Relatório de Impacto À Proteção de Dados Pessoais
Relatório de Impacto À Proteção de Dados Pessoais
Relatório de Impacto À Proteção de Dados Pessoais
à Proteção de Dados
Pessoais
Aspectos práticos relevantes à luz da LGPD
Índice
Estrutura do documento
Apresentação | p. 04
Introdução | p. 07
Relatório de Impacto à Proteção de Dados ou Data Privacy Impact
Assessment (DPIA)| p. 11
Conteúdo de um DPIA | p. 18
Etapas de elaboração do DPIA | p. 23
Tempo de guarda | p. 39
Governança corporativa | p. 42
Considerações finais | p. 49
Sobre os Autores | p. 53
Referências bibliográficas | p. 55
Esta obra está licenciada com uma Licença Creative Commons
Atribuição-NãoComercial-CompartilhaIgual 4.0 Internacional.
LEI GERAL DE PROTEÇÃO DE No dia 14 de agosto de 2018 foi sancionada no Brasil a Lei Geral de
Proteção de Dados (LGPD), inaugurando noviço cenário regulatório em
DADOS (LEI 13.709/2018)
nosso país ao instituir um microssistema regulatório acerca do tema,
tendo sido a Lei bastante influenciada pelo Regulamento Geral de
Proteção de Dados Europeu (do inglês GDPR – General Data Protection
Regulation).
Avaliação de Impacto
sobre a proteção de
dados pessoais
Relatório de Impacto à
Proteção de Dados
DA SUA OBRIGATORIEDADE O GDPR, em sua Seção 3, artigo 35, trata da realização de uma avaliação
de impacto sobre a proteção de dados, sempre que o tratamento dos
NO LGPD E GDPR
dados pessoais levar a um risco elevado para os direitos e liberdades
dos titulares dos dados, considerando as tecnologias usadas, natureza,
âmbito, contexto e finalidades do tratamento dos dados. Tal avaliação
deve ser feita sempre antes do início do tratamento dos dados.
"Tal avaliação deve ser
O item 3 do artigo 35 acima mencionado traz as hipóteses nas quais a
feita sempre antes do
realização da avaliação de impacto sobre a proteção de dados é
início do tratamento obrigatória, sendo elas, em suma:
dos dados".
(a) avaliações sistemáticas e completas de pessoas naturais, incluindo a
definição de perfis, mais conhecida como profiling, e sobre as quais
decisões que produzam efeitos jurídicos ou que afetem o titular dos
dados são tomadas;
(b) realização de operações de tratamento de dados sensíveis ou dados
relacionados com condenações penais e infrações, em grande escala; ou
c) monitoramento sistemático de áreas acessíveis ao especificamente, quando o tratamento dos dados pessoais
público em geral, em grande escala. for realizado para fins exclusivos de segurança pública;
defesa nacional; segurança do Estado; ou atividades de
Vale ressaltar que as autoridades de controle de cada investigação e repressão de infrações penais.
Estado-Membro, nos termos do artigo 35, item 4, devem
elaborar e tornar públicas suas listas dos tipos de O parágrafo 3º do artigo 4º faz referência ao citado inciso
operações que entendem estarem sujeitas à realização da III, prevendo que a autoridade nacional emitirá opiniões
avaliação de impacto. Ainda, nos termos do item 5, do técnicas ou recomendações referentes às exceções
artigo 35, as autoridades também podem elaborar listas previstas no inciso III e deverá solicitar aos responsáveis
de atividades que consideram prescindir da avaliação de relatórios de impacto à proteção de dados pessoais.
impacto.
A previsão acima parece contraditória, na medida em que,
Diferentemente do GDPR, que contém uma Seção se afastada a aplicação da LGPD, nos casos previstos no
específica para tratar da elaboração da avaliação de inciso III do artigo 4º, não haveria que se falar na
impacto, a LGPD traz disposições esparsas sobre a elaboração de relatórios de impacto, exceto se a
realização da avaliação de impacto, chamada na LGPD de elaboração do relatório de impacto servir exatamente para
relatório de impacto à proteção de dados pessoais. determinar se o tratamento dos dados pessoais realmente
se enquadra nas hipóteses previstas no inciso III.
A elaboração do relatório de impacto é citada, pela
primeira vez, no parágrafo 3º do artigo 4º, inciso III, A elaboração do relatório de impacto à proteção de dados
enquanto isso, o inciso III do artigo 4º dispõe sobre pessoais é citada também no parágrafo 3º do artigo 10 da
hipóteses de não aplicação da LGPD, mais LGPD, que trata de exemplos nos quais é permitido o
tratamento de dados com base no legítimo interesse do Assim, diferentemente do GDPR que traz hipóteses nas
controlador. O mencionado parágrafo 3º prevê que a quais a realização da avaliação de impacto é obrigatória,
autoridade nacional poderá solicitar ao controlador a sem prejuízo de listas a serem emitidas pelas autoridades
elaboração de relatório de impacto quando o tratamento do Estados-Membros, parece-nos que a elaboração do
dos dados tiver como base legal o legítimo interesse. relatório de impacto prevista na LGPD depende sempre de
solicitação da autoridade nacional e de regulamento a ser
O Capítulo IV da LGPD, que dispõe sobre o tratamento de emitido. Considerando que os artigos que previam a
dados pessoais pelo Poder Público também contém uma criação da autoridade nacional foram vetados, enquanto
previsão sobre a elaboração do relatório de impacto. O não criada a autoridade, resta prejudicada a interpretação
artigo 32 da LGPD, último artigo do Capítulo IV, prevê que sobre a necessidade de elaboração dos relatórios de
a autoridade nacional poderá solicitar a agentes do Poder impacto.
Público a publicação de relatórios de impacto à proteção
de dados pessoais. Considerando que a LGPD foi inspirada fortemente pelo
GDPR e contém princípios muito parecidos, enquanto não
O artigo 38 da LGPD é o último a tratar da elaboração do houver a criação da autoridade nacional e, portanto, a
relatório de impacto à proteção de dados pessoais, publicação de regulamentos ou orientações sobre a
prevendo que a autoridade nacional poderá determinar ao elaboração do relatório de impacto, sugerimos que os
controlador que elabore relatório de impacto à proteção controladores, sujeitos à LGPD, sigam as hipóteses de
de dados pessoais, inclusive de dados sensíveis, referente obrigatoriedade previstas no GPDR.
a suas operações de tratamento de dados, nos termos de
regulamento.
Relatório de Impacto à Proteção de Dados
(v) Tratamento de Dados em larga escala. Para se entender (viii) Soluções inovadoras ou aplicação de novas soluções
o conceito de larga escala, devemos levar em consideração tecnológicas. A utilização de uma nova tecnologia pode
o número de titulares envolvidos, o volume de dados desencadear a necessidade de realização de um Relatório
tratados, a duração da atividade de tratamento e a de Impacto à Proteção de Dados Pessoais, pois novas
dimensão geográfica em que a atividade de tratamento tecnologias demandam novas formas de coleta,
ocorre. armazenamento e utilização dos dados.
(vi) Combinação de dados com origens distintas. A (ix) Quando a atividade de tratamento impede o titular de
combinação de dados com base em duas ou mais exercer um direito ou utilizar um serviço. Incluem-se aqui
operações de tratamento distintas pode exceder a as atividades de tratamento destinadas a autorizar, alterar
finalidade e também da legitimidade do tratamento ou recusar o acesso dos titulares dos dados a um serviço
originário que fora estabelecido e, portanto, acabam por ou que estes celebrem um contrato. Um exemplo claro
gerar um risco maior. deste critério é quando um banco faz uma análise dos
seus clientes a partir de um “credit score” para decidir se
(vii) Dados relativos à titulares vulneráveis. Esse critério é lhes concede ou não um empréstimo.
Podemos concluir que a exigência de um DPIA é
proporcional à observância dos critérios acima. Quantos
mais critérios forem satisfeitos, maior é a probabilidade da
necessidade de se elaborar um processo que vise mitigar
riscos às liberdades civis e aos direitos fundamentais.
7. Implantação das recomendações, especificando ações a De forma prática, o conteúdo do documento envolverá
serem tomadas e alocamentos dos recursos necessários respostas a questionários e documentação de processos
para sua execução e dos responsáveis por executá-las. de diversas áreas.
3. Risk Management
Gerencimento dos riscos
A partir dessa visão macro, podemos adotar uma levantamento a natureza, o âmbito, o contexto e as
estrutura subdividindo as etapas de um Relatório de finalidades do tratamento.
Impacto em 6 fases, a saber:
Os dados pessoais atingidos, os destinatários, as bases
Fase 1. Detalhamento do processamento. legais bem como o prazo de retenção devem ser
Fase 2. Análise do processamento tendo em conta igualmente detalhadas. Importante observar que essa fase
possíveis relações com terceiros e respectivo contato para implica no mapeamento/inventário de todos os dados
colaboração na elaboração das fases seguintes. envolvidos, bem como sua classificação e fluxos de
Fase 3. Identificação de controles. processamento, para citar apenas alguns pontos-chave.
Fase 4. Listagem e análise de eventos e ameaças para o Em condições ideais, tais processos já foram devidamente
titular de dados quanto ao processamento dos dados implementados.
pessoais.
Fase 5. Produção de relatório com sumário de análise, Resta evidente, portanto, que aos considerarmos o
controles existentes e mitigação de risco, bem como processo de implementação de compliance em LGPD é no
propostas de medidas técnicas e organizacionais mínimo incorreto afirmar que o primeiro passo para dar
apropriadas para mitigar o risco do titular de dados, caso início àquele seria a elaboração de um RIPD/DPIA.
estas não estejam em prática.
Fase 6. Envio para aprovação ou recusa ao DPO. Tanto do ponto de vista metodológico quanto do ponto de
vista prático, o relatório, observado no contexto de uma
A Fase 1 visa detalhar as atividades de processamento adequação da empresa à lei a partir do zero, apresenta-se
envolvidas e que são objeto do relatório. Essa descrição como um output que tem por entrada diversos processos
sistemática das operações deve observar em seu que já devem estar implementados e on-going dentro da
organização. Seria como “começar pelo fim”, o que pode ao indivíduo seus direitos previstos, já existem e como elas
mostrar-se algo contraproducente e ineficaz. Numa se relacionam ao processamento objeto do relatório.
abordagem mais otimista, prestar-se-ia como um A necessidade e a proporcionalidade do processamento
instrumento de avaliação de maturidade organizacional/de são verificadas, através da avaliação de medidas existentes
processos tão-somente. Entretanto, existem ferramentas e para este fim, bem como as outras relativas à preservação
metodologias específicas para este fim, tais como a dos demais direitos alcançados pela lei.
realização de uma pré-auditoria ou um gap assessment. O
relatório não se prestaria como o remédio mais indicado, Novamente aqui faz-se necessário de que existam tais
aprioristicamente. medidas para que, se necessário, sejam estas adequadas
ao processamento analisado, bem como modificações a
A Fase 2 implica uma análise às relações com terceiros, estas medidas sejam feitas, caso trate-se de uma forma
nomeadamente joint controllers ou processadores. No nova de processamento anteriormente não prevista. Tal
GDPR, a colaboração para DPIAs só tem força de Lei para observação reforça a tese de que o RIPD não se presta a
os processadores, pelo que se sugere que num contrato rigor como ferramenta de conformidade sem que sejam
junto a joint controllers se inclua uma cláusula para permitir atendidas premissas básicas.
essa colaboração.
A Fase 4 consiste em realizar o processo de avaliação de
A Fase 3 concentra-se em identificar os controles que já riscos (risk assessment) a partir do ponto de vista do titular
existem. Estes controles são tanto de ordem legal como de dos direitos. Identificar, analisar e avaliar riscos. Uma
tratamento de riscos. Entram nessa categoria, portanto, metodologia sugerida para garantir a sistematização do
todas as medidas legais, técnicas, físicas e organizacionais, modelo de gestão de risco é a ISO 31000, trazendo uma
que consideradas a partir do ponto de vista de assegurar padronização que confere certeza e, ao mesmo tempo,
transmite, em caso de investigação, uma forma de A Fase 5 tem por objetivo documentar as medidas
demonstração de compreensão e responsabilização da adotadas para que os riscos identificados, analisados e
empresa em relação à proteção dos dados baseada numa avaliados sejam devidamente tratados. Este tratamento
norma adotada largamente no mercado. pode acarretar em evitar, remover, alterar, compartilhar
ou reter os riscos levantados.
O objetivo da identificação é relacionar as fontes de risco,
áreas/direitos impactados, eventos e suas causas, bem Nesta fase é gerado o relatório final que resume toda a
como potenciais consequências. Todos os eventos e análise realizada, os controles existentes, os riscos e
ameaças relacionadas ao processamento em análise ameaças aos titulares, endereçando as ações a serem
devem ser levantados e documentados. Estes eventos tomadas pela organização para cada risco, ameaça e falha
podem ter origem interna ou externa, causa humana ou identificada. Durante todo o processo a figura do
tecnológica, etc. Assim, a origem, natureza, particularidade, Encarregado, como 2ª linha de defesa, deve ser consultado
gravidade dos riscos são elencados. para dirimir dúvidas e receber dele eventuais
sugestões/críticas/orientações.
Seguindo o modelo proposto, os próximos passos
consistem em analisar e avaliar os riscos identificados. Ao Uma vez documentado adequadamente, o relatório
tomar em conta os riscos aos direitos identificados no deverá ser submetido aos principais gerentes das áreas
processamento, faz-se necessário, considerando os afetadas da organização, para que os mesmos tomem as
potenciais impactos nos direitos e liberdades dos titulares ações necessárias e validem o documento.
e ameaças aos mesmos, estimar a probabilidade e Apesar da LGPD, ao contrário do GDPR, não especificar as
gravidade de cada um dos riscos. situações onde se faz mandatório RIPD, o legislador previu
que para os casos onde a base legal para o tratamento for o § 3º A autoridade nacional poderá solicitar ao
interesse legítimo, observe-se o seguinte: controlador relatório de impacto à proteção de
dados pessoais, quando o tratamento tiver como
Art. 10. Para os fins desta Lei, considera-se: O legítimo
fundamento seu interesse legítimo, observados
interesse do controlador somente poderá
os segredos comercial e industrial.
fundamentar tratamento de dados pessoais para
finalidades legítimas, consideradas a partir de A Fase 6 consiste no envio do relatório ao DPO, para sua
situações concretas, que incluem, mas não se limitam análise. O DPO fará uma análise ao DPIA e concluirá se
a: está de acordo com o que é exigido ou se, por outro lado,
I - apoio e promoção de atividades do controlador; e há riscos que não foram corretamente mitigados ou riscos
II - proteção, em relação ao titular, do que não constam do relatório. Não havendo nada
exercícioexercício regular de seus direitos ou legalmente que obrigue o DPO a fundamentar a sua
prestação de serviços que o beneficiem, respeitadas as decisão, é boa prática que a recusa do DPO tem de ser
legítimas expectativas dele e os direitos e liberdades fundamentada.
fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo A questão mais pertinente, nestes casos, é quando o DPO
interesse do controlador, somente os dados pessoais rejeita o DPIA. Hipoteticamente, podemos olhar para uma
estritamente necessários para a finalidade pretendida empresa cujo DPO rejeitou um DPIA. A rejeição do DPO de
poderão ser tratados. um DPIA não é vinculativa mas deve ser tida em alta
§ 2º O controlador deverá adotar medidas para consideração, dada a especificidade do cargo. A direção
garantir a transparência do tratamento de dados da empresa, após analisar o DPIA, a opinião do DPO e os
baseado em seu legítimo interesse. fundamentos da recusa, pode decidir avançar com o
processamento de dados, mesmo com a rejeição do DPIA gerado em qualquer outra situação onde haja riscos aos
pelo DPO. direitos dos titulares. No âmbito do GDPR porém, tem sido
considerado unanimemente a necessidade de uma
No entanto, terá de fundamentar a sua decisão, visto que, avaliação que fundamente o interesse legítimo, o LIA
em caso de investigação, ter-se-á de analisar se o risco (Legitimate Interests Assessment).
corrido pela empresa era razoável ou negligente,
colocando propositadamente em causa os direitos dos Apesar de tratar-se de uma base legal mais flexível, o
titulares de dados em seu benefício. interesse legítimo não pode ser assumido como o mais
apropriado por mera conveniência. O propósito do LIA é
Outra questão coloca-se no caso do DPO aprovar o DPIA evitar que o. controlador utilize o legítimo interesse de
com reservas. Por exemplo, considera que o risco está forma arbitrária e não fundamentada, sem ter em
convenientemente mitigado mas que a empresa pode ponderação os interesses dos titulares de dados.
mitigar esse risco consideravelmente com diversas e
determinadas medidas técnicas e/ou organizacionais. Não A responsabilidade adicional ao agente de tratamento
sendo a forma mais comum de responder a um DPIA, não decorrente da utilização dessa base legal é
se vislumbra qualquer razão legal para que um DPO inerente,portanto conduzir uma avaliação como um LIA
cumpra a sua função de monitorização de forma pode ajudar bastante a decidir pelo legítimo interesse. Um
preemptiva, assinalando soluções que o DPIA não toma LIA basicamente coloca de forma estruturada e
em consideração. documentada o teste em três partes que se recomenda ao
avaliar a adequação do interesse legítimo, a saber:
A propósito da menção feita anteriormente ao artigo 10, §
3º, a mesma é específica a um relatório idêntico ao ser Propósito | Necessidade | Balanceamento
Inicialmente, considera-se o propósito do processamento, Por fim, considera-se o impacto nos interesses, direitos e
o que se espera obter através dele: liberdades dos titulares da utilização desta base legal e são
identificadas formas de mitigação do risco a esses direitos
Quem se beneficia do processamento e de que forma? e liberdades.
Existem benefícios públicos advindos e de que forma eles Do ponto de vista prático, quando olhamos para o GDPR,
se dariam? um DPIA não é substituído por um LIA, mas este auxilia
bastante para checar a viabilidade de se utilizar como base
O quão importantes seriam esses benefícios? Etc. legal o interesse legítimo, servindo de base ao mesmo
quando estão em causa processamentos que colocam
Superado isso, avalia-se a real necessidade do direitos dos titulares de dados em risco de forma
processamento baseado em interesse legítimo: agravada. Rejeitado um LIA, não se vislumbra como se
poderá avançar com o interesse legítimo como base legal.
Esse processamento de fato auxilia no propósito
almejado? Por último, deve-se ter em consideração que o LIA terá de
ser aprovado ou rejeitado pelo DPO, com as mesmas
Ele é indispensável? nuances referidas supra em relação aos DPIAs.
Não haveria outra base legal possível de se utilizar para A propósito da diferença suscitada pelo LIA entre a lei
alcançar o mesmo propósito? brasileira e a europeia, observa-se que no GDPR o DPIA é
mandatório quando o tratamento de dados for “suscetível
Há proporcionalidade entre o propósito e a necessidade? de implicar um elevado risco para os direitos e liberdades
das pessoas singulares” (GDPR, artigo 35.º, n.º 1). Isto posto, partindo do pressuposto de que “quem pode o
mais, pode o menos”, segue à guisa de recomendação
Por outro lado, na LGPD, a abrangência não encontra para a futura e tão necessária autoridade nacional que
premissas, ou seja, potencialmente todas as atividades de sejam adotados os mesmos critérios do GDPR quanto a
processamento, independente do grau de risco que necessidade de um RIPD.
apresentem aos direitos dos titulares, podem vir a ser
demandadas pela futura autoridade de serem passíveis de Além de estarmos assim mais alinhados com a legislação
RIPD por parte dos agentes de tratamento. que tão grande inspiração deu à LGPD, estaríamos
também dando uma maior possibilidade à ANPD em tratar
Ora, é fato que nossa realidade empresarial não tem ainda os casos mais críticos como devem ser tratados:
como foco o compliance, e dentro do universo da prioritariamente. Ademais, por tratar-se de um órgão
governança corporativa, a gestão de risco é antes uma recém criado, e como qualquer outro, com recursos
exceção do que uma regra entre as empresas nacionais. limitados, e ainda por cima num país onde não temos uma
cultura como a europeia (que já dispõe de regulação na
Com o advento da LGPD e com ela a demanda legal área desde a década de 90, com a Diretiva que foi
quanto a existência deste mesmo compliance através de substituída pelo GDPR), existe uma tendência que
controles baseados em boas práticas, é seguro dizer que tenhamos uma quantidade muito grande de demandas a
no futuro tenhamos uma mudança significativa na cultura autoridade, em especial nos momentos iniciais de vigência
organizacional pátria. Porém, talvez não tenha sido a da lei.
melhor solução deixar de modo tão “aberto” a possível
necessidade de termos RIPD para todas e quaisquer Por tratar-se de uma abordagem nova no país de garantia
situações. aos direitos relativos à privacidade e proteção de dados
pessoais, extremamente bem vinda, corre-se no entanto o
risco de que, não atendendo a demanda supracitada, a
ANPD venha a perder de alguma forma credibilidade e,
dessa forma, tornar-se “mais uma agência”. E isto podendo
vir a ocorrer justamente quando conquistamos a duras
penas um patamar elevado de segurança jurídica com o
advento da LGPD seria lamentável.
Remi Yun
Governança corporativa
Importância do DPIA
Diante do contexto acima, é de suma importância O que corrobora com o dispositivo do art. 41, § 2º, inciso III
identificar um responsável pelo desenvolvimento do da LGPD que dispõem sobre as atividades do
Relatório de Impacto à Proteção de Dados Pessoais, encarregado, sendo uma delas o aspecto de orientar os
dentro da estrutura das três linhas de defesas que deve funcionários e os contratados da entidade a respeito das
seguir embasado numa cultura de riscos devidamente práticas a serem tomadas em relação à proteção de dados
integrada a governança corporativas. pessoais.
Neste caso, não se vislumbra outra opção além da Conclui-se que as áreas e/ou pessoas pertencentes a
primeira linha de defesa como sendo o responsável em primeira linha de defesa tem a obrigação e
desenvolver o relatório, ou seja, os próprios gestores das responsabilidade de identificar e minimizar os riscos de
unidades, ora responsáveis diretos dos processos, proteção de dados de um projeto, tendo o dever de
consequentemente pelos riscos inerentes a eles, consultar seu encarregado ou DPO para avaliar o nível de
assegurando assim, a efetividade das ações adotadas risco mapeado e documentá-lo como parte do processo.
quanto a cultura do Privacy by Design (PbD).
Há a possibilidade de terceirizar o relatório, mas
Tal entendimento resta fundamentado na recomendação independentemente dessa delegação, a responsabilidade
permanece para quem terceirizou. Caso haja uma
operação de processamento relevante, o processador
poderá elaborar o relatório quando solicitado.
in/raphael-dutra-da-costa-
in/núria-baxauli-1b0698107 in/remiyun
campos-278362138
Referências bibliográficas
[1] CLARKE, Roger. Privacy Impact Assessment: Its Origins and Development. Computer Law &
Security Review 25, 2 (April 2009) 123-135. Elsevier, 2009. Disponível em
http://www.rogerclarke.com/DV/PIAHist-08.html. Acesso em 26/11/2018.
[2] “In order to enhance compliance with this Regulation where processing operations are likely to
result in a high risk to the rights and freedoms of natural persons, the controller should be
responsible for the carrying-out of a data protection impact assessment to evaluate, in particular,
the origin, nature, particularity and severity of that risk.” (EU Regulation 657/2016 - GDPR).
[3] “That impact assessment should include, in particular, the measures, safeguards and
mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and
demonstrating compliance with this Regulation.” (EU Regulation 657/2016 - GDPR).