.svg)
Bom, agora que nós já sabemos a (provável) data de entrada em vigor da Lei nº 13.709/2018, popularmente conhecida como LGPD e também já temos o Decreto Presidencial nº 10.474/2020, que aprova a estrutura regimental da Autoridade Nacional de Proteção de Dados - ANPD, é hora de começarmos a entender na prática algumas obrigações e deveres que isso gera para os agentes de tratamento e neste artigo vamos falar especificamente sobre as avaliações de riscos, uma verdadeira sopa de letrinhas (PA, PIA, PTA, DPIA, LIA e RIPD) que existe mundo a fora e que vamos começar a nos acostumar por aqui.
A LGPD traz em seu artigo 5º, XVII a definição de Relatório de Impacto à Proteção de Dados (RIPD): documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Também faz menção ao RIPD no § 3º do art. 10, que dispõe que a ANPD poderá solicitar ao controlador o RIPD quando a atividade de tratamento de dados tiver como fundamento a hipótese legal do interesse legítimo. Há uma discussão se o RIPD deve estar pronto ou se pode ser feito após a solicitação da ANPD. Sigo na linha dos ensinamentos do prof. Marcel Leonardi, o qual entende que o verbo solicitar demonstra que o RIPD já deve ser previamente elaborado e quando houver a solicitação da ANPD, basta apresentá-lo.
Além do RIPD, o LIA (legitimate interests assessment) ou avaliação de legítimo interesse também deve ser feita para garantir que o legítimo interesse do controlador não se sobrepõe aos direitos fundamentais e às liberdades civis dos titulares de dados. Portanto, quando a base legal para a operação de tratamento for o legítimo interesse, você deverá elaborar previamente ambas as avaliações de riscos mencionadas. Esse raciocínio é corroborado pelos arts. 37 e 38 da LGPD, especialmente quando menciona que a ANPD poderá determinar a elaboração do RIPD. O verbo elaborar nos faz concluir que o RIPD ainda não foi feito e a ANPD poderá determinar, portanto, a sua elaboraçã
Pois é, detalhes e minúcias do texto legal... mas e na prática, como resolvemos isso?
Primeiro nós precisamos entender quais são as ferramentas que temos para cada situação.
Se você quer avaliar a conformidade da sua Organização de forma mais ampla, o instrumento mais indicado é o Privacy Assessment (PA) ou Avaliação de Privacidade.
Por meio do PA você vai medir o grau de conformidade da sua Organização com leis, regulamentos, padrões e melhores práticas da sua indústria e também avaliar se as políticas e procedimentos internos estão sendo cumpridos.
Os PAs são amplos e avaliam desde o nível de conscientização e de treinamento sobre os assuntos de privacidade e proteção de dados, bem como se a Organização consegue monitorar e responder ao ambiente regulatório. Também avalia sistemas que tratam dados pessoais, processos (processos no sentido de processos internos e de negócios), as próprias avaliações de riscos que são elaboradas, a capacidade da Organização em responder a incidentes e violações, contratos em vigor com fornecedores e terceiros, planos de remediação e programas para garantir que tudo está em conformidade, incluindo auditorias.
Os PAs podem ser conduzidos por uma equipe de auditoria interna, pelo próprio Encarregado de Proteção de Dados (DPO) ou por um terceiro contratado para esse fim. Podem acontecer em períodos pré-definidos ou eventualmente, em resposta a um incidente de segurança ou privacidade. Também poderá ser solicitado por uma autoridade supervisora de outro país se a sua empresa atuar internacionalmente e talvez a ANPD exija essa avaliação em algumas situações, a ver.
Outra ferramenta importante de avaliação de riscos é o Privacy Impact Assessment - PIA. No seu conceito, os PIAs são avaliações de riscos associadas ao tratamento de dados pessoais quando relacionados a projetos, produtos ou serviços e para ser uma ferramenta efetiva deve apresentar ou prover ações remediadoras ou mitigadoras dos riscos relacionados.
O PIA facilita a adoção do conceito do Privacy by Design (PbD), que impõe a adoção de medidas técnicas para evitar o tratamento inadequado ou ilegal de dados pessoais, desde a concepção de produtos ou serviços e também durante a execução do projeto de desenvolvimento desses produtos e serviços. Na LGPD, o art. 46 e seus dois parágrafos tratam desse assunto e provavelmente a ANPD disporá sobre as medidas técnicas e padrões mínimos que deverão ser adotados pelos agentes de tratamento.
Nos EUA, em razão do E-Government Act de 2002, o PIA é requerido em muitas situações, mas antes dele é necessário fazer o Privacy Threshold Analysis - PTA, que é uma avaliação prévia ao PIA para identificar de quem os dados são coletados, quais os tipos de dados pessoais coletados, com quem esses dados serão compartilhados, se os dados serão agregados com outros dados e também avaliam os aspectos de segurança da informação dos sistemas envolvidos. O PTA acaba determinando se será ou não necessário aprofundar a análise de risco por meio de um PIA.
Por fim, mas não menos importante, temos o Data Protection Impact Assessment - DPIA, que é a avaliação que garante que uma atividade de tratamento de dados está em conformidade com o GDPR, quando há um alto grau de risco para os direitos e liberdades das pessoas naturais. Há alguns exemplos de atividades de tratamento que podem resultar em altos riscos no art. 35 do GDPR.
Em vigor desde 2018, o GDPR inspirou muitos dos conceitos e das definições da LGPD e provavelmente o nosso RIPD será bastante semelhante ao DPIA da União Européia, mas devemos aguardar as orientações e diretrizes da ANPD sobre isso.
Há uma lista exemplificativa elaborada pelo WP 29 (The Article 29 Working Party), órgão consultivo formado por um representante de cada autoridade supervisora dos países da União Européia, bem como pela Autoridade Supervisora da União Européia e da Comissão Européia, que posteriormente foi substituído pelo EDPB - European Data Protection Board.
Essa lista exemplificativa traz algumas atividades de tratamento de dados pessoais que exigem a elaboração do DPIA.
- Evaluation or Scoring - incluindo perfil de consumo, hábitos, comportamentos etc., predição, situação econômica, saúde, preferências e interesses pessoais, localização e movimentações;
- Decisões automatizadas que gerem efeitos legais ou consequências significativas para pessoas naturais;
- Monitoramento sistemático para observar ou controlar titulares de dados;
- Dados sensíveis ou dados de natureza altamente pessoal;
- Dados processados em grande escala;
- Mesclar ou agregar conjuntos de dados;
- Dados pessoais de titulares vulneráveis;
- Uso ou aplicação inovadora de nova solução tecnológica ou organizacional;
- Quando o próprio tratamento de dados impede que os titulares exerçam um direito ou usem um serviço ou contrato.
Para elaborar um DPIA você precisa descrever a atividade de tratamento prevista, avaliar a necessidade e a proporcionalidade, as medidas de salvaguardas já previstas, avaliar os riscos de direitos e liberdades dos titulares, medidas previstas para enfrentar e mitigar os riscos existentes, documentar, monitorar e revisar a avaliação.
A melhor forma de entender como avaliar riscos eu obtive no perfil do Linkedin do The Cyber Security Hub que vale muito a pena seguir pelas tiradas inteligentes.
Até porque o que está em risco, a imagem abaixo, emprestada do mesmo perfil, também resume bem.
Quer saber como aproveitar nosso software para expandir seus serviços com a LGPD? clique aqui e fale com um especialista.
.svg){kind=logo}
