O relatório de impacto à proteção de dados pessoais é uma excelente ferramenta para garantir e demonstrar conformidade com a LGPD, a nova legislação de proteção de dados pessoais brasileira.
Conforme comentamos em nosso artigo “Startups no Contexto da Lei Geral de Proteção de Dados Brasileira”, neste ano foi publicada a Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados, ou LGPD, a qual trouxe um grande número de obrigações que terão impacto direto na operação de qualquer empresa que lide com dados pessoais de alguma forma; ou seja, virtualmente qualquer startup inserida no mercado terá que se adaptar às novas normas. Entretanto, a LGPD só entrará em vigor em agosto de 2020, o que garante às empresas tempo suficiente entrar em conformidade. Ainda assim, o processo de adaptação é complexo e sempre podem restar incertezas sobre a operação estar ou não endereçando todos os requisitos legais. Nesse contexto, o relatório de impacto à proteção de dados pessoais, um conceito semelhante ao DPIA europeu, pode ser uma ferramenta interessante para verificar e demonstrar conformidade com a LGPD.
DPIA é a sigla para Data Protection Impact Assessment, uma metodologia amplamente adotada pela legislação europeia de proteção de dados pessoais, a General Data Protection Regulation (“GDPR”). A LGPD importou o conceito, sob o nome de relatório de impacto à proteção de dados pessoais. Ele consiste basicamente em uma documentação que descreve os processos de tratamento[1] de dados pessoais que podem gerar algum risco aos direitos dos titulares, além das medidas e mecanismos empregados para mitigar esses riscos.
A construção do relatório parte do detalhamento de todos os processos de tratamento pelos quais os dados pessoais passam durante o seu ciclo de vida na operação, assim como, das bases legais necessárias e as medidas de segurança adotadas. Essa descrição permite identificar o data mapping da empresa, e a partir dessa fotografia, poder endereçar quais medidas devem ser tomadas e quais são os agentes ou interessados que devem ser envolvidos na operação.
A descrição detalhada do ciclo de vida dos dados pessoais, associada à consulta e a colaboração com os agentes envolvidos, permite identificar os pontos de fragilidade da operação, que podem representar algum risco aos direitos dos titulares dos dados. Assim, é feita uma avaliação desses riscos, a partir da qual são identificadas as medidas necessárias para a sua contenção, que devem ser implementadas e testadas.
O relatório é elaborado com base na documentação de todo esse procedimento. Repare como ele é uma forma da própria empresa melhor visualizar e compreender sua operação, permitindo evitar excessos e adotar as soluções e medidas mais apropriadas no contexto de privacidade e de proteção de dados. Elaborá-lo concomitantemente com a estruturação da operação – ou mesmo antes dela – é uma interessante maneira de assegurar desde cedo que todos os requisitos legais estão sendo cumpridos, o que colabora com o cumprimento de um importante dever estabelecido pela LGPD: a adoção de medidas protetivas à privacidade e segurança dos dados desde a concepção do produto ou serviço, conceito conhecido como privacy by design.
Como um documento que contém todos os pontos de interesse relativos a proteção de dados pessoais, incluindo medidas de segurança e contenção de riscos documentadas, o relatório de impacto à proteção de dados pessoais funciona perfeitamente à prestação de contas e demonstração de conformidade com a LGPD. Por conta disso, a autoridade nacional responsável pela supervisão do cumprimento da legislação de proteção de dados pessoais, quando ela for criada, poderá requisitar que qualquer controlador[2] forneça um relatório de impacto à proteção de dados pessoais, respeitando segredos comercias e industriais, justamente para a avaliar os riscos e verificar a conformidade da operação com as normas legais.
Ainda que a empresa não seja requisitada pela autoridade nacional, a produção prévia do relatório é incentivada, pois pode trazer grandes benefícios à empresa, conforme vimos anteriormente. Além disso, mais do que ter um relatório previamente elaborado, pode ser interessante publicar um documento derivado dele. Como o relatório de impacto à proteção de dados pessoais contém informações confidenciais, relacionadas a segredos comerciais da empresa, ou então que – se divulgadas – podem representar algum risco à segurança dos dados tratados; não é recomendado publicar o documento completo. Entretanto, publicar um outro documento criado a partir dele, que contenha suas principais conclusões, ou as ações adotadas para entrar em conformidade; contribui para alimentar a confiança nas práticas da empresa e melhorar a sua imagem. Esse documento demonstra para o mercado a conformidade com a legislação, além de comprometimento com a transparência, um dos princípios norteadores da legislação de proteção de dados pessoais. Assim, a sua publicação pode representar uma vantagem competitiva.
Com o tempo contando para a entrada em vigor da LGPD, é importante estabelecer um plano de adaptação às novas regras, e o relatório de impacto à proteção de dados pessoais pode ser de grande ajuda nessa tarefa. É recomendado contar com a assistência de advogados especializados em proteção de dados pessoais na hora de elaborá-lo, para não deixar nenhum ponto importante escapar.
