Lgpd - Lei Geral de Proteção de Dados Pessoais: Manual de Implementação - Ed. 2021

Capítulo 7. O Relatório de Impacto à Proteção de Dados Pessoais - III – Procedimentos Específicos

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Felipe Palhares

Bacharel em Direito pela Faculdade de Ciências Sociais de Florianópolis (CESUSC); Pós-graduado em Direito Empresarial pela Fundação Getulio Vargas – FGV/SP; Pós-graduado em Direito Societário pelo Instituto de Ensino e Pesquisa – INSPER; Mestre (LL.M.) em Corporate Law pela New York University – NYU. Primeiro e único brasileiro a ser reconhecido como Privacy Law Specialist (PLS) pela International Association of Privacy Professionals – IAPP. Primeiro brasileiro a ser reconhecido como Fellow of Information Privacy (FIP) e o único brasileiro a ter obtido todas as certificações de privacidade e proteção de dados da IAPP (CIPP/E, CIPP/US, CIPP/C, CIPP/A, CIPM, CIPT). Certificado em Privacy and Data Protection Foundation pela EXIN. Certificado como Data Protection Officer pela Maastricht University. Certificado como Data Privacy Solutions Engineer pela ISACA (CDPSE). Professor convidado de matérias de proteção de dados pessoais do INSPER, da FGV/Rio, da Damásio/IBMEC, da Nextlaw Academy e do Instituto New Law. Cofundador da Brazilian Legal Society at NYU School of Law. Selecionado pela the Law Society e o Bar Council of England and Wales para ser um dos representantes brasileiros no 6th Latin American Young Lawyers’ Exchange Programme. Palestrante internacional, convidado para palestrar em eventos como o IAPP Data Protection Intensive: UK 2020, o IAPP Global Privacy Summit 2020 e o IAPP Summit Sessions 2020. Coautor do livro “LGPD – Manual de Implementação”. Coordenador do livro “Temas Atuais de Proteção de Dados”. Autor de diversos artigos sobre proteção de dados publicados em periódicos internacionais e nacionais, como Valor Econômico, Estadão, O Globo, JOTA, Conjur e DataGuidance. Advogado, admitido para a prática jurídica no Brasil e no Estado de Nova York (EUA). Sócio da área de Proteção de Dados, Tecnologia e Negócios Digitais do Barbosa, Müssnich, Aragão Advogados.

https://www.linkedin.com/in/felipepalhares/

felipe.palhares@bmalaw.com.br

1. Introdução

Um dos instrumentos mais essenciais em qualquer programa de governança em privacidade, como forma de registrar a regularidade e legalidade das operações de tratamento de dados pessoais realizadas por determinada empresa ou órgão da administração pública, é o Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”).

O RIPD é o documento que comprova que o controlador, ao perceber que um projeto que envolve o tratamento de dados pessoais poderia carrear algum tipo de risco aos direitos fundamentais ou às liberdades individuais das pessoas naturais, realizou um prévio estudo sobre essa pretendida operação, identificando quais seriam esses riscos, a sua possibilidade de materialização, bem como quais medidas seriam prudentes para eliminar ou minimizar os efeitos adversos potencialmente advindos do tratamento de dados em questão.

Trata-se, inclusive, de um instrumento de registro de controle de riscos que muito bem se alinha ao princípio do privacy by design, ideal incorporado em grande parte das normas de privacidade e proteção de dados atuais ao redor do mundo e que expõe que a proteção à privacidade deve ser pensada desde o início de qualquer projeto, embutida na concepção e na arquitetura das operações de tratamento de dados que resultarão daquele produto ou serviço que se almeja colocar no mercado.

Ainda que a relevância desse relatório seja evidente, a Lei Geral de Proteçâo de Dados Pessoais (“LGPD”), na sua redação final 1 , já consideradas as alterações promovidas pelo Projeto de Lei de Conversão 7/2019 (oriundo da Medida Provisória 869/2018) e pela respectiva sanção presidencial com vetos (Lei 13.853/2019), assim como pela Lei 14.010/2020 e pela Lei 14.058/2020, aborda o tema de forma extremamente genérica, sem nada especificar sobre a formatação do RIPD e os casos em que a realização do relatório serão efetivamente obrigatórios.

A LGPD conceitua o que é o RIPD e quais são as informações mínimas que esse tipo de relatório deverá conter, como se observa do artigo 5º, XVII, e do artigo 38, parágrafo único, da Lei.

Fora isso, a LGPD se limita a indicar que a Autoridade Nacional de Proteção de Dados (“ANPD”) poderá solicitar ao controlador a elaboração de Relatório de Impacto à Proteção de Dados Pessoais quando o tratamento for pautado no legítimo interesse do controlador ou em quaisquer outros casos que entender necessários, na forma do artigo 10, § 3º, e do artigo 38.

Há também na Lei a especificação, em seu artigo 32, que a ANPD poderá solicitar a publicação do RIPD aos agentes do Poder Público, inclusive com a indicação sugestiva de quais padrões e boas práticas deveriam ser implementadas pela administração pública para os tratamentos de dados pessoais que são objeto do relatório de impacto.

No texto original da Lei, aprovado por unanimidade no Congresso Nacional, antes dos vetos do ex-Presidente Michel Temer, havia uma previsão específica de que a ANPD teria, como uma de suas atribuições, a elaboração de regulamentos e procedimentos sobre os relatórios de impacto para os casos de tratamento de dados pessoais que representassem altos riscos à garantia dos princípios gerais da LGPD.

Referida disposição, bem como todas as demais relacionadas à criação da ANPD e suas competências, foram vetadas pelo ex-Presidente Temer, por alegado vício de iniciativa, a carrear inconstitucionalidade ao processo legislativo. Posteriormente, ao editar a Medida Provisória 869/2018, que efetivamente criou a Autoridade Nacional, essa parte específica do texto não foi novamente implementada, restando, como atribuição da ANPD, a genérica disposição de “editar normas e procedimentos sobre a proteção de dados pessoais”.

Além disso, a MP 869/2018 alterou a redação do artigo , § 3º, da LGPD, que antes determinava que a ANPD deveria solicitar relatórios de impactos nos casos das exceções à aplicação da lei previstas no inciso III desse mesmo artigo. Essa disposição agora não mais existe.

Interessante observar que das 176 emendas apresentadas ao texto da MP 869/2018, 15 delas foram submetidas no sentido de retornar ao texto a redação original de disposições que tratavam do RIPD, embora, em sua maioria, não tenham obtido sucesso.

Em 07.05.2019, a comissão mista que analisou a MP 869/2018 aprovou o relatório e complementação de voto do Deputado Federal Orlando Silva 2 . A proposta, por alterar diversos pontos do texto da Medida Provisória 869/2018, transformou-se no Projeto de Lei de Conversão 7/2019, que precisava ser aprovado pela Câmara e pelo Senado até o dia 03 de junho de 2019, sob pena de a Medida Provisória caducar. De acordo com a nova redação proposta para o artigo 55-J, inciso XIII, a ANPD voltará a ter a atribuição de editar regulamentos e procedimentos sobre os relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representasse um alto risco aos princípios gerais previstos na LGPD. 3 Os demais dispositivos que abordavam, ainda que de modo reflexo, o RIPD antes da edição da Medida Provisória, a exemplo do então § 3º do artigo 4º, não foram restaurados pelo texto do Projeto de Lei de Conversão.

Em 28.05.2019, a Câmara dos Deputados aprovou a MP 869/2018, conforme Projeto de Lei de Conversão 7/2019, de acordo com o relatório do Dep. Orlando Silva. 4 Logo no dia seguinte, em 29.05.2019, o Senado Federal também aprovou o referido Projeto de Lei de Conversão 5 , que foi posteriormente enviado para a sanção presidencial por parte do Presidente Jair Bolsonaro para a definição concreta do texto atualizado da LGPD.

No dia 08.07.2019, o Presidente sancionou a maior parte do Projeto de Lei de Conversão 7/2019, embora tenha vetado alguns artigos relevantes (entre eles disposições relacionadas à revisão de decisões pautadas unicamente no tratamento automatizado de dados pessoais, especificações para o exercício do cargo de Encarregado e explicitação da possibilidade da nomeação de um mesmo Encarregado para empresas do grupo econômico, e sobre sanções mais duras de suspensão e proibição das atividades de tratamento), promulgando a Lei 13.853/2019.

Tendo em vista que o texto final da LGPD, já consideradas as poucas alterações promovidas pela Lei 14.010/2020 e pela Lei 14.058/2020, não trouxe qualquer modificação sobre esse assunto específico, é inegável que a nossa lei de proteção de dados pouco aborda o tema do relatório de impacto à proteção de dados pessoais.

Grande parte do efetivo conteúdo acerca desses relatórios de impacto, inclusive a definição de seu formato, prazo de elaboração, aspectos que deverão ser neles abordados e casos nos quais sua confecção será obrigatória, são elementos que precisarão ser mais bem delineados e regulamentados por parte da Autoridade Nacional de Proteção de Dados.

Enquanto isso não acontece, e no intuito de propiciar um maior embasamento e qualidade técnica na formação de relatórios de impacto às empresas e órgãos da administração pública que já estão com projetos de implementação e adequação à LGPD em curso, este artigo tem como objetivo apresentar como outras jurisdições cuidam desse tema e sugerir fatores que merecem atenção quando da preparação de um RIPD.

Embora não haja garantia alguma de que a forma com que os Privacy Impact Assessments (“PIA”) ou Data Protection Impact Assessments (“DPIA”) são estruturados e regulados em outros países seja replicada no ambiente brasileiro, por meio das futuras regulamentações do tema a serem elaboradas pela ANPD, é certamente válido e relevante entender como tais relatórios são adotados ao redor do mundo e o que podemos aprender com eles.

2. PIAs e DPIAs na União Europeia

A União Europeia é considerada o berço da identificação e normatização do valor social da privacidade moderna, alçada a uma garantia fundamental, e da concepção de práticas em prol da proteção de dados pessoais. 6 Ainda assim, mesmo no âmbito europeu, o histórico de estudos prévios de impacto à proteção de dados pessoais é razoavelmente recente. 7

Vale lembrar que os temas afetos à privacidade e proteção de dados são regulamentados pela União Europeia há vários anos. Em 1950, o Conselho da Europa assinou a Convenção …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
26 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1197026533/capitulo-7-o-relatorio-de-impacto-a-protecao-de-dados-pessoais-iii-procedimentos-especificos