A importância do Relatório de Impacto à Proteção de Dados Pessoais trazido pela Lei nº 13.709/2018

Às vésperas da entrada em vigor da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), até então prevista para 16 de agosto de 2020 (com uma possibilidade considerável de ser adiada para janeiro de 2021, não apenas em virtude da pandemia trazida pelo COVID-19, mas também pela falta da instituição da Autoridade Nacional de Proteção de Dados), cada vez mais vem à lume as discussões atinentes as suas variadas minúcias.

Uma delas é o chamado Relatório de Impacto, conhecido na Europa como Data Protection Impact Assessment (DPIA), que, devido a sua elevada importância e considerável complexidade de elaboração, já provoca calafrios, sobretudo, nas empresas que ainda se encontram em processo de adequação à LGPD.

Será justamente ele o objeto de nosso estudo.

Então comecemos pela definição que lhe foi atribuída pela própria lei.

A Lei Geral de Proteção de Dados o conceituou no inciso XVII de seu art. 5º como: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco

Para muitos a definição estabelecida pelo Legislador acabou sendo mais superficial do que a desejável, pelo que se faz necessário ir em busca da essência daquilo que não foi escrito.

Antes de ser um documento propriamente dito, o Relatório de Impacto é um processo com o intuito de avaliar todos os riscos decorrentes do tratamento de dados pessoais. Desta forma, é recomendável que seja elaborado de maneira prévia ao tratamento dos dados, justamente para que a organização possua efetivas condições de identificar e, principalmente, de minimizar o risco de incidentes envolvendo os dados que trata.     

Nessa esteira, pode-se afirmar então que a LGPD visa dar ao relatório de impacto um papel balizador dos ditames instituídos pela lei, de modo que a Organização tenha capacidade de identificar quais serão os principais fatores que poderão impactar as liberdades civis e os direitos fundamentais para a tomada de decisão, desde a implementação de medidas e mecanismos que demonstrem o cumprimento da Lei até a descontinuidade do projeto.

A Lei Geral de Proteção de Dados, portanto, teve especial preocupação em elencar no parágrafo único do art. 38 as informações mínimas que devem, necessariamente, constar em qualquer relatório de impacto, quais sejam:      

1. A descrição dos tipos de dados coletados – Descrição de quais dados serão coletados e submetidos a tratamento;
2. Descrição da metodologia utilizada para a coleta e para a garantia da segurança das informações – Descrição de como os dados dos titulares serão coletados e como se dará a segurança da informação daquilo que se obteve com a coleta;
3. Salvaguardas e mecanismos de mitigação de risco adotados – Descrição do processo de avaliação de riscos e de gerenciamento de riscos.

Nessa linha intelectiva, a partir da entrada em vigor da LGPD, não será nada incomum que empresas passem a condicionar a pactuação de futuros contratos apenas mediante a apresentação pelo interessado de um detalhado relatório de impacto.

A razão é de certa forma evidente.

Um relatório de impacto bem elaborado dará ao cliente em potencial uma maior garantia de que a Empresa que fará uso de seus dados seguirá as melhores e mais seguras práticas do mercado. Ou seja, a ideia central é que um processo de tratamento de dados que, desde logo, seja submetido a um relatório de impacto será bem menos predisposto a afetar indivíduos de forma negativa (o que implicaria em custo desnecessário), bem como dará ao cliente uma melhor compreensão da maneira com a qual suas informações serão efetivamente utilizadas.

Ademais, o Relatório de Impacto também poderá vir a ser exigido pela Autoridade Nacional de Proteção de Dados – ANPD (caput do art. 38), mormente quando ocorrer um eventual incidente de segurança, a fim de que as práticas das empresas sejam devidamente analisadas, podendo então, por consequência, fazer toda a diferença no momento em que a ANPD vir a ponderar se aplicará alguma das penalidades previstas na lei, em caso de infrações.

Isso porque o art. 52 da Lei Geral de Proteção de Dados aduz que a aplicação das penalidades levará em consideração critérios como: a boa-fé e cooperação do infrator (inciso II e VII, respectivamente), a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano (inciso VIII) e a adoção de política de boas práticas e governança (inciso IX). Logo, são parâmetros que podem – e devem – ser demonstrados em um relatório de impacto eficaz, pois terão o condão de minorar o prejuízo decorrente do arbítrio de uma eventual multa, que, cumpre salientar, pode atingir até 2% (dois por cento) do faturamento anual da pessoa jurídica, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Há que se dizer, no entanto, que a Lei é omissa quanto a maiores detalhamentos que pertinem à elaboração do Relatório, o que, provavelmente, apenas virá a ser regulamentado posteriormente pela própria Autoridade Nacional, que ainda nem foi constituída.

Logo, denota-se que a LGPD atribuiu ao relatório de impacto um nítido caráter de instrumento de prestação de contas (accountability) e uma forma através da qual as empresas poderão demonstrar a conformidade com a Lei.

Um exemplo de sua relevância – apesar de inusitado – é a Ação Civil Pública impetrada pelo Ministério Público do Distrito Federal (MP-DF) em face da empresa Telefônica Brasil S.A. (VIVO S.A.), em que o Parquet requisitou à VIVO S.A. a elaboração de um Relatório de Impacto mesmo sem a LGPD estar em vigor.

É fundamental, portanto, que o Relatório de Impacto de Proteção de Dados seja entendido além de uma mera obrigação, mas, sobretudo, como um instrumento importante para avaliação de riscos em qualquer operação de tratamento de dados, de modo a contribuir com a mudança cultural corporativa em termos de proteção de dados pessoais e não apenas jurídica.

A LGPD já é uma realidade e essa é apenas uma das diversas novidades trazidas por ela. Por isso, é fundamental compreendê-la cada vez mais e, para tanto, o estudo é tarefa primordial.

Diz para a gente o que você achou e se já está por dentro da LGPD. A gente se vê de novo a qualquer momento.

Ataíde Nunes
Advogado do Urbano Vitalino Advogados.