Ao dispor sobre a proteção de dados pessoais na Lei Geral de Proteção de Dados(1) o legislador brasileiro, seguindo os caminhos traçados na Comunidade Européia pelo General Data Protection Regulation (GDPR), tratou da elaboração pelo controlador dos dados, de um Relatório de Impactos de Riscos de Proteção de Dados Pessoais, equivalente a Avaliação de Impacto sobre Proteção de Dados (sigla em português AIPD; em inglês DPIA que significa Data Protection Impact Assessment) existente na legislação alienígena.

Por aqui, no artigo 5, XVII, o legislador definiu o Relatório de Impactos de Riscos como “adocumentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco“.

A análise dessa ferramenta faz todo sentido quando conjugada com a teoria do “Privacy by Design”, de Ann Cavoulkian(2), que definiu um novo modelo de privacidade ao estabelecer que esta “não pode ser assegurada exclusivamente pelo cumprimento de marcos regulatórios, ao invés, a garantia de privacidade deve idealmente se tornar o modo padrão de operação de uma organização“, e a partir dessa percepção fica claro que o Relatório de Impactos de Riscos deve preceder, como estudo e como meio de evitar incidentes, ao efetivo tratamento de dados.

Apesar de ser uma prática recomendável para todo e qualquer tratamento de dados o Relatório de Impacto somente é obrigatório para o tratamento de dados sensíveis (de saúde, financeiros, infantis, por exemplo), de tratamentos de dados em massa, nas hipóteses de tratamentos realizados de modo automatizado, quando tratar dados de modo sistematizado referente a zonas de acesso público de grande circulação, em aplicações de novas tecnologias, dentre outros.

Registre-se, como bem lembram Nuno Saldanha(3) e Fabrício da Mota Alves(4), que o legislador europeu estabeleceu dever ao controlador dos dados pessoais, nas situações em que exista o Encarregado de Proteção de Dados (DPO), de valer-se do seu parecer opinativo sobre o relatório, mesma orientação adotada na nossa LGPD (Lei Geral de Proteção de Dados).

A implementação desse sistema de avaliação dos riscos e vulnerabilidades representa um benefício para as corporações que podem previamente a qualquer processo de tratamento de dados evitar a consumação dos riscos.

Em uma lógica calcada no “privacy by design” como modelo de privacidade de dados pessoais, que por definição não se satisfaz com a correção de defeitos de segurança, e que só permite pensar em ações para evitar incidentes de segurança, o pensamento defendido por Ann Cavoulkian parte da premissa de que ao invés de remediar, em segurança de dados pessoais os direitos pessoais devem ser protegidos por meio da prevenção para evitar o dano, ou seja, mesmo que a pessoa natural nada faça o sistema como um todo a protegerá.

A Lei brasileira, para instrumentalizar a fiscalização da implementação e adequação aos seus termos pelos seus destinatários, criou a Autoridade Nacional de Proteção de Dados (ANPD) e estabeleceu em seu artigo 10, §3º, que quando o tratamento de dados se fundamentar no legítimo interesse do controlador dos dados, a ANPD poderá solicitar o relatório de impactos em comento, para análise e recomendações.

Em outro ponto, no artigo 38, se estabeleceu que a ANPD poderá obrigar o controlador a entregar o Relatório de Impacto, inclusive de dados sensíveis.

Por tais motivos, a adoção do modelo “privacy by design” e a existência de situações que podem exigir a apresentação do Relatório de Impactos de Riscos mesmo não sendo obrigatório para todas as situações, é possível estabelecer uma primeira conclusão, conforme sustenta Fabrício da Mota Alves(5), de que a efetivação e implementação do Relatório de Impactos de Risco de Proteção de Dados, em qualquer cenário, apresenta-se como uma excelente ferramenta de efetivação de adequação à LGPD e às boas práticas em governança de dados, se realizado em consonância com a definição de um código de conduta.

A pergunta que constantemente se faz é como se desenvolve esse Relatório de Impactos de Riscos de Proteção de Dados? E a resposta está na própria LGPD, bem como no GDPR, que trazem em seu bojo determinações objetivas do que deve ser levado em consideração por ocasião deste levantamento.

Para melhor compreensão sobre as atividades a serem desempenhadas por ocasião do Relatório de Impactos, parece-nos interessante trazer para análise a sugestão do ICO (Information Commissioner’s Officer)6 – Autoridade Independente do Reino Unido para defender direitos de informação no interesse público, promovendo abertura por órgãos públicos e privacidade de dados para indivíduos – que ao tratar do Relatório de Impacto estabelece que este deve ser efetivado no início de qualquer projeto, antes dos atos de tratamento de dados, passando por sete etapas, dentre as quais destaca-se:

• Etapa 1: identificar a necessidade de elaboração do Relatório
• Etapa 2: descrever o processamento dos dados
• Etapa 3: considerar a necessidade de consulta a titulares de dados;
• Etapa 4: avaliar a necessidade e a proporcionalidade.
• Etapa 5: identificar e avaliar riscos
• Etapa 6: identificar medidas para mitigar os riscos
• Etapa 7: assinar e registre os resultados

Na nossa hipótese sob estudo, a etapa 1, será sempre considerada como resposta positiva, pois, defendemos que a sua realização apesar de não obrigatória em todas as situações representa um ganho para a empresa que estará compliant com a LGPD.

Recomenda-se, para o bom desenvolvimento das sete etapas, que o board  da corporação defina uma pessoa ou grupo de trabalho, com acesso a todas as áreas que executam tratamento de dados pessoais, para ser o elo com o responsável pelo elaboração do Relatório, o que permitirá retratar com fidelidade todas as etapas de tratamento de dados, bem como melhor compreensão das políticas de segurança e cláusulas contratuais vigentes e das vulnerabilidades sistêmicas que deverão ser atualizadas e corrigidas a partir do Relatório de Impactos de Riscos.

Dessa forma, concluídas as sete etapas com o levantamento de informações que possibilitem a conclusão do Relatório de Impactos de Riscos, o Encarregado de Proteção de Dados (DPO), analisará e emitirá seu parecer opinativo para o controlador de dados, que deverá considerar todas as medidas sugeridas visando a correção dos pontos críticos para afastamento dos possíveis riscos identificados.

Convém lembrar que a submissão do relatório à Autoridade Nacional (ANPD) poderá ser obrigatória em circunstâncias de alto risco, por exemplo, ou, ainda, em hipóteses que venham a ser acrescentadas por regramento a ser por ela definido, consoante tratado na MP 869/2018.

De todo modo, imperioso registrar que o Relatório de Impactos de Riscos não tem fim em si mesmo e não se trata de atividade estanque ao início de determinado projeto, mas, de exercício de constante de revisão dos riscos potenciais e possibilidades de sua mitigação, dada a constante evolução em cibersegurança, bem como em razão de mudanças do escopo de tratamento de dados, natureza, contexto ou finalidade.

Com essas considerações pode-se concluir que a construção de um modelo de segurança de proteção de dados baseado no “privacy by design” passa pela adoção do Relatório de Impactos de Riscos como um balizador das medidas corretivas a serem implementadas, dos riscos a serem afastados e da identificação antes do tratamento dos dados de como poderá fazê-lo, o que permitirá atender aos objetivos da teoria desenvolvida por Ann Cavoulkian “assegurando-se a privacidade à pessoa natural que tem o controle pessoal sobre a própria informação e, para as organizações, que ganham uma vantagem competitiva sustentável”.