Compartilhe



Matheus Bicca

Matheus Bicca

7 minutos

Elaboração prévia de RIPD em legítimo interesse ou Alto risco

A Lei nº 13.709/2018, Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, assim como a legislação europeia no qual foi inspirada, o General Data Protection Regulation – GDPR (UE), estabeleceu novas regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e direitos aos titulares desses dados.. 

Dessa forma, a lei estabelece a necessidade da existência de alguns documentos para que seja demonstrada a conformidade do Agente de Tratamento com a norma vigente. Entre eles podemos encontrar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

Este artigo busca demonstrar que a necessidade de elaboração prévia à solicitação do RIPD ainda se encontra, em alguns casos, em obscuridade. Para isso iremos adentrar os seguintes tópicos: 1. O que é o Relatório de Impacto à Proteção de Dados Pessoais? 2. Quanto à identificação de Tratamento de Alto Risco. 3. O legítimo interesse como sinônimo de Alto risco.

O que é o Relatório de Impacto à Proteção de Dados Pessoais?

O RIPD, é definido no art. 5º, XXVII da LGPD como “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;”.

Ou seja, é um documento que deve ser elaborado pelo controlador (isto é, a entidade que toma as decisões relativas ao tratamento de dados pessoais) que descreve o processo de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais.

Sua principal finalidade é demonstrar as medidas, salvaguardas e mecanismos de mitigação de risco adotados para garantir a proteção dos dados pessoais, assegurando a conformidade do tratamento de dados com os princípios e regras previstos na LGPD.

O relatório deve incluir, no mínimo:

  1. A descrição dos tipos de dados coletados;
  2. A metodologia utilizada para a coleta e garantia da segurança da informação;
  3. A análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados;
  4. A avaliação do controlador sobre as medidas para garantir a proteção dos dados.

A elaboração do RIPD é uma ferramenta que ajuda as organizações a identificarem riscos no tratamento de dados e adotarem medidas preventivas, garantindo, assim, maior conformidade com a LGPD. Além disso, é uma maneira de demonstrar comprometimento e responsabilidade com a proteção dos dados pessoais dos titulares.

Sua necessidade de elaboração, será determinada pela Autoridade Nacional de Proteção de Dados (ANPD). Geralmente, é solicitado em situações de tratamento de dados que possam causar algum risco à privacidade dos titulares.

Quanto à identificação de Tratamento de Alto Risco

Nesse sentido, cabe destacar o disposto no artigo 10°, II, § 3º, da LGPD, que afirma a possibilidade de solicitação pela Autoridade Nacional de Proteção de Dados – ANPD, de RIPD em caso de tratamento de dados baseado em legítimo interesse. 

Bem como, o dever da Autoridade de dispor sobre esta necessidade para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na lei (art. 55-J, XIII, da Lei nº 13.709/2018).

Importante pontuar que, em abril de 2023, a ANPD divulgou em sua página web, Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais, onde destaca o entendimento da Autoridade quanto à necessidade de elaboração do documento.

Como resultado, no item 3 das perguntas e respostas, resta evidente que independente da hipótese de realização do processo de elaboração do RIPD, será primeiramente necessário se verificar a existência de Alto Risco na atividade de tratamento de dados, a saber:

3. Em qual contexto a ANPD recomenda que seja elaborado o RIPD?

Como regra geral, é recomendado elaborar o RIPD em todo contexto em que as operações de tratamento de dados pessoais possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados, conforme art. 5º, inciso XVII, e art. 55-J, inciso XIII, da LGPD, o que deverá ser avaliado pelo agente de tratamento.

Sendo assim, fica evidente a necessidade de se esclarecer o entendimento da ANPD quanto ao que vem a ser “Alto Risco”. Objetivando responder a essa questão, nas Perguntas e Respostas anteriormente insinuados a Autoridade esclarece que dever-se-a utilizar a definição encontrada no art. 4º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte da Resolução n° 2/2020.

De acordo, tratamento de alto risco será identificado quando o tratamento envolver ao menos um critério geral e um critério específico, da seguinte forma:

  • Critérios Gerais
  1. Tratamento em Larga Escala:
    1. “Quando o tratamento abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.”
  2. Tratamento que possa afetar significativamente interesses e direitos dos titulares:
    1. “Quando o tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.”
  • Critérios Específicos
  1. Vigilância ou controle de zonas acessíveis ao público;
  2. Tratamento automatizado;
  3. Tecnologias emergentes ou inovadoras;
  4. Dados sensíveis ou de crianças, adolescentes e idosos.

Como podemos observar, os critérios parecem de certa forma taxativos e abrangentes ao mesmo tempo, tendo em vista que a ampla gama de definições que pode se dar  aos tipos de critérios.

O legítimo interesse como sinônimo de Alto Risco

A dúvida quanto à questão da necessidade de elaboração de RIPD previamente à solicitação da ANPD, quando o tratamento se basear em legítimo interesse, surge, devido à publicação do Estudo Preliminar sobre legítimo interesse publicada pela autoridade e a faculdade de solicitação apresentada no art. 10, II, §3º da LGPD.

Conforme eximiamente apresentado pelo professor Matheus Sturari, o parágrafo 57 do estudo parece corroborar com a tese da necessidade da identificação do Alto risco:

57. Também deve constar do registro o Relatório de Impacto à Proteção de Dados (RIPD), caso o tratamento envolva alto risco. O RIPD pode incorporar o teste de balanceamento, contendo, ainda, análise mais ampla e detalhada sobre os riscos e as medidas de mitigação adotadas no caso. Ademais, é possível que a ANPD solicite ao controlador a elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), observados os segredos comercial e industrial, conforme previsto no art. 10, II, § 3º, da LGPD.

Ainda segundo Sturari, a obrigação de elaboração de RIPD em todo e qualquer tratamento que envolva legítimo interesse, levantaria duas suposições: “(i) a fundamentação na base legal do legítimo interesse se equipara à identificação de alto risco; ou (ii) a fundamentação na base legal do legítimo interesse é elemento que configura, por si só, a presença de alto risco”

Em que pese o acima descrito, ao próprio professor não parece a situação coerente, tendo em vista que a equiparação da base legal ao Alto Risco, banalizaria a razão de se definir o próprio legítimo interesse.

Dessa forma, pontua que no documento de Perguntas e Respostas a ANPD trata ainda de “situações específicas” nas quais poderá exigir a elaboração de RIPD: 

A LGPD lista, ainda, situações específicas em que o RIPD poderá ser exigido pela ANPD, como:

· nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, § 3º);

· quando o tratamento tiver como fundamento a hipótese de interesse legítimo (art. 10, § 3º);

· para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD (art. 32); e

· para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis (art. 38).

Resta claro então que a possibilidade de elaboração do documento encontra-se em diversos momentos. Contudo, é importante ficarmos atentos ainda ao que será considerado de obrigatoriedade de elaboração prévia ao pedido e o que apenas será exigido após a requisição da Autoridade.

Conclusão

Entender o momento de exigência de documentos complexos e de difícil elaboração como o Relatório de Impacto à Proteção de Dados Pessoais é de suma importância para o profissional que atuará na área, seja prestando consultorias jurídicas, seja elaborando documentos, ou seja na atuação de defesa de clientes controladores de dados.

O estudo contínuo do direito, de novas colocações do mundo empírico e ideal, é o que diferencia um bom profissional dos demais. 

A fim de se preparar para a constante evolução de temas, principalmente voltados para esse mundo de dados da sociedade da informação, o IDP oferece a Pós Graduação em Direito digital e Proteção de Dados, com profissionais que atuam em seu dia-a-dia com as questões apresentadas neste trabalho.

Referências

STURARI, MATHEUS. RIPD para Legítimo Interesse e Estudo Preliminar da ANPD. Disponível em: <https://www.linkedin.com/pulse/ripd-para-leg%25C3%25ADtimo-interesse-e-estudo-preliminar-da-anpd-sturari/?trackingId=mIqFHGFoNGi5VLB3waZ9TQ%3D%3D>. Acessado em: 23/10/2023.

BRASIL, Autoridade Nacional de Proteção de Dados Pessoais. Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais. Disponível em: <https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd>. Acessado em: 23/10/2023

BRASIL, Autoridade Nacional de Proteção de Dados Pessoais. Estudo Preliminar: Hipóteses Legais de Tratamento de Dados Pessoais Legítimo Interesse. Disponível em: <https://www.gov.br/participamaisbrasil/consulta-a-sociedade-de-estudo-preliminar-sobre-legitimo-interesse-1> Acessado em: 23/10/2023.

BRASIL. Lei Federal Nº 13.709/2018. Lei Geral de Proteção de Dados.

20 minutos de leitura

NOVA LEI DE LICITAÇÕES: TUDO O QUE VOCÊ PRECISA SABER

20 minutos de leitura
Bem-vindo ao mundo da contratação pública no Brasil, onde as regras do jogo estão prestes a mudar de maneira significat...
7 minutos de leitura

Como se caracteriza o abuso de poder nas Disputas Eleitorais?

7 minutos de leitura
O direito eleitoral brasileiro é um ramo jurídico de extrema relevância e complexidade, abrangendo normas e princíp...
6 minutos de leitura

O que é Liberdade Científica?

6 minutos de leitura
A liberdade científica é um dos pilares fundamentais para o progresso e bem-estar da sociedade moderna. Entender sua e...
19 minutos de leitura

TEORIA GERAL DOS RECURSOS NO DIREITO CIVIL

19 minutos de leitura
Origem e definição dos recursos no direito brasileiro Antes de entendermos os recursos no âmbito do direito, é necess...

Acompanhe de perto as novidades

Inscreva-se na nossa newsletter e receba todos os artigos em primeira mão!

Instagram Facebook Youtube Linkedin

Criado há mais de 20 anos, oferece ensino e pesquisa de excelência por meio de cursos de graduação, especialização, extensão, mestrado e doutorado.

Institucional

Sobre o IDP

Perguntas frequentes

IDP Todos os Cursos

Trabalhe conosco

Direito

Minicursos

E-book

Blog

Newsletter

Podcast

Redes Sociais

Linkedin Facebook Youtube Instagram

© 2023 | IDP | TODOS OS DIREITOS RESERVADOS