Principais Ferramentas de Compliance na LGPD – DPIA e LIA

Duas importantes ferramentas de boas práticas, práticas de compliance e governança a serem destacadas são o Relatório de Impacto à proteção de dados (DPIA/RIPD) e a avaliação do legítimo interesse (LIA), sendo instrumentos de fundamental importância para fundamentar de forma adequada o processo de conformidade com a LGPD, além de comprovar a boa-fé e facilitar a prestação de contas.

Referidas ferramentas devem atuar em conjunto com outra ferramenta, que seria uma prévia análise de riscos, acerca de cada tratamento de dados específico com relação aos direitos e liberdades fundamentais do titular dos dados. Vinculam-se, pois à temática e lógica da risquificação, já que além de uma prévia análise de risco, deverão apontar medidas, salvaguardas e mecanismos de mitigação de risco.

A prática do compliance, portanto, deverá atendar e se adequar à probabilidade, impacto e gravidade do risco (risk-based approach). Trata-se de um processo proativo, sistemático e contínuo, ou seja, não estático, mas dinâmico devendo ser revisto de tempos em tempos, já que sempre se fará necessária uma avaliação sistemática de impactos e riscos à privacidade, através de avaliações de impacto, observando uma série de requisitos para sua elaboração e uma metodologia própria, com indicadores de risco, com base da probabilidade e grau de risco. Neste sentido, destaca-se a Norma Técnica ISO/IEC 29134:2017 seção 6.4.4 trazendo os conceitos e parâmetros para tal análise de risco e parâmetros escalares para a representação dos níveis de probabilidade e impacto. Para cada risco identificado deverá ser definida a probabilidade de ocorrência e o possível impacto.

Verifica-se que tal abordagem liga-se à ideia de risquificação e ao princípio da prevenção, como já era possível observar nos primeiros documentos com tal função protetiva, como os Privacy Impact Asssessment (PIA), previstos originariamente pela Diretiva nº 95/46/EC, em sua Consideranda 46, de forma não vinculante, com inspiração no direito regulatório e ambiental, já que a legislação ambiental na EU adotava a perspectiva de risco e de avaliação do impacto do risco.

O RIPD – Relatório de Impacto à Proteção de Dados faz parte do procedimento de governança a ser adotado por aqueles que fazem o tratamento de dados, sendo fundamental para a comprovação acerca do respeito aos princípios da LGPD, tais como, finalidade (avaliação dos propósitos legítimos do tratamento), adequação (avaliação da compatibilidade das finalidades pretendidas de acordo com o contexto do tratamento), necessidade (limitação do tratamento ao mínimo necessário para a realização das finalidades destacadas, limitando-se a dados pertinentes, proporcionais e não excessivos), segurança (medidas técnicas e administrativas de proteção ou mitigação dos riscos, como por exemplo, perda, furto dos dados), prevenção (adoção de medidas para prevenir a ocorrência de danos).

Entende-se justamente que para cumprir com sua finalidade e com o princípio de prevenção que tal documento deveria ser realizado antes do início do tratamento, trazendo uma visão completa de todo o ciclo de vida dos dados, não fazendo sentido portanto, ser elaborado apenas após solicitado pela Autoridade Nacional. Em uma interpretação, portanto, sistemática e não apenas gramatical da LGPD podemos entender tal documento como obrigatório, desde logo, não apenas quando requisitado pela ANPD, pois sua função prende-se ao princípio da prevenção de danos, e para que bem cumpra tal função é necessária sua elaboração a priori.

No tocante ao conteúdo do RIPD, recomenda-se no mínimo a observância dos requisitos elencados no parágrafo único do art. 38 da LGPD, além de observância das normativas e opiniões dos órgãos especializados, de forma complementar. Na elaboração do RIPD devem ser observadas diversas etapas, sendo recomendável a observância do modelo de Avaliação de Impacto da Privacidade (PIA) do Information Commissioner’s Office (ICO), Autoridade de proteção de dados do Reino Unido, bem como as Guidelines do Working Party 29 (Guideline 248).

De acordo com o art. 5º, inciso XVII, da LGPD, trata-se de uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais do titular, prevendo também medidas de salvaguardas e mecanismos de mitigação de riscos. Entendemos, contudo, que tal interpretação gramatical e literal da LGPD não merece prevalecer, devendo ser adotada uma interpretação sistemática e funcional, voltada à uma proteção sistêmica, referido documento deverá ser considerado não apenas como uma documentação do controlador, mas também deverá ser adotado pelos operadores, sendo elaborado após um processo de conformidade/análise, já que é um instrumento de apoio para as empresas poderem comprovar a conformidade com a LGPD, demonstrando sua boa-fé (art. 6º, caput, LGPD).

Acerca do relatório de impacto, Wolfgang Hoffman Rien afirma que referido documento ainda não estaria orientado para as características especiais do Big Data nem para a proteção dos interesses públicos afetados pela sua utilização, mas que são instrumentos importantes, em especial para a avaliação do risco. Recomenda-se sua aplicação também na utilização de megadados e, sobretudo, na utilização de IA para aplicações que possam ser consideradas de risco. Algumas sugestões no sentido de incrementar o grau protetivo e preventivo de tal documento seria uma  avaliação permanente dos riscos, envolvendo o controle público por meio de representantes da sociedade civil.

Embora para parte da doutrina o DPIA não seja obrigatório na LPGD nem mesmo para atividades de alto risco, ao contrário do GDPR, funcionando como uma espécie de documentação posterior, sendo obrigatória somente quando houver pedido expresso por parte da ANPD (art. 38), entendemos que tal interpretação não se coaduna com o princípio da precaução e com a lógica da risquificação, nem tampouco seria uma abordagem adequada para a proteção de direitos fundamentais. Considerando-se que quando ocorre um vazamento de dados ou outro incidente de segurança envolvendo dados pessoais, que não apenas há um prejuízo ao titular dos dados, isoladamente considerado, mas também aos aspectos coletivo e social. Tal concepção se coaduna com a perspectiva de multidimensionalidade dos direitos fundamentais, e com a ideia de poluição de dados (Omri Ben-Shahar: arranjo regulatório de “poluição de dados”), e com o incremento, por conseguinte,  das formas de responsabilização “ex ante” (prevenção), como ocorre com o Direito ambiental (BEN-SHAHAR, Omri. Data Pollution, p. 133 e ss.). Diante de tal análise a proteção de dados é vista como uma espécie de “direito ambiental”, já que os danos são considerados coletivos, pois todo o ecossistema de dados é afetado pelas ações poluentes.

Deixe um comentário

O seu endereço de e-mail não será publicado.