Por Eduardo Missau Ruviaro e Henrique Missau Ruviaro

O relatório de impacto à proteção de dados está nos Google Trends, as pesquisas mais realizadas no Google, o maior buscador de conteúdo do planeta, quando o tema é a Lei Geral de Proteção de Dados Pessoais no Brasil (LGPD). É que, quando finalmente vigente, a LGPD trouxe como predicado da Autoridade Nacional de Proteção de Dados (ANPD) a solicitação ao controlador de um relatório de impacto à proteção de dados pessoais (RIPD). Mas o que é esse relatório, afinal de contas? Para compreensão, então, de o que é o RIPD, antes importa que se discuta quem são a ANPD e o controlador.

Pois bem: a relação de descoberta, armazenamento e utilização de um dado pessoal, seja através da internet ou não, perpassa necessariamente duas figuras centrais: aquele que fornece os dados e aquele que recebe os dados fornecidos. O fornecedor de dados pessoais geralmente é o titular desses dados, a pessoa que busca um produto ou um serviço junto a terceiros e, para o fiel cumprimento dessa obrigação, fornece seus dados pessoais em cadastros, em formulários ou bancos de dados. Dessa forma, o titular pode ser eu, você ou qualquer outra pessoa que forneça seus dados no mercado de consumo ou que tenha seus dados, por alguma razão, armazenados em algum banco de dados. A LGPD traz essa figura, do titular, no inciso V de seu artigo 5º, ao dizer que se trata de toda “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”. Mas o titular de um dado fornece esse dado a quem? É aí que entra a figura do controlador. Para o inciso VI do artigo 5º da LGPD, controlador é toda “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Controlador, então, pode ser qualquer pessoa física ou jurídica (empresa) que detenha os dados pessoais dos titulares por algum motivo.

Então o ciclo de proteção de dados inicia mais ou menos, por exemplo, assim: uma pessoa é dona de um dado pessoal, chamada de titular. Esse dado pessoal é utilizado por outra pessoa, chamada de controlador, que toma a decisão sobre o tratamento desse dado. O tratamento, por sua vez, é realizado por outra pessoa, chamada de operador. E é entre a relação do controlador com o titular que surge a ANPD.

A ANPD é um órgão da administração pública federal, integrante da Presidência da República, a quem compete zelar pela proteção de dados pessoais, fiscalizar e aplicar sanções em caso de tratamento de dados realizados em desacordo com a LGPD e editar regulamentos e procedimentos de proteção de dados pessoais e privacidade, entre outros. Para atender essas diretrizes, especialmente proteger os dados pessoais, a LGPD diz, em seu artigo 38, que a “autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais”. Chegamos, assim, no RIDP.

Dessa forma, o que é o relatório de impacto à proteção de dados pessoais? O RIDP é um documento, que deve ser elaborado pelo controlador, que contém a descrição de todos os processos de tratamento de dados pessoais, pormenorizadamente, que possam gerar eventuais riscos à liberdades civis e aos direitos fundamentais, bem como as medidas que possam ser tomadas para contornar, salvaguardar e mitigar os riscos que possam acontecer. O RIDP é um relatório que descreve os processos de tratamento de dados pessoais que possam gerar riscos aos titulares. O importante é que esse documento pode ser solicitado pela ANPD a qualquer momento, então o controlador dos dados precisa, sempre, ter essa documentação pronta e à disposição.

Esses processos se resumem a identificar a necessidade de um RIDP, descrever como é feito esse tratamento de dados, realizar um processo de consulta sobre esse tratamento, avaliar a necessidade e a proporcionalidade do tratamento de dados, identificar e avaliar quais são os riscos ao titular dos dados pessoais, identificar quais medidas possam ser tomadas para mitigar os riscos e, por fim, a assinatura do RIDP. E, se requisitada pela ANPD a entrega do relatório e o controlador não cumprir com essa determinação, a consequência é a aplicação de alguma das sanções administrativas previstas no artigo 52 da LGPD, indo desde advertência até a imposição de multa no total de 50 milhões de reais por infração cometida.

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s