Será o fim da abordagem de risco na área da proteção de dados?
Bom, vamos por partes.
Em primeiro lugar, o que significa abordagem de risco na proteção de dados? É o famoso risk-based approach, ou seja, o fato de que devemos pensar na proteção de dados conforme o nível de risco de cada atividade de tratamento.
Isto significa dizer que não se deve estabelecer um padrão genérico e generalizado para abordagem de risco na proteção de dados. Cada atividade de tratamento terá o seu próprio nível de risco e a gestão da privacidade deve levar em consideração este aspecto para que possa ser bem feita.
Como indica o Considerando 76 do Regulamento Geral sobre a Proteção de Dados (“RGPD”) da Europa, “[a] probabilidade e a gravidade dos riscos para os direitos e liberdades do titular dos dados deverá ser determinada por referência à natureza, âmbito, contexto e finalidades do tratamento de dados. Os riscos deverão ser aferidos com base numa avaliação objetiva, que determine se as operações de tratamento de dados implicam risco ou risco elevado.” E é exatamente isto que significa a abordagem de risco: considerar o escopo da atividade para, daí, saber se o risco ao titular é baixo, médio ou alto.
A propósito, não digam Consideranda. Esta palavra é uma tentativa de latinização que não faz sentido algum. O correto em português – seja de Portugal, seja do Brasil – é Considerando.
O raciocínio também está presente em outros Considerandos do RGPD. Por exemplo, o Considerando 75 diz que “[o] risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais […].”. Já o Considerando 83 fala que “[a] fim de preservar a segurança e evitar o tratamento em violação do presente regulamento, o [controlador], ou o [operador], deverá avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem, como a cifragem. […]. Ao avaliar os riscos para a segurança dos dados, deverão ser tidos em conta os riscos apresentados pelo tratamento dos dados pessoais, tais como a destruição, perda e alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos físicos, materiais ou imateriais.”
A análise das atividades de tratamento com base nesta abordagem dependente do nível de risco tem sido um dos principais pilares da gestão da proteção de dados.
Porém, no último dia 22 de abril de 2022 a Autoridade de Proteção de Dados da Áustria (“DSB”) emitiu uma decisão dizendo que não se pode mais utilizar a abordagem baseada em risco especificamente para transferências internacionais. O raciocínio da DSB é este: o RGPD não fala, em seu Capítulo V (sobre transferências internacionais) em “abordagem baseada em risco”.
O contexto da decisão é este: recentemente a CNIL (Autoridade de Proteção de Dados da França) e a própria DSB emitiram decisões dizendo que a transferência internacional de dados pessoais feita pela Google seria ilegal dadas as consequências do Acórdão Schrems II, que invalidou o Privacy Shield em 2020. Como indica o site da noyb, “[d]epois de Schrems II, os advogados das Big Tech e da indústria promoveram uma ‘abordagem baseada no risco’ para as transferências de dados. Eles sugeriram que salvaguardas adicionais, conforme solicitado pelo TJUE, só deveriam ser necessárias no caso de um ‘risco substancial aos direitos e liberdades dos titulares’. A chamada cláusula contratual padrão deveria ser suficiente para ‘casos de baixo risco’, por exemplo, quando ‘somente’ dados como identificadores on line ou endereços IP são transferidos.”
Além disso, a DSB também rejeitou os argumentos da Google de que os sites poderiam ativar a anonimização de IP ao usar ferramentas como o Google Analytics para proteger efetivamente os dados transferidos contra vigilância, especialmente governamental. Isto foi rejeitado por duas razões: primeiro, a anonimização do IP feita pela Google afeta apenas o endereço IP como tal. Dados tais como identificadores online definidos por cookies ou dados de dispositivos são transferidos de forma clara. Segundo, a anonimização do IP só ocorre depois que os dados são transferidos para a Google – inclusive, recentemente fiz uma live no meu Instagram falando sobre este tema.
A decisão da DSB é relevante para o Brasil porque como é sabido, a LGPD é quase uma cópia do RGPD (por mais que muita gente queira negar isso). O art. 33 da LGPD também não traz qualquer referência a esta abordagem baseada em risco. Aliás, a LGPD em geral não fala neste tema, estando o mesmo apenas subentendido no art. 44, inciso II, e no art. 50, § 1º e § 1º, inciso I, alínea “d”. Por isso é importante monitorar estes desenvolvimentos na Europa e verificar a “moda” vai pegar também no Brasil.
E você, o que acha? Será mesmo o fim da abordagem de risco na proteção de dados ou esta é uma situação que será “revertida”? Pessoalmente acho que não faz sentido falar n o fim da abordagem de risco, assim como não faz sentido falar em fim do legítimo interesse na LGPD devido à Emenda Constitucional 115.
Para ler a decisão em alemão clique aqui. Para ler a decisão em inglês clique aqui.