Relatório de Impacto à Proteção de Dados: Mitos e Verdades – Parte 2

foto de detaque do relatório de impacto à proteção de dados

1.  Introdução: Relatório de Impacto à Proteção de Dados

No artigo anterior, nós discutimos o que é o relatório de impacto à proteção de dados conforme a Lei Geral de Proteção de Dados e realizamos um paralelo com o RIPD e o RoPA.

Neste artigo, começaremos a discorrer sobre o que é o Data Protection Impact Assessment e o GDPR. Além disso, analisaremos se o Relatório de Impacto à Proteção de Dados é facultativo ou obrigatório de acordo com a LGPD.

2. Data Protection Impact Assessment (DPIA) e o GDPR

O art. 35 do GDPR traz regras específicas para o denominado “Data Protection Impact Assessment (DPIA)”, a saber:

1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação.

O WP 29 elaborou um parecer n. 248 sobre o tema,  oferecendo diretrizes sobre este documento, além de uma relação das hipóteses nas quais este documento é obrigatório.

São nove as circunstâncias nas quais o DPIA será obrigatório:

  1. Avaliação de crédito (Credit Scoring)
  2. Criação de perfis a partir de decisões automatizadas
  3. Monitoramento sistemático (ex. câmeras de segurança)
  4. Tratamento de dados pessoais sensíveis
  5. Tratamento de dados pessoais em massa
  6. Combinação de duas ou mais operações de tratamento de dados
  7. Tratamento de dados pessoais de vulneráveis
  8. Tratamento de dados com aplicação de tecnologias novas
  9. Tratamento de dados que impeça o exercício de um ou mais direitos assegurados aos titulares de dados

Na Europa, discute-se se basta constatar uma destas circunstâncias para a obrigatoriedade do DPIA, ou se basta constatar uma delas. Matteo Colombo (no curso do IAPD para DPO), afirma que o ideal seria determinar a obrigatoriedade se coexistirem duas ou mais destas circunstâncias.

3. Relatório de Impacto à Proteção de Dados e a LGPD: documento obrigatório ou facultativo?

foto sobre relatório de impacto à proteção de dados

No Brasil, ainda não se tem uma definição de circunstâncias nas quais esse relatório de impacto seja obrigatório, caberá à ANPD tal definição em resolução específica sobre RIPD consoante inc. XIII do art. 55-J da LGPD.

Consoante o que dispõe a LGPD, em se tratando de tratamento de dados com base no legítimo interesse (§ 3º do art. 10 da LGPD) ou se tratando de tratamento de dados pessoais sensíveis (art. 38 LGPD), este documento é obrigatório. Nas outras situações, o Relatório de Impacto à Proteção de Dados será facultativo. Muitas implementações da LGPD estão elaborando o RIPD sempre, fundamentando no princípio da responsabilidade e prestação de contas (accountability). No entanto, entendemos que este documento deve ser elaborado com parcimônia, pois se deve adotar a metodologia adequada, bem como as medidas de salvaguardas eficientes, caso contrário, o agente de tratamento de dados poderá produzir prova contra si mesmo, documentando algo que não existe ou impraticável.

4. Conclusão

O Relatório de Impacto à Proteção de Dados é entendido como documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Este documento se distingue do Data Mapping (entendido como as ferramentas aplicáveis para o inventário de dados a partir de uma taxonomia). E, também, não se confunde com o RoPA (Record of Processing Activities), elaborado com base no Data Mapping, no qual se descreve a finalidade do tratamento de dados, a base legal, as medidas de segurança, a transferência internacional e etc.

É de suma importância que o Relatório de Impacto à Proteção de Dados observe uma metodologia adequada para a avaliação do risco que pode variar entre um risco baixo até um risco elevado conforme a ISO 29.134.

5. Referências bibliográficas

BRASIL. Governo Digital. Guia de Avaliação de Riscos de Segurança e Privacidade. Disponível em: < https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-avaliacao-de-riscos-de-seguranca-e-privacidade.pdf>, acesso em 05 de maio de 2021.

CNIL. The open source PIA software helps to carry out data protection impact assesment. Disponível em: < https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment>, acesso em 05 de maio de 2021.

FINOCCHIARO, Giusella. Privacy e protezione dei dati personali: disciplina e strumenti operativi. Bologna: Zanichelli, 2012.

ICO. Data Mapping. Disponível em: < https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/data-mapping/>, acesso em 05 de maio de 2021.

______. ROPA Requirements. Disponível em: <https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/ropa-requirements/>, acesso em 05 de maio de 2021.

LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a Efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2020.

UNIÃO EUROPEIA. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível em: < https://eur-lex.europa.eu/eli/reg/2016/679/oj>, último acesso em 05 de maio de 2021.

WORKING PARTY 29. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248rev.01. Disponível em: < https://ec.europa.eu/newsroom/article29/items/611236>, acesso em 05 de maio de 2021.

+ posts

Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD. Advogada.

+ posts

Advogada e Docente da Faculdade de Direito de Ribeirão Preto - USP. Pós-Doutora pela Université Paris I Panthéon-Sorbonne. Academic Visitor da Faculty of Law of the University of Oxford. Doutora e Graduada em Direito pela Faculdade de Direito da USP.

Artigos relacionados

Dever de Notificação dos Incidentes de Segurança com Dados Pessoais – Parte 1

Neste artigo, você compreenderá o que são incidentes de segurança à proteção de dados e como se efetivam as notificações dos incidentes de segurança. Assim, você verá os principais aspectos do dever de notificação dos incidentes de segurança com dados pessoais. Além disso, serão analisados os principais dispositivos do ISO 29.134/2017.

Respostas