Em 6/4/23, a Autoridade Nacional de Proteção de Dados (ANPD) publicou em seu website uma série de Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais (RPID).
Tais Perguntas e Repostas têm como objetivo orientar e esclarecer a sociedade sobre o RIPD (em inglês, Data Processing Impact Assessment – DPIA), visto que a regulamentação sobre o tema ainda está pendente, sendo prevista para ocorrer no biênio 2023/2024, conforme Agenda Regulatória da ANPD. Assim, novos parâmetros e obrigações poderão ser estabelecidos pela ANPD acerca do RIPD no futuro.
Lembramos que, infelizmente, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) não traz muitas diretrizes sobre o tema, ao contrário do Regulamento Europeu sobre a Proteção de Dados (General Data Protection Regulation – GDPR), que estabelece critérios para definir quando há a necessidade de realização de um RIPD ou DPIA.
Com efeito, a LGPD se limita definir RIPD, como sendo aquela “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (artigo 5º, VII) e a estabelecer que a ANPD poderá solicitar ao controlador de dados pessoais o RPID, quando o tratamento de tais dados tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial, bem como poderá determinar ao controlador que elabore o RIPD, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial (regulamento este ainda pendente, como visto acima).
Por sua vez, no item 3 do artigo 35 do GDPR, é possível identificar um rol exemplificativo que dispõe sobre algumas atividades de tratamento que podem ensejar riscos elevados aos titulares de dados pessoais. No referido rol, constam as seguintes atividades: “(a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person; (b) processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; ou (c) a systematic monitoring of a publicly accessible area on a large scale.”
De acordo com os esclarecimentos da ANPD, é recomendado, de um modo geral, elaborar o RIPD quando as atividades de tratamento de dados pessoais possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do respectivo titular dos dados, em conformidade com os artigos conforme art. 5º, XVII, e 55-J, XIII, da LGPD.
Um dos esclarecimentos mais aguardados pela sociedade diz respeito ao conceito de “alto risco” para fins de elaboração do RIPD. Enquanto não for editado o esperado regulamento sobre o RIPD, a ANPD recomenda seja adotado como parâmetro o conceito de tratamento de alto risco definido no artigo 4º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2/2022.
De acordo com o referido dispositivo, pontua a ANPD, “o tratamento será de alto risco se verificada, no caso concreto, a presença de, ao menos, um critério geral (‘larga escala’ ou ‘afetar significativamente interesses e direitos fundamentais dos titulares’) e de um critério específico (‘uso de tecnologias emergentes ou inovadoras’, ‘vigilância ou controle de zonas acessíveis ao público’, ‘decisões tomadas unicamente com base em tratamento automatizado de dados pessoais’ ou ‘utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos’).”
A ANPD ressalta, contudo, que os critérios acima não devem ser considerados como exaustivos, sendo necessária uma avaliação de risco (risk assessment) por parte do controlador em situações diferentes das antes indicadas, levando sempre em consideração os possíveis impactos às liberdades e direitos fundamentais dos titulares dos dados e a probabilidade de sua ocorrência.
Seguiremos atentos à regulamentação sobre o tema por parte da ANPD.
A área de privacidade e proteção de dados do TAGD Advogados está à disposição para esclarecer eventuais dúvidas.
Colaborou com a elaboração deste texto Mariana Macedo.