VOCÊ SABE O QUE É UM RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS?

- 05/02/2020

Segundo a definição da Lei nº 13.709/18, Lei Geral de Proteção de Dados brasileira (“LGPD”), o Relatório de Impacto à Proteção de Dados Pessoais é o documento que contempla “a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais” das
pessoas naturais. A LGPD também prevê que o documento em questão deve descrever as “medidas, salvaguardas e mecanismos de mitigação de risco”.

A definição legal, por sua vez, deixa em aberto o critério de apontamento e constatação do risco aos direitos. É certo que, no desempenho de suas atividades econômicas, diversos dados pessoais são tratados diariamente pelas empresas, para as mais diferentes finalidades. Nem todas essas operações de tratamento, contudo, geram riscos às pessoas naturais, nem mesmo potencialmente. Então, como saber se a realização de um relatório de impacto em proteção de dados é obrigatória?

A Lei Geral de Proteção de Dados, diferentemente da legislação europeia que a inspirou 1 , não trouxe em seu texto as hipóteses em que o tratamento, potencialmente, poderá gerar riscos aos titulares. O regulamento europeu aponta as principais hipóteses em que o tratamento dos dados pode ser prejudicial aos direitos e liberdades dos titulares, quais sejam:

a) análises sistemáticas e automatizadas de comportamentos e aspectos pessoais relacionados às pessoas físicas, incluindo o perfilamento;
b) processamento de dados pessoais sensíveis ou de dados pessoais relacionados antecedentes criminais, em larga escala; ou
(c) monitoramento sistemático e em larga escala de uma área acessível ao
público.

No que se refere às análises de comportamento humano e perfilamento, o processamento dos dados se torna ainda mais crítico se referidas análises servirem de base para tomada de decisões que impactem em alguma(s) das seguintes questões: performance e desempenho profissional, situação econômica, comportamentos e preferencias pessoais, situação de saúde e/ou monitoramento de geolocalização.

Para esses tipos de processamento, sem dúvidas, será necessário atenção redobrada e elaboração do Relatório de Impacto. Contudo, os casos apontados na legislação europeia não são exaustivos, ou seja, são exemplos dos principais tratamentos de dados que, comumente, ensejam riscos aos direitos fundamentais e
liberdades individuais das pessoas físicas.

Além destas hipóteses, é possível que outros tratamentos também possam potencialmente colocar em risco os direitos dos titulares, de modo que a recomendação das autoridades de fiscalização europeias é pela realização do Relatório de Impacto sempre que houver dúvidas sobre o potencial danoso da operação.

Dessa forma, as empresas deverão contar com profissionais qualificados e com expertise em privacidade e proteção de dados para auxiliá-los na tomada da decisão de elaborar um relatório de impacto e, e em caso negativo, para auxiliá-los na justificativa pela opção de não o realizar.