Data Protection Officer (Encarregado) - Ed. 2020

Relatório de Impacto à Proteção de Dados e Avaliação de Legítimo Interesse

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Marcos Vinícius Palomo Pessin 1

Paulo Lilla 2

1.Introdução

A Lei n.º 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), estabelece um regime jurídico específico para o tratamento de dados pessoais, prevendo um conjunto de princípios, direitos, deveres, garantias, vedações e sanções.

Inspirada no Regulamento Geral de Proteção de Dados da União Europeia (General Data Protection Regulation – EU 2016/679 – GDPR), 3 vigente desde 25 de maio de 2018, a LGPD aplica-se a titulares 4 e agentes de tratamento de dados pessoais – controladores 5 e operadores 6 , cabendo a esses últimos o dever de adequar suas operações de tratamento de dados à nova regulação, o que pressupõe a compreensão dos instrumentos que permitem essa conformidade.

A LGPD, assim como o GDPR, prevê o princípio da responsabilização e prestação de contas (accountability), 7 o qual pressupõe que os agentes de tratamento devem garantir a adequação às normas de proteção de dados pessoais e serem capazes de demonstrar sua conformidade.

Ademais, da mesma forma que o GDPR, a LGPD pode ser vislumbrada como um diploma normativo que estabelece instrumentos para a gestão de riscos à privacidade, possibilitando que os agentes de tratamento avaliem os impactos das operações envolvendo dados pessoais dos titulares de tais informações, isto é, compreender em que medida novos modelos de negócios, tecnologias, produtos e serviços podem impactar os direitos e as liberdades fundamentais dessas pessoas durante todo o ciclo de vida do dado, desde a coleta até o descarte. 8

Entre os instrumentos que a LGPD oferece para gerir riscos à privacidade com o propósito de estabelecer e demonstrar conformidade, destaca-se o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) ou, como é denominado no GDPR, Data Protection Impact Assessment (DPIA).

O RIPD previsto na LGPD, tal como o DPIA no GDPR, constitui instrumento de gestão de riscos à privacidade a ser utilizado pelo controlador para avaliar os impactos de operações de tratamentos de dados à privacidade dos titulares dessas informações, a partir do desenvolvimento de novas tecnologias, oferta de produtos ou prestação de serviços.

Outro instrumento de gestão de risco à privacidade é a Avaliação de Legítimo Interesse (Legitimate Interest Assessment – LIA), a qual, embora não esteja expressamente prevista no GDPR e na LGPD, constitui boa prática para o controlador avaliar em que medida a utilização da base legal do legítimo interesse impacta os direitos, as liberdades e as expectativas razoáveis dos titulares em relação ao tratamento de seus dados pessoais, de modo a auxiliar na escolha ou não desse fundamento para determinada operação de tratamento.

Desse modo, tendo em vista a relevância do RIPD e da Avaliação de Legítimo Interesse para o modelo regulatório da LGPD, em especial para os projetos de adequação à regulação, este artigo propõe-se a apresentar tais instrumentos, a partir de uma análise teórica e prática, de acordo com a LGPD e o GDPR, com a ressalva de que há muito a ser compreendido com a aplicação e interpretação da LGPD pelos órgãos de fiscalização no Brasil, em especial pela Autoridade Nacional de Proteção de Dados (ANPD).

2.Relatório de Impacto à Proteção de Dados

2.1.Origem

No Brasil, apesar de já existirem diversas normas setoriais sobre proteção de dados, como as previstas no Código de Defesa do Consumidor e no Marco Civil da Internet, entre outras, o RIPD é uma novidade trazida pela LGPD.

O RIPD é definido na LGPD como a documentação do controlador que descreve os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos (art. 5º, XVII, LGPD).

Não obstante ser definido na LGPD como um documento, o conteúdo previsto para um RIPD estabelece um processo, o qual consiste em avaliar os impactos de determinado projeto sobre a proteção de dados pessoais, como aqueles envolvidos no desenvolvimento de produtos ou na prestação de serviços, a partir da identificação e do detalhamento dos seus riscos e das medidas necessárias para evitá-los ou mitigá-los, antes e depois do seu início.

Embora seja uma novidade na legislação brasileira sobre proteção de dados, trata-se de um instrumento de avaliação de risco que vem sendo utilizado desde meados da década de 1990 na Austrália, Canadá, Nova Zelândia e Estados Unidos da América, nos quais foi denominado de Avaliação de Impacto à Privacidade (Privacy Impact Assessment – PIA). 9

Na legislação sobre proteção de dados pessoais da União Europeia, por sua vez, a Diretiva n.º 95/46/EC 10 , em seu artigo 20, intitulado “Controle Prévio”, introduziu o precursor do PIA ao estabelecer que os Estados-membros deveriam especificar as operações de tratamento de dados que pudessem oferecer riscos específicos aos direitos e liberdades dos seus titulares, além de avaliá-las antes mesmo do seu início. 11

O controle prévio, ao ser incorporado pelos Estados-membros da UE, resultou no desenvolvimento e na utilização de diversos instrumentos pelas suas respectivas Autoridades de Proteção de Dados, como auditorias específicas e o próprio PIA. A Autoridade de Proteção de dados do Reino Unido (Information Commissioner’s Office – ICO), por exemplo, publicou um manual sobre PIA em 2008 12 e, no ano seguinte, adotou o PIA como medida mínima obrigatória para o Governo e suas agências. 13

A Comissão Europeia, também em 2010, indicou, em uma comunicação ao Parlamento Europeu tratando sobre os desafios da proteção de dados pessoais, 14 15 anos após a Diretiva n.º 95/46/EC, que analisaria a possibilidade de incluir na legislação europeia a obrigatoriedade da realização de PIA para controladores em determinadas operações de tratamento, como as que envolvessem dados sensíveis, vigilância por vídeo ou perfilamento (profiling).

Em 2011, o Grupo de Trabalho do Artigo 29º para Proteção de Dados (Article 29 Data Protection Working Party – WP29) endossou uma proposta de modelo de PIA, elaborada pelo setor da indústria de aplicações com identificação por radiofrequência (Radio-Frequency IDentification – RFID), em virtude de uma recomendação da Comissão Europeia. 15

Apesar dessa evolução na experiência da UE sobre o PIA, a elaboração deste não era obrigatória em quase todos Estados-membros, o que somente foi alterado em 2016, com a aprovação do GDPR, legislação que substituiu a Diretiva n.º 95/46/EC, sendo denominado “Avaliação de Impacto sobre a Proteção de Dados” (Data Protection Impact Assessment – DPIA).

O Considerando n.º 89 do GDPR parece reconhecer o controle prévio, previsto na Diretiva 95/46/CE, como precursor do DPIA. As obrigações decorrentes do controle prévio foram substituídas no GDPR por regras e procedimentos mais eficazes e centrados nas operações de tratamento suscetíveis de resultar em risco elevado para os direitos e liberdades dos titulares dos dados, implicando a obrigatoriedade de realização do DPIA nesses casos.

O GDPR, apesar de não definir o DPIA expressamente, permite conceituá-lo, a partir do Considerando n.º 84 e do art. 35 (7), como um processo concebido para descrever e avaliar a necessidade e a proporcionalidade de determinada operação de tratamento de dados pessoais, além de ajudar a gerir os riscos para os direitos e liberdades dos seus titulares e a determinar as medidas necessárias para mitigá-los.

Em 2017, antes mesmo da vigência do GDPR, o WP29 estabeleceu diretrizes referentes ao DIPA, as quais foram endossadas pelo seu substituto, o Comitê Europeu de Proteção de Dados (European Data Protection Board – EDPB), e auxiliam na compreensão das disposições do GDPR sobre o tema, abordando a obrigatoriedade, metodologia, interação com a Autoridade de Proteção de Dados e recomendações.

A partir da evolução dos processos de avaliação de impacto à proteção de dados pessoais, torna-se evidente que o RIPD é resultado da adoção de um modelo regulatório inspirado no GDPR, o que permite admitir que a experiência europeia seja utilizada como parâmetro interpretativo, tanto pela Autoridade Nacional de Proteção de Dados (ANPD) quanto pelo Poder Judiciário, Ministério Público e organismos de defesa do consumidor. Por esse motivo, é relevante analisar a estrutura normativa do RIPD tendo como referência o contexto da experiência europeia na aplicação do GDPR.

2.2.Relatório de Impacto à Proteção de Dados na LGPD

O RIPD é um instrumento de extrema relevância para estar em conformidade com o princípio da responsabilização e da prestação de contas, uma vez que auxilia o controlador de dados não apenas a cumprir as disposições da LGPD, mas também a demonstrar que foram tomadas medidas necessárias para garantir a sua adequação.

Ao dispor sobre regras de boas práticas e de governança, a LGPD prevê que os controladores de dados, ao aplicarem os princípios da segurança (art. 6º, VII, LGPD) e da prevenção (art. 6º, VIII, LGPD), poderão estabelecer políticas e salvaguardas adequadas, com base em processo de avaliação sistemática de impactos e riscos à privacidade (art. 50, § 2º, I, d, LGPD). No entanto, a exigência de elaboração de um RIPD não deve ser entendida no contexto dessa recomendação geral de se fazer uma gestão adequada dos riscos decorrentes do tratamento de dados pessoais.

De acordo com o conceito de risco do WP29, o risco avaliado em um RIPD constitui cenário descritivo de um fato e de suas respectivas consequências, sendo mensurado pela gravidade e probabilidade. Por outro lado, a gestão do risco diz respeito a como uma organização coordena as atividades a serem tomadas em relação aos riscos oferecidos aos direitos e liberdades dos titulares dos dados, os quais precisam ser identificados, analisados, estimados, avaliados, mitigados e revistos regularmente. 16

Assim, a obrigação de elaboração de um RIPD não deve se confundir com a recomendação geral de gestão adequada dos riscos das operações de tratamentos de determinado controlador.

Como o eventual descumprimento da LGPD pode resultar em sanções, é altamente recomendável a utilização de certos parâmetros e critérios, como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos, além do estabelecimento de políticas de boas práticas e governança (art. 52, § 1º, VIII e IX, LGPD). Logo, tanto a elaboração de um RIPD quanto a avaliação sistemática de impactos e riscos à privacidade são procedimentos relevantes para a redução de eventuais sanções (art. 52, § 1º, LGPD).

A LGPD, além de definir o RIPD no inc. XVII do seu art. 5º, prevê sua obrigatoriedade nos arts. 10, § 3º, 32 e 38, condicionando a sua elaboração em todas as hipóteses à atuação da Autoridade Nacional de Proteção de Dados (ANPD), o que ainda será analisado adiante.

Por outro lado, conforme o art. 35 e Considerando n.º 84 do GDPR, o controlador deve avaliar se determinada operação de tratamento de dados pessoais é suscetível de oferecer risco elevado aos direitos e às liberdades dos titulares dessas informações.

Assim, apesar de inspirada no GDPR, que condiciona a realização antecipada do DPIA à hipótese de constatação de risco elevado aos direitos e liberdades dos titulares de dados (Art. 35 (1), GDPR), a LGPD somente prevê a obrigatoriedade de sua elaboração após eventual exigência da ANPD, o que parece ser um contrassenso, na medida em que o RIPD deveria ser elaborado antes do início do tratamento, com uma visão completa de todo o ciclo de vida dos dados.

Seja como for, é recomendável a elaboração de RIPD sempre que o controlador identificar possíveis riscos em suas atividades de tratamento, independentemente das hipóteses em que a LGPD estabeleça sua obrigatoriedade.

A dinâmica do DPIA à luz do GDPR é diferente. Sobre o risco aos titulares dos dados, o Considerando n.º 75 do GDPR assinala sua causa ao detalhar que ele poderá resultar de operações de tratamento de dados suscetíveis de causar dano físico, material ou imaterial aos titulares dos dados, ou seja, a identificação do risco está associada à possibilidade de danos aos titulares.

A conclusão pela existência de risco elevado torna obrigatória a realização de um DPIA pelo controlador dos dados, o qual deverá indicar, ao menos, a origem, natureza, particularidades e a gravidade desse risco.

O resultado dessa avaliação deve ser levado em consideração pelo controlador para a tomada de decisão sobre as possíveis medidas mitigadoras de tal risco, sendo que, caso estas se mostrem insuficientes, a autoridade de proteção de dados do respectivo Estado-membro deverá ser consultada antes do início da operação de tratamento de risco elevado.

Ademais, o GPDR prevê alguns exemplos de operações de tratamento suscetíveis de implicar riscos elevados (art. 35 (3), GDPR): (i) avaliação sistemática e completa dos aspectos pessoais de um indivíduo, baseada no tratamento automatizado, incluindo a definição de perfis comportamentais (profiling); (ii) processamento de dados sensíveis em grande escala; (iii) monitoramento sistemático de área pública em grande escala.

Considerando que a realização do DPIA não é obrigatória para todas as situações de tratamento no GDPR, o próprio WP29 admitiu que há situações nas quais não é tão simples chegar à conclusão de sua necessidade. Por isso, recomenda que, mesmo na dúvida, seja realizado um DPIA, pois se trata de um instrumento útil para ajudar o controlador a cumprir a legislação sobre proteção de dados.

Nesse sentido, para auxiliar na definição das operações de tratamento suscetíveis ao DPIA, o WP29 indicou a adoção de nove critérios pelos controladores de dados: 17 (a) avaliação ou classificação, incluindo definição de perfis e previsão de aspectos relacionados com o desempenho profissional, a situação econômica, saúde, preferências ou interesses pessoais, fiabilidade ou comportamento, localização ou deslocações do titular dos dados; 18 (b) decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente de modo similar; (c) monitoramento sistemático; (d) dados sensíveis ou dados de natureza altamente pessoal; (e) dados tratados em grande escala; (f) estabelecimento de correspondências ou combinar conjuntos de dados; (g) dados relativos a titulares de dados vulneráveis; 19 (h) utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais; e (i) quando o próprio tratamento impede os titulares dos dados de exercerem um direito ou de utilizarem um serviço ou um contrato. 20

A aplicação desses critérios, por sua vez, segundo o WP29, deve ser pautada pela quantidade, isto é, quanto mais critérios forem contemplados por determinada operação de tratamento de dados, maior é a probabilidade de ela resultar em risco elevado para os direitos e as liberdades dos titulares, e, portanto, torna-se necessária a realização de um DPIA. 21

Assim, o WP29 aplicou tais critérios em alguns casos concretos, concluindo pela necessidade de DPIA para: (i) um hospital que faz o tratamento dos dados pessoais e de saúde dos seus pacientes – critérios: d, e e g; (ii) utilização de um sistema de câmeras para monitorar o comportamento dos motoristas de rodovias – critérios: c e h; (iii) uma empresa que monitora sistematicamente as atividades dos seus empregados, incluindo o monitoramento dos computadores, da atividade da internet, etc. – critérios: c e g; (iv) coleta de dados públicos das redes sociais para elaborar perfis – critérios: a, d, e e f; (v) uma instituição que crie uma base de dados a nível nacional de avaliação de crédito ou de fraude – critérios: a, b, d e i; (vi) conservação para fins de arquivos de dados pessoais sensíveis pseudonimizados relativos a titulares de dados vulneráveis que tenham participado em projeto de investigação ou ensaios clínicos – critérios: d, g e i.

Entretanto, o WP29 também trouxe exemplos concretos de tratamentos de dados que não justificariam a condução do DPIA: (i) dados de pacientes ou clientes de um determinado médico, profissional de saúde, hospital ou advogados – critérios: “d” e “g; (ii) revista que utilize uma lista de e-mails para enviar fascículos diários genéricos para os seus assinantes – critério: e; (iii) site de comércio eletrônico que exiba anúncios de peças de automóveis antigos, envolvendo a utilização limitada de perfis, com base nos itens visualizados ou comprados no próprio site – critério: a.

Não obstante o eventual atendimento de tais critérios, o controlador pode entender que suas operações de tratamento não são suscetíveis de implicar risco elevado aos titulares dos dados. Nesse caso, deverá justificar e documentar os motivos que o levaram a não realizar um DPIA. 22

A LGPD, por sua vez, apenas faz menção ao risco elevado quando dispõe sobre as competências da ANPD, a qual poderá editar regulamentos e procedimentos sobre o RIPD para as hipóteses em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais (art. 55-J, XIII, LGPD).

Assim, apesar da LGPD não prever em seu texto hipóteses de obrigatoriedade de elaboração de RIPD baseadas no risco elevado das...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548773/relatorio-de-impacto-a-protecao-de-dados-e-avaliacao-de-legitimo-interesse-data-protection-officer-encarregado-ed-2020