Toda atividade profissional e empresarial que tenha participação (direta ou indireta) no tratamento de dados pessoais é responsável por compreender, cumprir e estar adequada à Lei Geral de Proteção de Dados Pessoais.
Alguns documentos obrigatórios são negligenciados no momento da adequação e, por isso, vamos dar alguns alertas ao pessoal que está nesse procedimento de cumprimento da legislação.
O Relatório de Impacto de Proteção de Dados (Data Protection Impact Assessment – DPIA) é um dos documentos obrigatórios nas situações que possam gerar riscos a liberdades civis e direitos fundamentais. Trata-se de uma documentação que deve ser elaborada pelo controlador (clique aqui para saber a diferença entre Controlador x Operador) que deve conter a descrição dos processos de tratamento de dados pessoais naquelas situações, bem como, com fulcro no art. 5º, XVII da LGPD, apresentar salvaguardas e mecanismos de mitigação de riscos.
Esse estudo de riscos e maneiras de mitiga-los cumpre alguns princípios basilares da legislação, tais como da segurança, prevenção, responsabilização e prestação de contas (uma vez que o documento pode ser exigido pelo Ministério Público, pelo Poder Judiciário em casos de demanda judicial e, é claro, pela Autoridade Nacional de Proteção de Dados.
Conforme mencionado anteriormente, o Relatório de Impacto de Proteção de dados não é obrigatório em todas as situações de tratamento de dados, mas tão somente naqueles casos que possam gerar riscos às liberdades civis e direitos fundamentais (embora a lei não defina exatamente o que são “riscos às liberdades civis”).
Não obstante isso, a própria LGPD dá um norte de quais situações o RIPD (DPIA) é necessário:
- Quando utilizamos o “legítimo interesse” como base legal, consoante art. 10, 3ª (clique aqui para saber quando é possível utilizar essa hipótese de tratamento e como elaborar um Teste de Ponderação – Legitimate Interests Assessment).
- Quando o dado for tratado pelo Poder Público (art. 32);
- Quando o tratamento apresentar riscos aos princípios da LGPD (art. 55 J)
- Além dos casos já mencionados de riscos às liberdades civis e direitos fundamentais (art. 5º, XVII).
É possível que a razão desse documento ser negligenciado em vários programas de adequação das empresas à LGPD seja pelo fato de que temos uma incerteza regulatória muito grande. Mas, deixar de lado um documento tão importante por esse motivo pode ser um grande erro e um risco enorme à organização.
Em outras palavras, não é porque a Autoridade Nacional de Proteção de Dados não regulamentou algumas situações ou porque a LGPD não é cristalina em outras (como é a subjetividade de se exigir o RIPD quando o tratamento apresentar riscos a princípios, uma vez que tudo se encaixa em algum princípio), que podemos simplesmente deixar de elaborar o referido documento.
Tanto é verdade que já em 2019 (antes mesmo da entrada em vigor da LGPD), o Ministério Público Federal requisitou à VIVO a elaboração do Relatório de Impacto de Proteção de Dados Pessoais, no prazo de 60 dias, sobre o tratamento dos dados do serviço “VIVO ADS” (Mídia Geolocalizada).
Assim, em que pese a lei ainda não estar “redonda”, temos outras fontes que podemos nos arrimar no momento da adequação da empresa à LGPD, como é o caso da GDPR (lei “equivalente” na Europa e que serviu de base e inspiração para a nossa legislação) e Work Party 29 (órgão consultivo composto por um representante da autoridade de proteção de dados de cada Estado-membro da União Europeia.
Para finalizar e tentar contribuir na prática, entendemos que o Relatório de Impacto de Proteção de Dados deve conter, no mínimo, a descrição completa do tratamento dos dados, a finalidade e o interesse legítimo buscado; a necessidade do tratamento, bem como a proporcionalidade e riscos impostos aos titulares; e, por fim, quais as medidas necessárias para mitigar os riscos identificados, quem é o responsável por isso e qual o prazo para o plano de ação.