Às vésperas da entrada em vigor da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), até então prevista para 16 de agosto de 2020 (com uma possibilidade considerável de ser adiada para janeiro de 2021, não apenas em virtude da pandemia trazida pelo COVID-19, mas também pela falta da instituição da Autoridade Nacional de Proteção de Dados), cada vez mais vem à lume as discussões atinentes as suas variadas minúcias.

Uma delas é o chamado Relatório de Impacto, conhecido na Europa como Data Protection Impact Assessment (DPIA), que, devido a sua elevada importância e considerável complexidade de elaboração, já provoca calafrios, sobretudo, nas empresas que ainda se encontram em processo de adequação à LGPD.

Será justamente ele o objeto de nosso estudo.

Então comecemos pela definição que lhe foi atribuída pela própria lei.

A Lei Geral de Proteção de Dados o conceituou no inciso XVII de seu art. 5º como: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco

Para muitos a definição estabelecida pelo Legislador acabou sendo mais superficial do que a desejável, pelo que se faz necessário ir em busca da essência daquilo que não foi escrito.

Antes de ser um documento propriamente dito, o Relatório de Impacto é um processo com o intuito de avaliar todos os riscos decorrentes do tratamento de dados pessoais. Desta forma, é recomendável que seja elaborado de maneira prévia ao tratamento dos dados, justamente para que a organização possua efetivas condições de identificar e, principalmente, de minimizar o risco de incidentes envolvendo os dados que trata.     

Nessa esteira, pode-se afirmar então que a LGPD visa dar ao relatório de impacto um papel balizador dos ditames instituídos pela lei, de modo que a Organização tenha capacidade de identificar quais serão os principais fatores que poderão impactar as liberdades civis e os direitos fundamentais para a tomada de decisão, desde a implementação de medidas e mecanismos que demonstrem o cumprimento da Lei até a descontinuidade do projeto.

A Lei Geral de Proteção de Dados, portanto, teve especial preocupação em elencar no parágrafo único do art. 38 as informações mínimas que devem, necessariamente, constar em qualquer relatório de impacto, quais sejam:      

1. A descrição dos tipos de dados coletados – Descrição de quais dados serão coletados e submetidos a tratamento;
2. Descrição da metodologia utilizada para a coleta e para a garantia da segurança das informações – Descrição de como os dados dos titulares serão coletados e como se dará a segurança da informação daquilo que se obteve com a coleta;
3. Salvaguardas e mecanismos de mitigação de risco adotados – Descrição do processo de avaliação de riscos e de gerenciamento de riscos.

Nessa linha intelectiva, a partir da entrada em vigor da LGPD, não será nada incomum que empresas passem a condicionar a pactuação de futuros contratos apenas mediante a apresentação pelo interessado de um detalhado relatório de impacto.

A razão é de certa forma evidente.

Um relatório de impacto bem elaborado dará ao cliente em potencial uma maior garantia de que a Empresa que fará uso de seus dados seguirá as melhores e mais seguras práticas do mercado. Ou seja, a ideia central é que um processo de tratamento de dados que, desde logo, seja submetido a um relatório de impacto será bem menos predisposto a afetar indivíduos de forma negativa (o que implicaria em custo desnecessário), bem como dará ao cliente uma melhor compreensão da maneira com a qual suas informações serão efetivamente utilizadas.

Ademais, o Relatório de Impacto também poderá vir a ser exigido pela Autoridade Nacional de Proteção de Dados – ANPD (caput do art. 38), mormente quando ocorrer um eventual incidente de segurança, a fim de que as práticas das empresas sejam devidamente analisadas, podendo então, por consequência, fazer toda a diferença no momento em que a ANPD vir a ponderar se aplicará alguma das penalidades previstas na lei, em caso de infrações.

Isso porque o art. 52 da Lei Geral de Proteção de Dados aduz que a aplicação das penalidades levará em consideração critérios como: a boa-fé e cooperação do infrator (inciso II e VII, respectivamente), a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano (inciso VIII) e a adoção de política de boas práticas e governança (inciso IX). Logo, são parâmetros que podem – e devem – ser demonstrados em um relatório de impacto eficaz, pois terão o condão de minorar o prejuízo decorrente do arbítrio de uma eventual multa, que, cumpre salientar, pode atingir até 2% (dois por cento) do faturamento anual da pessoa jurídica, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Há que se dizer, no entanto, que a Lei é omissa quanto a maiores detalhamentos que pertinem à elaboração do Relatório, o que, provavelmente, apenas virá a ser regulamentado posteriormente pela própria Autoridade Nacional, que ainda nem foi constituída.

Logo, denota-se que a LGPD atribuiu ao relatório de impacto um nítido caráter de instrumento de prestação de contas (accountability) e uma forma através da qual as empresas poderão demonstrar a conformidade com a Lei.

Um exemplo de sua relevância – apesar de inusitado – é a Ação Civil Pública impetrada pelo Ministério Público do Distrito Federal (MP-DF) em face da empresa Telefônica Brasil S.A. (VIVO S.A.), em que o Parquet requisitou à VIVO S.A. a elaboração de um Relatório de Impacto mesmo sem a LGPD estar em vigor.

É fundamental, portanto, que o Relatório de Impacto de Proteção de Dados seja entendido além de uma mera obrigação, mas, sobretudo, como um instrumento importante para avaliação de riscos em qualquer operação de tratamento de dados, de modo a contribuir com a mudança cultural corporativa em termos de proteção de dados pessoais e não apenas jurídica.

A LGPD já é uma realidade e essa é apenas uma das diversas novidades trazidas por ela. Por isso, é fundamental compreendê-la cada vez mais e, para tanto, o estudo é tarefa primordial.

Diz para a gente o que você achou e se já está por dentro da LGPD. A gente se vê de novo a qualquer momento.

Ataíde Nunes
Advogado do Urbano Vitalino Advogados.

A Organização Internacional de Padronização é a instituição responsável pela criação das normas ISO que, de maneira geral, objetivam melhorar a qualidade de produtos e serviços.

À luz desse intento veio à tona a Norma ABNT NBR ISSO/IEC 27037:2013, com a finalidade de estabelecer diretivas e orientações para a realização de atividades específicas no manuseio das evidências digitais.

Mais especificamente, a norma objetiva fornecer instruções para as atividades consistentes na identificação, coleta, aquisição e preservação da evidência digital que possua algum valor probatório. Além disso, também possui o condão de simplificar o intercâmbio de potenciais evidências digitais entre jurisdições distintas, bem como auxiliar determinadas organizações em seus processos disciplinares.

E qual a relevância disso tudo?

Ora, nada mais necessário nos tempos atuais do que garantir que as pessoas pudessem gerenciar evidências digitais mediante a utilização de métodos reconhecidos mundialmente e, desta forma, padronizar a investigação de evidências digitais de maneira imparcial e segura.

Para tanto, a norma preocupou-se em definir quem seriam os responsáveis pelo manuseio da aludida prova e os classificou da seguinte forma:

1. Primeiro interventor da evidência digital (DEFR) – Pessoa que está autorizada, treinada e qualificada para desempenhar as atividades de identificação, coleta, aquisição e preservação da potencial evidência digital no local do incidente, além de ser responsável por assegurar a integridade e autenticidade da potencial evidência digital.
2. Especialista em evidência digital (DES) – Pessoa que pode possuir os conhecimentos de um DEFR e possui conhecimento especializado, aptidão e habilidade para lidar com uma ampla gama de questões técnicas. O papel do DES envolve fornecer suporte técnico ao DEFR na identificação, coleta, aquisição, e preservação da potencial evidência digital no cenário do incidente.

A norma adentra inclusive em questões principiológicas da própria natureza daquilo que se entenderá por evidências digitais, definindo que todas serão regidas pelos princípios da: a) relevância, b) confiabilidade e c) suficiência.

Nesse prisma, assevera que (I) a evidência digital será relevante quando tiver o poder de provar ou refutar um elemento de determinada investigação; (II) será confiável quando todos os processos utilizados em seu manuseio sejam passíveis de auditoria e repetição; e (III) será suficiente quando sua coleta e/ou aquisição for o bastante para permitir uma adequada investigação.

É cediço que a evidência digital muitas vezes é dotada de relativa fragilidade e volatilidade, uma vez que, em alguns casos, é possível alterá-la, adulterá-la ou até mesmo destruí-la meramente em função de um manejo impróprio ou inadequado. Logo, o preceito normativo sob análise houve por criar processos para definição do mais correto manuseio da evidência, quais sejam:

1. Identificação – O processo de identificação envolve a pesquisa, reconhecimento e documentação da potencial evidência digital.
2. Coleta – Nesse processo os dispositivos que possam conter potencial evidência digital são removidos de sua localização original para um laboratório ou outro ambiente controlado.
3. Aquisição – Envolve a produção da cópia da evidência digital e documentação de métodos usados e atividades realizadas.
4. Preservação – Envolve a guarda da potencial evidência e do dispositivo digital que pode conter a potencial evidência digital contra espoliação (ato de realizar ou permitir alterações que diminuam o valor probatório da evidência digital) ou adulteração (ato de deliberadamente realizar ou permitir alterações na potencial evidência digital com o intuito de diminuir-lhe valor).

A esse respeito, todavia, registre-se desde logo que as breves definições ora reproduzidas não se prestaram ao aprofundamento nas igualmente importantes espécies e meandros de cada processo acima mencionado. Por exemplo, é possível que o DEFR precise refletir cautelosamente acerca da melhor modalidade de coleta ou de aquisição a ser utilizada em determinado caso em concreto a depender do contexto no qual a potencial evidência digital esteja inserida.

Outrossim, a norma também define 4 (quatro) aspectos fundamentais para o manuseio da evidência digital:

1. Auditabilidade – É recomendável que os processos realizados pelo Interventor (DEFR) e Especialista (DES) estejam disponíveis para avaliação independente com o intuito de determinar se o método científico, a técnica ou o procedimento foi adequadamente seguido.
2. Repetibilidade – É estabelecida quando os mesmos resultados de testes conseguem ser reproduzidos, levando em consideração as seguintes condições: a) Utilizando os mesmos processos e métodos de medição, b) utilizando os mesmos instrumentos e mesmas condições e c) pode ser repetido a qualquer tempo depois do teste original.
3. Reprodutibilidade – Para haver reprodutibilidade os testes subsequentes precisam ser realizados sob as seguintes condições: a) Utilizando os mesmos métodos de medição, b) utilizando diferentes instrumentos e sob diferentes condições e c) poder ser reproduzido a qualquer tempo depois do teste original.
4. Justificabilidade – O Interventor (DEFR) deve ser capaz de justificar todas as ações e métodos utilizados para o manuseio da potencial evidência digital.

Façamos então algumas conjecturas trazendo a aplicação dessa norma para uma realidade ainda mais palpável, suponhamos a simples utilização de uma conversa de WhatsApp como prova em um processo judicial. Sabemos que, habitualmente, as juntadas de provas digitais como essa acontecem através da captura da tela do aplicativo, seguida da impressão da imagem e, por fim, anexando o documento impresso em uma petição.

Contudo, este procedimento tido como normal no cenário atual está em desarmonia com os padrões da norma analisada, traduzindo-se então como uma prova digital de característica inidônea.

Mas por quê?

Porque essa evidência digital pode até ser relevante do ponto de vista da investigação, mas de maneira alguma poderá ser classificada como confiável – já que desta forma restaria inauditável e irrepetível – e, provavelmente, também não seria suficiente para o que se prestaria a provar.

Para evitar essa obscuridade, seria necessário contratar um terceiro, preferencialmente um profissional técnico, imparcial e com habilidades para a realização do procedimento conforme as normas técnicas e as doutrinas da computação forense.

Vamos ainda mais além.

Um advogado conhecedor da norma saberia que após o DEFR coletar e/ou adquirir uma evidência digital que seria utilizada contra seu cliente em um determinado processo judicial, que esse profissional deveria descrever detalhadamente como, quando e por quem aquela evidência foi descoberta, encontrada, coletada, tratada, examinada, armazenada, ou seja, tudo o que efetivamente aconteceu com a prova naquela investigação. Logo, a ausência de qualquer uma dessas informações, caso percebida e arguida por um Advogado atento, poderia macular a utilização daquela prova e, consequentemente, ser o caminho improvável para salvar um caso perdido.

Muita informação para você?

Pois saiba que a Norma ABNT NBR ISSO/IEC 27037:2013 vai muito além disso ao longo de suas 50 (cinquenta) páginas, o que demanda um estudo bem mais minucioso e exaustivo.

Conta para a gente o que você achou e, se já está por dentro dos pormenores da norma, conte-nos o que você achou mais interessante!

A gente se vê de novo a qualquer momento.

Ataíde Nunes
Advogado do Urbano Vitalino Advogados.