório também deve ser encarado como um instrumento de gestão e uma forma de suporte às operações de tratamento de dados pessoais das instituições, com o intuito de promover uma governança de dados mais eficiente e segura.

O RIPD deverá conter, no mínimo, a individualização e descrição dos dados coletados, a metodologia utilizada para a coleta, a garantia da segurança das informações e, por fim, a conclusão do controlador sobre os mecanismos implementados para mitigação de riscos aos direitos e liberdades civis dos titulares de dados pessoais.


Consta registrar que a operação de tratamento de dados desenvolvida pelo controlador poderá conter dados sensíveis, com base no artigo 32 da LGPD, os quais podem abarcar dados relativos à etnia, religião, convicções filosófica e políticas, orientação sexual, saúde, questões genéticas e, ainda, aqueles relativos a menores de idade, por exemplo.


Para o tratamento dessa espécie de dados, deve ser observado, em regra, o requisito do consentimento inequívoco da parte interessada e, no caso dos indivíduos menores de idade, o consentimento dos pais ou responsáveis.


No caso de não haver consentimento expresso, os dados pessoais só poderão ser utilizados quando forem indispensáveis, em situações relacionadas à: política pública, processo judicial ou administrativo, contrato, pesquisa de natureza informativa elaborada por órgão oficial, garantia de um direito e preservação da vida e integridade física.


Os referidos dados sensíveis, bem como seu tratamento diferenciado, devem constar, também, na descrição do RIPD, devendo o responsável pela sua elaboração delinear os mecanismos específicos para a mitigação dos riscos associados à sua má-gestão.


A referida análise dos riscos, conforme inserida no RIPD, inerente aos dados, inclusive aos sensíveis, deve conter um panorama completo do ciclo dessas informações, para que o controlador possa transmitir uma visão clara de quais fatores podem impactar as liberdades civis e os direitos fundamentais, assim como as medidas que deverão ser implementadas para que se demonstre o efetivo cumprimento da Lei.


O RIPD deverá ser elaborado em etapas, as quais descreverão a avaliação, a gerência e, por consequência, as responsabilidades pelos dados observados.


Este pode ser elaborado antes ou durante um projeto de tratamento de dados, embora sua implementação no início de um projeto tenha o potencial de reduzir gastos, como também de reduzir a implementação de medidas desnecessárias.


Isso porque, sua elaboração pode resultar na implementação de medidas voltadas à otimização da segurança dos processos do controlador. Assim, poderão, por exemplo, acarretar na: implementação de processos de criptografia, restrição de acesso a determinados dados pessoais, utilização de pseudônimos para nomear os dados, abstenção de coleta de determinado dado, dentre outros.


A elaboração do RIPD fica sujeita à solicitação, a qualquer momento, pela Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar o cumprimento da devida aplicação da LGPD. Quando solicitado, torna-se uma obrigação legal de cumprimento por parte do controlador de dados pessoais, no prazo estabelecido pelo regulador.


*O presente artigo não representa aconselhamento jurídico. Para eventuais dúvidas entre em contato com um advogado ou Empresa Júnior jurídica.


REFERÊNCIAS

BENEDITO, Matheus Braga. Lei geral de proteção de dados: uma análise sobre os direitos dos titulares e os deveres das organizações perante a lei. Artigo. 15 fls. 2021. Disponível em: <http://dspace.sti.ufcg.edu.br:8080/xmlui/bitstream/handle/riufcg/19884/MATHEUS%20BRAGA%20BENEDITO%20%20TCC%20CI%c3%8aNCIA%20DA%20COMPUTA%c3%87%c3%83O%202021.pdf?sequence=1&isAllowed=y> Acesso em 11.ago.2021.


BRASIL. Lei Geral de Proteção de Dados. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm Acesso em 10.09.2021.


LGPD BRASIL. Conheça o Relatório de Impacto à Proteção de Dados Pessoais https://www.lgpdbrasil.com.br/conheca-o-relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd/ Acesso em 11.ago.2021.


SERPRO. O que são dados sensíveis, de acordo com a LGPD. Disponível em: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-sensiveis-lgpd>Acesso em 11.ago.2021.


ALCASSA, Flávia. A Lei Geral de Proteção de Dados Pessoais (LGPD) e a exposição de dados sensíveis nas relações de trabalho. Revista do Tribunal Regional do Trabalho da 10ª Região, Brasília v. 24, n. 02, p. 145-151, jul./dez. 2020. Disponível em: https://revista.trt10.jus.br/index.php/revista10/article/view/419. Acesso em 14 abr. 2021.


Recent Posts

Archived

Follow Us

  • Facebook ícone social
  • Instagram ícone social