Por Layon Lopes e Gustavo Chaves Barcellos*
Nas vésperas da LGPD completar um ano de vigência, muito se tem debatido sobre o Relatório de Impacto de Proteção. Inclusive, a própria Autoridade Nacional de Proteção de Dados (ANPD) recentemente finalizou as reuniões técnicas referentes ao processo de regulamentação do Relatório de Impacto de Proteção de Dados, no intuito de traçar diretrizes gerais para confecção e implementação de tal documento no país.
Mas, afinal, o que é o Relatório de Impacto de Proteção de Dados Pessoais?
Nos termos da legislação, basicamente, tal relatório é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Ou seja, tal documento deve ser providenciado pelos controladores desses dados – toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
O Relatório de Impacto poderá ser requisitado pela ANPD aos controladores sempre que o tratamento dos dados pessoais realizados por ele tiver como fundamento o seu legítimo interesse, salvaguardados os segredos industriais e comerciais.
Contudo, há de se destacar que o legítimo interesse somente poderá dar lastro a atividade de tratamento de dados pessoais para finalidades legítimas, tais como apoio e promoção de atividades do controlador; e, proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
Sobre o conteúdo do Relatório de Impacto, temos que ele deve conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Relativamente ao momento em que ele tem que ser providenciado, o Governo Federal recomenda que o Relatório de Impacto seja providenciado antes de a instituição iniciar o tratamento de dados pessoais, preferencialmente, na fase inicial do programa ou projeto que tem o propósito de usar esses dados.
Basicamente, o Controlador terá que seguir as seguintes etapas para elaboração do Relatório de Impacto:
(i) Identificação dos Agentes de Tratamento (Controlador e Operador em conjunto) do Encarregado dos Dados Pessoais (pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD);
(ii) Identificar a necessidade de Elaborar Relatório de Impacto;
(iii) Descrever como se dá o tratamento dos dados pessoais;
(iv) Identificar as Partes Interessadas;
(v) Descrever a necessidade e a proporcionalidade do tratamento dos dados pessoais;
(vi) Identificar e avaliar potenciais riscos inerentes ao tratamento dos dados pessoais;
(vii) Identificar quais medidas de mitigação de riscos podem ser adotadas;
(viii) Aprovar o Relatório de Impacto; e,
(ix) Manter revisão periódica do Relatório de Impacto.
Por fim, cabe destacar que tal documento não se trata de uma mera liberalidade das empresas que promovem o tratamento de dados pessoais para o desempenho das suas atividades, mas de uma obrigação legal. Neste sentido, é importante que elas sejam assessoradas por profissionais especializados no atendimento de empresas de base tecnológica e que tenham conhecimento sobre a legislação de governança de dados brasileira.
Dúvidas? A equipe do Silva | Lopes Advogados pode te ajudar!
*Lopes é CEO do Silva | Lopes Advogados e Chaves Barcellos é sócio do escritório.
PODCAST
Marketing Digital na prática
