O que é o relatório de impacto da LGPD e como fazê-lo

Não existem mais dúvidas sobre o valor que os dados têm para as empresas, especialmente diante dos benefícios estratégicos que eles trazem para o negócio.

No entanto, de um bônus surge o ônus. Por um lado, as empresas recebem o valor de acessar dados de seus usuários. Por outro lado, recebem uma nova responsabilidade: a necessidade de garantir a segurança desses dados.

A LGPD surgiu como uma forma de regulamentar o compartilhamento de dados online e para garantir mais segurança aos clientes. 

Nesse contexto, a partir do dia 1º de agosto de 2021, os artigos 52, 53 e 54 da Lei Geral de Proteção de Dados, referentes às sanções administrativas pelo descumprimento da LGPD, entraram em vigor. 

Isso significa que, a partir dessa data, as empresas que descumprirem as regras da LGPD passaram a ser responsabilizadas através de sanções administrativas: que vão desde advertências e multas até o bloqueio e eliminação dos dados pessoais.

De fato, diante de tantas novidades, esse é um tema complexo. Mas não tem como fugir. Se você posiciona seu negócio no meio eletrônico, já passou da hora de saber sobre todas as obrigações previstas na LGPD. 

Afinal de contas, existe um risco importante para se considerar na hipótese de descumprimento dos procedimentos e das práticas que a LGPD estabelece. O relatório de impacto é um desses procedimentos. 

Esse post vai direto ao ponto principal. Quero que você fique por dentro de tudo que envolve esse documento. 

Como é o processo de adequação à LGPD

Sem dúvidas, o processo de adequação da empresa à LGPD começa na contratação de consultoria especializada sobre o assunto. Já que os assuntos envolvem muitas inovações e procedimentos complexos. 

De todo modo, esse processo compreende o mapeamento, a identificação e o planejamento dos procedimentos de tratamento de dados do negócio, a partir das especificações da lei. 

Inclusive, há um fluxo de etapas pré-delimitadas que têm o objetivo de entender, mapear, regularizar e treinar uma equipe responsável pelo tratamento de dados.

As etapas, de forma geral, são:

1. Onboarding
2. Mapeamento de dados
3. Revisões e elaborações
4. Relatório de impacto
5. Finalização

Quer dizer, o relatório de impacto é apenas uma das etapas da adequação à LGPD.

O que é um relatório de impacto da LGPD?

Você já sabe que a principal função da LGPD é garantir que o tratamento dos dados pessoais não cause danos aos direitos e às liberdades individuais de cada pessoa.

Parte-se, inclusive, do pressuposto de que os dados pessoais não se deslocam da realidade das pessoas. Então, alguns tipos de tratamento desses dados interferem diretamente nas rotinas das pessoas.

Foi nesse contexto que a LGPD criou o relatório de impacto à proteção de dados pessoais (RIPDP). A inspiração vem do no Data Protection Impact Assessment (DPIA) da GDPR, legislação de proteção de dados da União Europeia. 

No artigo 5º, XVII, A LGPD conceitua o relatório de impacto da seguinte forma: “uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. 

Em outras palavras, o relatório de impacto é um documento que identifica e mapeia os riscos das práticas de tratamentos de dados de uma empresa. 

Mas não só isso: esse relatório também tem a função de identificar se as medidas e procedimentos de segurança são suficientes para mitigar os riscos mapeados. 

Qual é a função do relatório de impacto?

Ou seja, de forma geral, o relatório de impacto consiste em uma ferramenta de gestão de riscos. O objetivo central é, portanto, evitar que ocorram violações de dados pessoais. 

Afinal de contas, assim como na própria LGPD, a pessoa titular de dados pessoais está no centro da proteção do RIPDP. 

Da mesma forma, o relatório serve para demonstrar para a Autoridade Nacional de Proteção de Dados (ANPD) e para outras pessoas e instituições (clientes, fornecedores, parceiros, investidores) que a empresa está mantendo os dados pessoais de seus clientes de maneira segura.

No entanto, a LGPD não procedimentalizou o relatório de impacto. Por esse motivo, atualmente, o documento serve apenas como mero controle de conformidade. Para medir, por exemplo, se a empresa está atendendo aos requisitos legais. 

Só que na realidade, muito mais do que um relatório de conformidade, o objetivo principal deveria ser encontrar os riscos das atividades empresariais e verificar quais medidas são necessárias para mitigar esses riscos. 

Quer dizer, muito mais do que um documento que a ANPD pode solicitar à empresa, o relatório de impacto deve servir como um suporte e um guia para a própria operação de tratamento de dados da empresa. 

O relatório de impacto é obrigatório?

A obrigatoriedade (ou não!) da confecção do relatório de impacto está ligada aos riscos que a atividade de tratamento da empresa oferece. 

Todas as atividades de tratamento de dados pessoais oferecem riscos às pessoas titulares. Se fosse meramente pela existência do risco, todas essas empresas seriam obrigadas a confeccionar um relatório de impacto.

Contudo, o relatório de impacto é obrigatório para atividades que oferecem altos riscos às pessoas titulares e que, posteriormente, receberão regulamentação da ANPD.

É que, na verdade, o artigo 10, §3º da LGPD estabelece que a ANPD poderá solicitar o relatório em casos de tratamentos de dados sensíveis. Mas não menciona expressamente quais serão as hipóteses de obrigatoriedade. 

Então, a conclusão é que o relatório de impacto ainda não é um documento obrigatório segundo a LGPD. No entanto, podem se tornar, dependendo da regulamentação futura da ANPD. 

Quando fazer um relatório de impacto?

Apesar de toda essa discussão sobre a obrigatoriedade do relatório de impacto, existem outros motivos para pensar em fazê-lo, antes mesmo de a ANPD exigir.

Isso porque, em primeiro lugar, a LGPD é um dispositivo legal que valoriza a proatividade e a prevenção de riscos. 

Então, por exemplo, para a LGPD, mais grave do que sofrer vazamentos de dados pessoais é não tomar nenhuma medida de prevenção e de segurança para evitar esse tipo de incidente. 

Nesse contexto, ao confeccionar um relatório de impacto, a empresa demonstra cuidado e proatividade com a segurança de seus dados. 

Além do mais, existem diversos outros motivos para criar esse tipo de documento, como: 

• Avaliar o impacto das atividades de tratamento de dados e em medidas de segurança para mitigar os riscos
• Demonstrar conformidade com a LGPD
• Gestão de riscos da empresa
• Demonstrar segurança para parceiros comerciais e investidores 
• Fazer transferência internacional de dados 
• Evitar acidades de violação de dados, multas, sanções, danos à imagem e reputação da empresa

Quem deve participar da criação deste relatório?

Como é um documento que compreende todas as informações importantes de uma empresa, é necessário que todas as fontes relevantes participem do processo de desenvolvimento do RIPDP. 

Então, deve-se envolver todos os setores da empresa (e até parceiros externos, se fizer sentido), ainda que tenham responsabilidades diferentes ou que apenas prestem informações necessárias, como, por exemplo:

• Jurídico
• Desenvolvimento de software
• Tecnologia da informação
• Segurança da informação
• Encarregado
• Stakeholders em nível executivo

No artigo 10º a LGPD estabelece que a ANPD solicitará o relatório ao controlador de dados pessoais. O artigo 41, contudo, estabelece que é responsabilidade do encarregado de proteção de dados receber as comunicações da ANPD e tomar as providências necessárias.

Nesse contexto, se for seguir as determinações legais, o encarregado deve receber o pedido e, em conjunto com o controlador, orientar funcionários e contratados sobre o tratamento de dados. 

No entanto, a responsabilidade das decisões sobre o tratamento é de competência do controlador. É ele que cria o risco às pessoas titulares e, por esse motivo, a elaboração do relatório deve ser sua responsabilidade. 

Como fazer um relatório de conformidade à LGPD?

A LGPD estabelece que o relatório de impacto deve compreender a metodologia que foi usada para sua confecção. No Brasil, a análise para elaboração desse tipo de documento volta-se para a análise dos riscos. 

Mas há que se lembrar que a LGPD não define uma abordagem específica a se usar. Ou seja, além dos riscos das atividades de tratamento, também é possível tratar sobre os benefícios que elas trazem. 

Essa abordagem mostra que além dos riscos, existem inúmeros benefícios que o tratamento de dados oferece para a pessoa titular dos dados e para a empresa. 

Essa análise também é importante, já que fornece insumos necessários para a empresa tomar decisões justificadas quanto assumir ou não os riscos. 

O que o relatório de impacto deve responder?

Nessa perspectiva, o relatório de impacto pode responder:

• A pessoa titular concorda com o tratamento de seus dados?
• Existe algum interesse do titular no tratamento de seus dados?
• Existem riscos à segurança da informação?
• O controlador está respeitando o direito das pessoas titulares?
• O titular conhece os riscos do tratamento?

Ou, em resumo, o relatório deve: 

• Descrever o tratamento de dados pessoais
• Avaliar a necessidade e proporcionalidade do tratamento
• Ajudar a identificar os riscos para os direitos das pessoas titulares
• Determinar as medidas necessárias para garantir a segurança desses direitos

Sugestão de etapas de como fazer um relatório de impacto

Enquanto a ANPD não regulamenta o relatório de impacto, pode-se seguir as melhores práticas internacionais para construir esse documento.

A partir disso, aqui está uma sugestão de etapas para fazer um relatório de impacto:

1. Identificar a necessidade de fazer um relatório de impacto

Em primeiro lugar, você deve se certificar se os processos de tratamento de dados da sua empresa demandam um relatório de impacto. 

2. Descrição do tratamento de dados pessoais

Em seguida, você deve explicar como funciona o tratamento de dados pessoais na empresa. Isto é, deve-se investigar o processo inteiro de tratamento de dados. 

Em geral, deve-se responder:

1. Quais são os dados coletados?
2. Existem dados pessoais sensíveis?
3. Qual é o volume de dados coletados?
4. Qual é o volume de dados utilizados?
5. Esses dados são compartilhados com outras pessoas?
6. Para que esses dados são coletados?
7. Como são armazenados os dados?

 3. Avaliação da necessidade e da proporcionalidade

Esse é o momento de verificar se o tratamento de dados se enquadra ou não nos princípios da LGPD.

É possível verificar qual é a base legal para o tratamento, se os procedimentos atingem os objetivos e se existe outra forma melhor de alcançar os mesmos resultados.

4. Mapeamento e avaliação de riscos

Nessa etapa, deve-se verificar todas as fontes de riscos e a respectiva consequência para os direitos das pessoas titulares. 

É importante mapear:

• Fonte de risco
• Probabilidade do risco acontecer
• Qual é o impacto para pessoas titulares

5. Avaliação das medidas de segurança

Depois de conhecer os riscos, deve-se identificar quais são as medidas de segurança para tratar os riscos do tratamento de dados. É a hora de avaliar se essas medidas são suficientes para mitigar os riscos.

Além disso, deve-se decidir quais são os níveis de risco que a empresa vai assumir em suas atividades.

Bom, já deu pra perceber que, quando se tratam de estratégias para segurança de dados, são muitas possibilidades. E não existem outros caminhos senão se adequar à LGPD. 

Nesse caso, é fundamental contar com conhecimentos técnicos e aprofundados. Para garantir a sua segurança jurídica, recomenda-se conversar com uma assessoria jurídica personalizada.

A assessoria irá entender quais são as suas necessidades específicas e fornecerá recomendações úteis ao seu negócio. 

 

Escrito por Beatriz Coelho, redatora e mestra em Direito.