Nos dias 21, 23 e 25 de junho, a Autoridade Nacional de Proteção de Dados (ANPD) organizou três reuniões técnicas para discutir o Relatório de Impacto à Proteção de Dados Pessoais (RIPDP). As reuniões se inserem na fase 1 da agenda regulatória do órgão, a qual prevê a regulamentação do instrumento no formato de Resolução para os casos em que o tratamento de dados representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.^[1] Como parte da regulamentação da matéria, ainda serão realizadas consulta e audiência pública sobre a minuta de regulamentação a ser produzida pela ANPD.

A Lei Geral de Proteção de Dados Pessoais (LGPD) não traz muitas diretrizes sobre o tema, de forma que a ANPD desempenhará um papel fundamental na procedimentalização do referido documento. Ao contrário da LGPD, a técnica legislativa empregada no Regulamento Europeu sobre a Proteção de Dados (RGPD), optou por estabelecer critérios para definir quando há a necessidade de realização de uma Avaliação de Impacto em Proteção de Dados (AIPD) – de modo que é possível identificar, no item 3 do art.35 do RGPD um rol exemplificativo que dispõe sobre algumas atividades de tratamento que podem ensejar riscos elevados aos titulares^[2].
Os três encontros técnicos da ANPD contaram com a participação de especialistas selecionados pela Autoridade dentre mais de 500 inscritos,^[3] sendo a grande maioria dos expositores profissionais atuantes no setor privado. Essa seleção, inclusive, provocou a manifestação da sociedade civil organizada, que pontuou à ANPD que tal ausência de diversidade setorial na composição das reuniões técnicas se deu em descompasso à tônica de construção multissetorial^[4] da LGPD e de suas previsões sobre a composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD).^[5]

Durante o primeiro dia de reunião técnica, as contribuições dos expositores, em geral, convergiram em direção à interpretação de que a LGPD propõe uma abordagem baseada em riscos. Nesse sentido, o Relatório de Impacto à Proteção de Dados Pessoais surge enquanto instrumento importante e necessário para informar processos de tomada de decisão que visem, justamente, a mitigação de riscos a liberdades civis e direitos fundamentais dos titulares de dados decorrentes do tratamento de seus dados pessoais.

Em outras palavras, relatórios de impacto são ferramentas intimamente relacionadas à avaliação e gerenciamento de riscos. Isso significa que, desde o princípio das discussões sobre o assunto, existe um debate central quanto à determinação do que se consideraria como processo de “alto risco” – e, consequentemente, em quais casos, conforme posição unânime entre os expositores das reuniões técnicas e conforme enunciado na agenda regulatória da ANPD, haveria obrigatoriedade na produção do RIPDP.

A LGPD, por sua vez, não se debruçou sobre definições de risco^[6] e suas gradações, tampouco estabeleceu possíveis hipóteses em que se configuraria um processo de alto risco, de modo que esse ponto de partida norteou o início das reuniões sediadas pela Autoridade.

Sobre o assunto, foi destacado pelos debatedores um raciocínio importante: o porte da organização que realiza o tratamento de dados não deve ser utilizado como parâmetro para a definição do alto risco envolvido e da obrigatoriedade na elaboração do Relatório. Isso pois o critério central a ser observado para a definição do dever de elaboração é a natureza do processo de tratamento de dados em questão.

Ainda no debate sobre a compreensão do que poderia ou não ser classificado como processo de tratamento de dados pessoais de alto risco, foram feitas considerações acerca da discricionariedade da Autoridade Nacional de Proteção de Dados para a elaboração de blacklists e whitelists, assim como ocorre na União Europeia, com seu Regulamento Geral sobre Proteção de Dados.^[7] No contexto europeu, essas listas, não exaustivas e elaboradas pelas autoridades nacionais dos países sujeitos ao RGPD, são submetidas ao European Data Protection Board (EDPB) pelo mecanismo de consistência, com intuito de assegurar uma uniformidade em todo o bloco econômico da União Europeia, garantindo a aplicação coerente dos instrumentos de proteção de dados em todo o território abrangido pelo RGPD.^[8]

As blacklists consistem em enumerações de processos que implicam no requerimento de elaboração de RIPDP, sendo as whitelists as suas antípodas. Significa dizer que nas whitelists constam processos de tratamento de dados pessoais que não demandam a elaboração de relatório de impacto, isto é, que não representam risco elevado a liberdades civis e direitos fundamentais.

Apesar da vantagem que essas listas trazem no que diz respeito à segurança jurídica, durante as Reuniões Técnicas foi destacado que o estabelecimento de róis taxativos, no contexto brasileiro, para as situações em que a elaboração do RIPDP é exigida ou dispensável poderia prejudicar a aplicação ótima da Lei Geral de Proteção de Dados, tendo em vista que, apesar de a LGPD não versar somente sobre tratamento de dados no meio digital, as rápidas e constantes transformações tecnológicas poderiam tornar tanto as whitelists quanto as blacklists brevemente obsoletas.

Questões centrais debatidas nas reuniões

Qual metodologia para fins de cognição, avaliação e gerenciamento de riscos?

Adiante, foi endereçada nas reuniões técnicas outra questão essencial em relação ao RIPDP sobre a qual a LGPD é silente: qual seria a metodologia mais adequada para a elaboração do referido relatório.

Quando abordado nas sessões de discussão, esse tema provocou divergência entre os profissionais debatedores. Apesar de concordarem com a necessidade de que algum parâmetro nessa direção seja estabelecido pela ANPD, de forma a limitar o grau de subjetividade dos procedimentos adotados pelos controladores de dados, não houve consenso quanto a qual seria a melhor opção metodológica para os RIPDPs brasileiros – se seriam mais adequadamente elaborados a partir de um checklist ou a partir de um template.

Todavia, é importante pontuar que as discussões acerca de metodologias mais adequadas devem superar os debates sobre esses aspectos mais formais de elaboração do referido documento, tendo em vista que a escolha metodológica não se limita à dualidade entre checklist e template, mas orientará a lógica e a ótica por detrás da condução do RIPDP. Nesse sentido, a reunião contou com contribuições sobre diferentes metodologias para a elaboração do relatório de impacto.

Merecem destaque a abordagem de custo-benefício e a abordagem baseada em direitos. A primeira envolve uma análise sobre os riscos e benefícios da implementação de determinada atividade de tratamento, sendo frequentemente utilizada em políticas públicas relacionadas a governo digital. A abordagem baseada em direitos, por sua vez, surge a partir das críticas endereçadas à abordagem baseada em risco, tendo em vista que esta última não tem sido capaz de garantir uma efetiva proteção aos direitos dos titulares.^[9]

A partir da definição adotada na LGPD, pode-se inferir que, ao importar a concepção de relatório de impacto à proteção de dados do Regulamento Geral da Proteção de Dados, a metodologia recomendada para a elaboração do referido relatório, no instrumento brasileiro, é, assim como na Europa, aquela baseada em risco.

Essa acepção, contudo, não altera o fato de que a ANPD terá autonomia para definir a sua escolha metodológica para elaboração do relatório de impacto. Significa dizer que a adoção tácita, pela LGPD, de uma metodologia baseada em risco não vincula a escolha da Autoridade Nacional, de forma que ela poderá optar pela metodologia que melhor atender aos interesses da realidade brasileira^[10].

RIPDP e LIA: dois documentos com objetivos distintos?

Merece destaque, ainda, importante distinção pontuada nas reuniões técnicas entre o relatório de impacto à proteção de dados pessoais e o teste – ou avaliação – de legítimo interesse. Tratam-se, na verdade, de instrumentos distintos, inclusive no que diz respeito às suas finalidades e aplicabilidades, sendo que a necessidade de um não implica a necessidade ou desnecessidade do outro.

A previsão legal do legítimo interesse foi fruto de um intenso debate e disputa travados ao longo dos trabalhos preparatórios que antecederam a promulgação da LGPD. Ao final, foi estabelecido de forma igualitária às demais bases legais autorizativas do tratamento de dados pessoais, em especial o consentimento.^[11] Nesse sentido, o teste de legítimo interesse tem o intuito de analisar a possibilidade de utilização dessa base legal para uma atividade de tratamento de dados, conforme o artigo 10 da LGPD, de modo a buscar um equilíbrio entre os interesses legítimos do controlador, ou de terceiros, e os interesses e direitos fundamentais do titular de dados pessoais.^[12]

O relatório de impacto, por sua vez, como já pontuado, é uma documentação do controlador que deve ser elaborada quando houver alto risco aos direitos fundamentais e liberdades civis do titular de dados em determinado processo ou processos de tratamento de dados pessoais, como definido no art. 5º, inciso XVII da lei.

Não havendo identidade entre os instrumentos, existem casos nos quais será necessário um teste de legítimo interesse, por ser tal base legal a utilizada, mas não haverá alto risco para direitos fundamentais e liberdades civis do titular de dados, de modo que não será necessário relatório de impacto. Ao mesmo tempo, o inverso é verdadeiro: existem atividades de tratamento que apresentam alto risco mas não se utilizam da base legal de legítimo interesse, caso no qual será exigida a avaliação contextual do tratamento de dados para determinação de qual instrumento – ou quais instrumentos – será cabível.

Nesse sentido, reitera-se que, apesar da previsão contida na LGPD, em seu art. 10, § 3º, sobre a possibilidade de a ANPD solicitar RIPD quando a base legal utilizada for legítimo interesse, a obrigatoriedade de sua elaboração não advém das bases legais autorizativas de tratamento dos dados pessoais, mas sim do alto risco decorrente da atividade sob análise.

Os RIPDPs devem ser publicados ou ter versões públicas?

Ademais, as reuniões técnicas se dedicaram também à transparência e publicidade dos relatórios de impacto nos setores público e privado, tendo sido feitas aos expositores perguntas como: a publicação de um RIPD pelo poder público deve ser feita em sua íntegra? Em caso negativo, quais são os elementos que devem ser publicados e quais devem ser retirados da versão pública? Ainda, a Autoridade questionou os debatedores sobre como o segredo comercial ou industrial seria ou não um fator limitante do conteúdo publicável de um RIPDP.

Cabe neste ponto explicar que não há na LGPD nenhuma previsão expressa de obrigação de publicização do Relatório de Impacto, cabendo à ANPD regulamentar esse tópico. No entanto, uma interpretação sistemática da lei e do ordenamento jurídico como um todo, que parta da definição de RIPDP – documento que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais do titular, bem como quais são as medidas, salvaguardas e mecanismos de mitigação desses riscos -, e leve em conta princípios e diretrizes gerais como a autodeterminação informativa, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais, o princípio da transparência nas atividades de tratamento de dados pessoais e o princípio do livre acesso ao titular, pode-se supor que a publicização do RIPDP seria obrigatória ou, ao menos, uma boa prática em termos de prestação de contas (artigo 6º, X).

As normas de regulamentação de proteção de dados ao redor do mundo cada vez mais têm como norte processos de gerenciamento dos riscos das atividades de tratamento de dados, centrando-se em mecanismos de identificação e mitigação dos riscos e no princípio de accountability como medidas de democratização do processo de regulação das tecnologias. Com a evolução de novas tecnologias de informação, ampliam-se os efeitos adversos das atividades de tratamento de dados pessoais ao mesmo tempo em que se cria uma maior assimetria informacional sobre o funcionamento de tais tecnologias. A prestação de contas, na forma da publicização do RIPD, permite a participação pública na definição de que riscos oriundos do tratamento de dados são toleráveis.^[13]

É dizer, esse raciocínio leva precipuamente em consideração que o RIPDP seria um instrumento com o potencial de permitir que os titulares de dados exerçam seus direitos em face do controlador quando suas informações sejam submetidas a operações de alto risco.

Voltando-se às discussões travadas nas reuniões técnicas da ANPD sobre transparência e publicização do RIPDP, especificamente em relação ao setor público, os expositores ressaltaram a necessidade de maior transparência em comparação com o setor privado. Na visão de alguns deles, todavia, seria ainda discutível se haveria um dever dos entes da administração pública de publicação de suas avaliações de impacto.

No caso dos tratamentos de dados de alto risco realizados pelo setor público, foi também levantado nas reuniões a imposição de observância ao diálogo com a Lei de Acesso à Informação. Outro ingrediente é o próprio princípio constitucional da publicidade da Administração Pública. Ademais, foi citado o interessante exemplo da Holanda, onde o governo realizou a publicação de RIPDPs relativos ao Google Workspace e programas da Microsoft que utiliza.^[14]

No caso de relatórios de impacto produzidos pelo setor privado, os expositores – majoritariamente profissionais atuantes nesse mesmo setor – apontaram que não haveria uma obrigatoriedade de publicação. Pelo contrário, mencionaram que essa seria prática incomum ou até mesmo desconhecida no exterior, havendo a possibilidade, porém, de a ANPD passar a considerar a publicação de RIPDP como uma boa prática.

A despeito dessas diferenciações, adiante no debate, os expositores concordaram que, independentemente de se tratar de relatório de impacto produzido pelo setor público ou privado, deve haver respeito aos segredos comerciais e industriais em uma eventual publicação dessa documentação, cabendo inclusive à ANPD, pelo artigo 55-J da LGPD, zelar por essa observância.

Pontuaram, porém, que, no caso do setor público, a preocupação quanto aos segredos comerciais de fornecedores seria menor, considerando que a Lei de Licitações já estabelece um dever de publicidade em relação às contratações públicas. Além dela, a Lei de Acesso à Informação traz em seu artigo 3º, incisos I e II, que, em se tratando do setor público, a publicidade de documentos é preceito geral e o sigilo é exceção, cabendo inclusive a divulgação de forma ativa de informações de interesse público, independente, portanto, de solicitações.

A importância de garantir a preservação de segredos comerciais e industriais não precisa implicar no completo sigilo dos RIPDPs, notadamente daqueles elaborados no setor privado. Uma proposta interessante para a conciliação desses dois elementos apresentada nas sessões da ANPD foi a possibilidade de a Autoridade determinar aos controladores o dever de elaboração de diferentes versões de relatório – uma completa, para o regulador, e outra para o público, que não contenha informações que possam ofender os princípios de sigilo comercial e industrial -, da mesma forma que disposto no artigo 51 do Regimento Interno do CADE.^[15]

Ainda, houve discussão entre os expositores acerca do conteúdo a ser publicado no RIPDP, sendo mencionado o artigo 38 da LGPD como possível diretriz. Tal disposição traz o conteúdo mínimo do relatório, sendo esse: “a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados”. Os debates convergiram para sustentar que nenhum desses elementos mínimos traz qualquer risco aos segredos comerciais e industriais, e a transparência deles já estaria contemplada, ao menos em parte, por outros dispositivos da LGPD que versam sobre os direitos dos titulares, como os artigos 9º e 18.

Por fim, para que a publicização do relatório de impacto cumpra a sua finalidade de garantir a transparência, foi enfatizado nas sessões técnicas que a linguagem do documento deve ser compreensível para o titular dos dados, sem ser excessivamente técnica ou jurídica.

Em um balanço geral das reuniões da ANPD, pode-se dizer que os discursos demonstraram preocupação em garantir que a disciplina da proteção de dados pessoais e, em específico, do relatório de impacto à proteção de dados pessoais, não deve impedir o desenvolvimento de atividades econômicas que utilizam dados. A regulamentação desse campo, inclusive do RIPDP, assim, não deve ser encarada como um óbice ao desenvolvimento econômico. Pelo contrário, a disciplina da matéria de proteção de dados, conforme o artigo 2º, inciso V, da LGPD, tem como um de seus fundamentos o desenvolvimento econômico e tecnológico e a inovação

FONTE: BRUNO BIONI

MARINA GONÇALVES GARROTE – Pesquisadora da Associação Data Privacy Brasil de Pesquisa. Mestranda em Direito Processual Civil pela Faculdade de Direito da USP. Especialista em Gênero e Sexualidade do Centro Latino-Americano em Sexualidade e Direitos Humanos (CLAM/IMS/UERJ). Coordenadora do Grupo de Extensão Grupo de Estudos em Direito e Sexualidade da Faculdade de Direito da USP (GEDS-FDUSP).
NATHAN PASCHOALINI – Pesquisador da Associação Data Privacy Brasil de Pesquisa. Mestrando em Direito e Inovação pela Faculdade de Direito da UFJF e membro do Núcleo de Estudos Avançados em Pessoa Inovação e Direito (NEAPID/UFJF)
MARINA MEIRA – Líder Geral de Projetos da Associação Data Privacy Brasil de Pesquisa. Advogada graduada pela Faculdade de Direito da USP e pós-graduanda em Direito Digital pela UERJ e o ITS-Rio.
BRUNO R. BIONI – Doutorando em Direito Comercial e Mestre em Direito Civil pela Faculdade de Direito da USP. Trainee do European Data Protection Board e do Departamento de Proteção de Dados do Conselho da Europa. Fundador-professor do Data Privacy Brasil e consultor na área de direito e tecnologia com ênfase em proteção de dados pessoais (www.brunobioni.com.br).

Conheça a obra Proteção de Dados Pessoais

LEIA TAMBÉM

Veja aqui outros textos da autor!

^[1] PRESIDÊNCIA DA REPÚBLICA/AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Portaria nº 11, de 27 de janeiro de 2021. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313.

^[2] UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (Regulamento Geral sobre Proteção de Dados Pessoais). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?qid=1559280280904&uri=CELEX:32016R0679#d1e4436-1-1

^[3] GOV.BR. ANPD divulga cronograma completo de reuniões técnicas sobre relatório de impacto à proteção dos dados pessoais. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-divulga-cronograma-completo-de-reunioes-tecnicas-sobre-relatorio-de-impacto-a-protecao-dos-dados-pessoais.

^[4] BIONI, Bruno Ricardo; RIELLI, Mariana Marques. A construção multissetorial da LGPD: história e aprendizados. In: Denise de Souza Luiz Francoski; Fernando Antonio Tasso. (Org.). A Lei Geral de Proteção de Dados Pessoais – Aspectos Práticos e Teóricos Relevantes no Setor Público e Privado. 1ed.São Paulo: Revista dos Tribunais, 2021, v. 1, p. 223-258.

^[5] COALIZÃO DIREITOS NA REDE. Carta a respeito da composição da lista de expositores das Reuniões Técnicas sobre Relatório de Impacto à Proteção de Dados Pessoais. Disponível em:

https://direitosnarede.org.br/2021/06/29/carta-a-respeito-da-composicao-da-lista-de-expositores-das-reunioes-tecnicas-sobre-relatorio-de-impacto-a-protecao-de-dados-pessoais/.

^[6] Tecnicamente, o risco envolve duas dimensões: uma centrada na previsão de eventos futuros possíveis, sejam eles positivos ou negativos, e uma segunda baseada no processo de tomada de decisão informada pela avaliação de riscos. Ver: GOMES, Maria Cecília Oliveira. Relatório de impacto à proteção de dados: uma breve análise da sua definição e papel na LGPD. Revista do Advogado, São Paulo, n. 144, p. 174-183, nov. 2019.

^[7] Ver mais em: https://iapp.org/resources/article/the-eu-general-data-protection-regulation/#A35.

^[8] FAZLIOGLU, Müge. What’s subject to a DPIA under the GDPR? EDPB on draft lists of 22 supervisory au-thorities. IAPP. 30 de outubro de 2018. Disponível em <https://iapp.org/news/a/whats-subject-to-a-dpia-under-the-gdpr-edpb-on-draft-lists-of-22-supervisory-authorities/?mkt_tok=eyJpIjoiTjJNMFpEY-zJNR05rTURObSIsInQiOiJKclk5WjkrYW51UVI4cmZGcXUrZDFjRVhtVzNcL2pqMnppT-FwvZ3BHY21oY0VTQnRCeEdYMWMwVFZ5azJnUnNSRU0zMXd6aWt4RlZnclBUbGNmTTBqNE-xoVnV6VFBzQjRFM3hWRFBrc3VSWFdxXC9tSWoyYzlqWThkRzFCaHpqNitUeiJ9

^[9] DATA PRIVACY BRASIL. Reunião Técnica sobre Relatório de Impacto de Proteção de Dados Pessoais – Maria Cecília O. Gomes. Youtube, 1 jul. 2021. Disponível em: <https://www.youtube.com/watch?v=CctdemkepAU>.

^[10] GOMES, Maria Cecília O. Para além de uma “obrigação legal”: o que a metodologia de benefícios e riscos nos ensina sobre o relatório de impacto à proteção de dados. In Direito Digital: Debates Contemporâneos. LIMA, Ana Paula. HISSA, Carmina. SALDANHA, Paloma Mendes (org.). São Paulo: Revista dos Tribunais, 2019, pp 141-153

^[11] BIONI, Bruno; KITAYAMA, Marina; RIELLI, Mariana. O Legítimo Interesse na LGPD: quadro geral e exemplos de aplicação. São Paulo: Associação Data Privacy Brasil de Pesquisa, 2021.

^[12] Ibid

^[13] BIONI, Bruno; LUCIANO, Maria. O Princípio da Precaução para a Regulação da Inteligência

Artificial: Seriam as Leis de Proteção de Dados seu Portal de Entrada? In: FRAZÃO, A.

MULHOLLAND, C. (Coord.) Inteligência Artificial e Direito, Revista dos Tribunais, 2019.

^[14] Ver mais em: https://www.rijksoverheid.nl/documenten/publicaties/2021/02/12/google-workspace-dpia-for-dutch-dpa

^[15] CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA. Regimento Interno do CADE. Disponível em: https://cdn.cade.gov.br/Portal/centrais-de-conteudo/regimento-interno/regimento-interno-cade-2020.pdf.

CATÁLOGO JURÍDICO UNIVERSITÁRIO (DOWNLOAD)