O Relatório de Impacto à Proteção de Dados e o posicionamento da ANPD: breves comentários sobre o Q&A proposto pela Agência

14 de abril de 2023

O Relatório de Impacto à Proteção de Dados e o posicionamento da ANPD: breves comentários sobre o Q&A proposto pela Agência

Escrito por

A ANPD – Autoridade Nacional de Proteção de Dados publicou em 06/04/2023, em seu sítio eletrônico, uma série de perguntas e respostas sobre o Relatório de Impacto à Proteção de Dados – RIPD. A sequência, comumente conhecida como Q&A (questions and answers), preenche uma lacuna importante enquanto não publicada a regulamentação do RIPD, prevista na agenda regulatória da entidade para o biênio 2023/2024.

O relatório de impacto à proteção de dados pessoais é, segundo o artigo 5, XVII da Lei 13709/18, a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. A elaboração desse documento poderá ser determinada ao Controlador, pela ANPD, por força do art. 38 da LGPD, ou seja, constitui documento fundamental à comprovar a regularidade e adequação dos processos de tratamento de dados da organização.

Como produto da Q&A, foram produzidas 15 perguntas e respostas, a saber:

  1. Quem é o responsável pela elaboração do RIPD?
  2. Em qual contexto a ANPD recomenda que seja elaborado o RIPD?
  3. Quando elaborar o RIPD?
  4. Quais critérios e metodologias devem ser utilizados para a gestão de riscos?
  5. Quais são os requisitos mínimos que o RIPD deve conter e que poderão ser exigidos pela ANPD?
  6. O RIPD deve ser público?
  7. O controlador deve elaborar um RIPD único para todas as suas operações de tratamento ou um RIPD para cada operação?
  8. O que considerar como “alto risco” para fins de elaboração do RIPD?
  9. O RIPD deve ser encaminhado para a ANPD?
  10. O controlador pode consultar a ANPD em caso de dúvida sobre as salvaguardas e as medidas a serem adotadas para mitigar os riscos identificados?
  11. O encarregado deve ser consultado no processo de elaboração do RIPD?
  12. É necessário registrar, no RIPD, opiniões divergentes identificadas durante o processo de elaboração?
  13. O que fazer após elaborar o RIPD?
  14. Quais dados e informações incluir no RIPD?

Dentre todas elas, destacamos três que nos parecem mais relevantes para esses breves  comentários e farei reproduzindo as respectivas perguntas e respostas da ANPD, de forma a contextualizar o que será tratado, para ao final, tecer comentários de forma objetiva sobre cada uma delas:

  1. Em qual contexto a ANPD recomenda que seja elaborado o RIPD?

ANPD: Como regra geral, é recomendado elaborar o RIPD em todo contexto em que as operações de tratamento de dados pessoais possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados, conforme art. 5º, inciso XVII, e art. 55-J, inciso XIII, da LGPD, o que deverá ser avaliado pelo agente de tratamento.

A LGPD lista, ainda, situações específicas em que o RIPD poderá ser exigido pela ANPD, como:

  • nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, § 3º);
  • quando o tratamento tiver como fundamento a hipótese de interesse legítimo (art. 10, § 3º);
  • para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD (art. 32); e
  • para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis (art. 38).

COMENTÁRIO: Fica claro, do posicionamento da ANPD, que o RIPD é um documento que deverá estar associado, obrigatoriamente, a uma detida análise de riscos, que possa determinar, dentre os inúmeros tratamentos realizados pela organização, quais merecem especial atenção e, portanto, quais demandariam a elaboração do Relatório.

Ponto importante trazido pela Autoridade Nacional de Proteção de Dados, está atrelado à autonomia dada ao agente de tratamento, quando acertadamente, delega a avaliação dos riscos e, portanto, a determinação de seu apetite na condução da elaboração do RIPD ou não, ao Controlador ou Co-controlador de Dados.

É recomendável, portanto, que a elaboração do RIPD, para além das hipóteses exigidas pela ANPD, esteja atrelada a política de gestão de riscos da organização e orientada por sua matriz, conferindo autonomia e discricionariedade a avaliação dos riscos, contudo, dentro de uma metodologia pré-definida e de parâmetros claros de definição do apetite de risco pelo Controlador.

  1. Quando elaborar o RIPD?

ANPD: Recomenda-se elaborar o RIPD antes de o controlador iniciar o tratamento dos dados pessoais para a finalidade desejada, justamente para que ele possa avaliar, de antemão, os possíveis riscos associados a esse tratamento.

Dessa forma, o controlador conseguirá, antes mesmo de usar os dados pessoais para aquela finalidade, identificar a probabilidade de ocorrência de cada fator de risco e o seu impacto sobre as liberdades e direitos fundamentais dos titulares e adotar as medidas, as salvaguardas e os mecanismos de mitigação de risco apropriados à hipótese.

Contudo, caso não seja possível elaborar o RIPD antes do início do tratamento, recomenda-se elaborá-lo assim que se identificar um tratamento que possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados

De todo modo, o controlador deverá, ainda, elaborar o RIPD caso seja solicitado pela ANPD.

COMENTÁRIO: Correta e acertada a posição da ANPD sobre o momento de elaboração do RIPD. O relatório é um instrumento derivado de uma postura preventiva dos agentes de tratamento, produto de uma adequada avaliação de riscos e, com isso, apto a registrar os planos de ação e os controles internos necessários a mitigação da materialização dos riscos inerentes aos tratamentos realizados.

Antecipa a ANPD, também de forma acertada, algo que sempre nos pareceu claro em relação a um eficaz gerenciamento de riscos em proteção de dados, a adoção de critérios de probabilidade e impacto para determinação do nível de risco da atividade, o que propicia ao controlador uma antecipação em relação aos fatos ensejadores da causa de um risco e a previsão de quais medidas de contingência tomar em uma possível e futura materialização de determinado evento.Mes

Por fim, temos orientado que a metodologia a circunscrever a gestão de riscos para a elaboração do RIPD deve permitir uma alocação objetiva e bem definida dos riscos em tratamentos de dados que conduzam elaboração do documento, o que esclareceremos por ocasião do próximo e último comentário.

  1. Quais critérios e metodologias devem ser utilizados para a gestão de riscos?

ANPD: A gestão de riscos é um processo sistemático da gestão organizacional que determina a aplicação equilibrada de controles diante do perfil de riscos.

As diretrizes gerais do processo de gestão de risco de privacidade, além de estarem alinhadas à política de segurança do responsável, poderão considerar, entre outros aspectos, objetivos estratégicos, processos, estrutura organizacional, requisitos da LGPD e demais normativos aplicáveis.

A identificação e análise dos fatores de risco devem ser documentadas e justificadas para que possam demonstrar que as decisões tomadas em relação à gestão de riscos foram as medidas mais adequadas com base nas informações disponíveis.

A avaliação de risco dificilmente irá representar a totalidade dos fatores de risco envolvido no tratamento. Cabe ao controlador identificar o maior número possível de fatores, principalmente os mais relevantes, que possam afetar os dados pessoais que serão tratados. Para cada fator identificado deve estimar a probabilidade de materialização do risco e o impacto inerente. Esse impacto dependerá dos danos que possam ser causados aos titulares, em particular no âmbito dos seus direitos e liberdades.

Destaca-se que a existência de múltiplos fatores de risco pode aumentar o nível de risco do tratamento considerado individualmente. Quando existem diferentes fatores de risco, é necessário interpretar como esses fatores podem interagir entre si para aumentar o nível de risco do tratamento, analisando suas dependências e efeitos combinados ou as interações mútuas.

Nesse cenário, a gestão de risco pode ser feita por diferentes metodologias. Recomenda-se, no entanto, adotar aquelas que são reconhecidas como boas práticas pela comunidade técnica de segurança, privacidade e proteção de dados.

A decisão da metodologia a ser adotada é de responsabilidade do controlador. O processo de avaliação do nível de risco deve levar em conta as possíveis consequências sobre os titulares dos dados pessoais, tais como a perda de confidencialidade, integridade ou disponibilidade de dados, reversão da anonimização ou pseudonimização, uso de dados para fins incompatíveis, violação de liberdades e direitos, ou qualquer forma de tratamento inadequado ou ilícito.

COMENTÁRIO:

A ANPD, ao se posicionar sobre a metodologia adequada, o faz com imparcialidade, o que ratifica sua postura dialógica desde o início do processo de regulação do setor, ponto positivo, portanto, ao cenário inicial e primário de adequação existente nas organizações. Contudo, não deixa a Agência de firmar posicionamento sobre o fato de que a metodologia deve ser reconhecida e estar ancorada nas boas práticas de governança e de mercado. Com isso, no Brasil, inclusive por força da vasta jurisprudência dos órgãos de controle, nos parece adequada e mais direcionada às boas práticas, a metodologia ISO 31.000, para gerenciamento de riscos, em conjunto com as ISO 27001 e ISO 27701, cujos conteúdos são fundamentais ao tema da gestão de riscos em proteção de dados.

Segundo a ISO 31000, o risco é um efeito de incerteza […] nos objetivos da organização. O conceito de risco “envolve a quantificação e qualificação da incerteza, tanto no que diz respeito às ‘perdas’ como aos ‘ganhos’, com relação ao rumo dos acontecimentos planejados, seja por indivíduos, seja por organizações” (IBGC, 2007). O próprio Tribunal de Contas da União em seu guia orientativo de gerenciamento de riscos define risco como a “possibilidade de ocorrência de um evento que afete adversamente a realização de objetivos” (TCU, 2018) e ratifica tal conceito quando assevera que os riscos são “o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de ocorrência de eventos que afetem a realização ou alcance dos objetivos, combinada com o impacto dessa ocorrência sobre os resultados pretendidos” (TCU, 2018).

Com isso, a capacidade de antever de forma mais abrangente possível os riscos inerentes ao tratamento dos dados é o que conduzirá a eficiência ou não do modelo de gestão de riscos para fins de confecção dos relatórios de impacto, explico:

O processo de gestão de riscos tem por objetivo a priorização de controles internos preventivos e de contingência em relação aos inúmeros eventos classificados. É dizer, uma metodologia de gestão de riscos eficaz deve permitir que os riscos sejam priorizados e tratados dentro de critérios materiais e adequados de classificação, permitindo ao controlador a segurança necessária para elaboração dos relatórios de impacto que, realmente, conduzam a níveis de riscos mais altos (nestes incluídos aqueles que gerem riscos as liberdades civis e aos direitos fundamentais).

Com isso, após a identificação dos eventos de riscos (objeto do inventário de dados e avaliação dos tratamentos), serão lançadas na matriz as causas (objeto de avaliação da probabilidade), as consequências de sua materialização (objeto da avaliação do impacto) e suas medidas mitigadoras (controles ou ações preventivas e de contingência):

Após essa etapa, será possível – diante do apetite pré-definido na política de gestão de riscos para segurança da informação – a priorização dos riscos em razão dos níveis de riscos registrados no mapa de calor (Matriz 5×5) e a consequente elaboração dos Relatórios de Impacto a Proteção de Dados dos riscos classificados como altos e extremos.