Com a Lei Geral de Proteção de Dados Pessoais – a famosa LGPD, o cuidado jurídico com a proteção de dados pessoais tem sido cada vez mais relevante. Através do relatório de impacto à proteção de dados pessoais, vamos te explicar a importância do tratamento e os benefícios a sua empresa.
A LGPD traz uma série de procedimentos e diretrizes a serem adotados pelas empresas na hora de fazer tratamento de dados pessoais.
Um dos principais procedimentos a ser adotado é a elaboração do Relatório de Impacto, documento que visa estabelecer mecanismos de mitigação de risco e demonstrar como a empresa está em conformidade com a regulamentação.
Em seu art. 5º, XVII, a LGPD estabelece o Relatório de Impacto como a documentação do Controlador que contém a descrição de tratamento de dados que podem gerar riscos às liberdades civis e individuais.
Quem é o responsável por elaborar o Relatório de Impacto à Proteção de Dados Pessoais?
No tratamento de dados, o Controlador é o responsável por tomar as decisões sobre como os dados pessoais são tratados:
Art. 5º, VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Também é responsabilidade do Controlador elaborar o Relatório de Impacto.
Afinal, por ser o Controlador o incumbido de tomar as decisões sobre o tratamento de dados, deve também estar ciente do impacto do tratamento realizado.
É dever do controlador garantir o exercício dos direitos do titular dos dados pessoais descritos no artigo 18 da LGPD.
O Relatório de Impacto no processo de Governança em Privacidade
O RIPD é um dos procedimentos fundamentais para o Programa de Governança em Privacidade previsto na LGPD.
Seu objetivo final é garantir que o tratamento de dados seja guiado não só pelo aspecto operacional da empresa, mas também a partir das consequências do tratamento de dados.
Com isso, para produzir o relatório, é necessário o conhecimento total sobre todas as etapas do tratamento de dados, bem como as respectivas finalidades e bases legais para coleta e tratamento.
As bases legais são os requisitos para o tratamento de dados pessoais, sendo as hipóteses que autorizam o tratamento pelo operador, elencadas no art. 7º da LGPD.
Já a finalidade é o propósito específico para o qual aquele dado está sendo coletado e tratado.
Tanto a base legal quanto a finalidade precisam ser definidas para cada dado tratado, bem como apresentadas aos titulares dos dados (transparência).
Assim, a análise do risco medido pelo RIPD está diretamente ligado à conjuntura específica do tratamento, podendo variar de empresa para empresa.
O Legítimo Interesse do Controlador e os Dados Sensíveis no Relatório de Impacto à Proteção de Dados Pessoais
Um das bases legais que autorizam o tratamento de dados é o Legítimo Interesse do Controlador, prevista no inciso IX do artigo 7ª da LGPD:
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Porém, a lei não especifica o que é legítimo interesse, deixando o conceito legal em aberto – ao menos por enquanto.
Pela ausência de taxatividade e entendimento jurisprudencial sobre essa base legal, o legítimo interesse será utilizado com intuito de atender os interesses do controlador para sua proteção no exercício de seus direitos e na prestação de serviços.
Cabe ressaltar que o RIPD está diretamente ligado ao tratamento de dados com base no Interesse Legítimo, visto que a Autoridade Nacional de Proteção de Dados (ANPD) poderá solicitar ao controlador o RIPD a qualquer tempo, sempre que o tratamento tiver como fundamento essa base legal.
Importante notar que a Lei cria ressalvas com relação à essa base legal, especificando que deverão ser observados os segredos comercial e industrial, de acordo com o art. 9º, § 3º da LGPD.
A mesma atenção deve ser tomada com o tratamento de dados pessoais sensíveis, que são dados relacionados à saúde, origem racial ou étnica, orientação sexual ou que possam de algum modo expor a vida pessoal do titular.
Considerando que os dados pessoais sensíveis podem oferecer maior dano ao Titular em caso de incidentes, é imprescindível que a análise desse risco – bem como os procedimentos de mitigação de riscos – estejam no Relatório de Impacto.
Checklist para os itens essenciais de um Relatório de Impacto – RIPD
O conteúdo do RIPD irá depender de cada modelo de negócios, do propósito da coleta de dados e da forma que serão tratados.
No entanto, a base de um Relatório de Impacto deve conter pelo menos:
- a descrição dos tipos de dados coletados;
- a metodologia utilizada para a coleta e para a garantia da segurança das informações;
- a análise do controlador com relação a medidas;
- salvaguardas e mecanismos de mitigação de risco adotados.
Para um relatório completo, é importante observar a natureza antecipatória do RIPD, que deve ser orientado para analisar o possível surgimento de incidente, demonstrando o que é feito para evitá-los e as soluções para eventuais problemas.
Depois desse checklist ficou mais fácil entender o que é o tal Relatório de Impacto à Proteção de Dados Pessoais, não é mesmo?
Se tiver dúvidas, pode contatar o nosso time.
