Considerações sobre o Relatório de Impacto à Proteção de Dados
11/04/2023
Adriana Garibe
A Lei Geral de Proteção de Dados prevê a elaboração, pelas empresas que realizam tratamento de dados, de um Relatório de Impacto à Proteção de Dados (DPIA – sigla em inglês). A análise a partir do referido Relatório se revela uma importante ferramenta de verificação de conformidade ou não da organização com a LGPD. Assim, o Relatório se presta a avaliar se o tratamento de dados está ocorrendo de forma adequada ou se viola direitos fundamentais dos titulares, por exemplo. Neste contexto, o Relatório pode colaborar muito com o desenvolvimento das empresas no sentido de identificar pontos de melhoria. Com isso, ainda, as empresas evitam riscos jurídicos e financeiros oriundos da violação da legislação aplicável.
O Relatório em questão pode ser visto como uma espécie de prestação de contas, por isso é necessário que seja extremamente transparente, detalhado e preciso. O conceito do Relatório de Impacto à Proteção de Dados é trazido pelo artigo 5º, inciso XVII, da LGPD, que o define como a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Em resumo, o Relatório deve conter as seguintes informações: como a organização realiza a coleta de dados pessoais, quem tem acesso a estes dados, com quem são compartilhados, as medidas de segurança adotadas, se o tratamento de dados realizado é capaz de causar impactos sobre os indivíduos, qual a base legal para o tratamento de dados, políticas de privacidade da empresa, entre outros. Após, o Relatório deve trazer uma conclusão contendo quais foram os riscos identificados e as medidas que devem ser adotadas para evitar os impactos negativos.
Entretanto, diferente da legislação europeia, a LGPD não estabelece uma obrigatoriedade de elaboração do Relatório pelas organizações. Trata-se, portanto, de uma recomendação. Ele pode ser demandado à empresa a depender do caso. A Lei Geral de Proteção de Dados (“LGPD”), prevê a possibilidade de demanda do DPIA por parte da Autoridade Nacional nas seguintes hipóteses:
- Quando o tratamento de dados for fundamentado na base legal do legítimo interesse (art. 10, §3º).
- Em qualquer outra hipótese que a Autoridade Nacional entender necessário (art. 38).
De acordo com a definição legal, poderíamos entender, portanto, que o DPIA somente poderia ser demandado em casos que envolvessem riscos às liberdades civis e direitos fundamentais dos titulares, entretanto, não é o que prevê os demais artigos da LGPD.
Ao lermos o artigo 38, verificamos que o dispositivo estabelece que a Autoridade poderá solicitar o Relatório de Impacto, bem como o artigo 10, §3º, sem a menção relacionada a riscos a direitos e liberdades fundamentais, resultando em interpretação de que seria a critério da Autoridade Nacional.
Desta forma, não fica claro na legislação brasileira quando o DPIA é, de fato, necessário, entretanto, a orientação é a de que o DPIA seja realizado para as atividades de tratamento que demonstrem riscos a direitos e liberdades individuais, ainda que identificados como baixos ou remotos, a fim de prevenir eventual demanda inesperada por parte da Autoridade.
De qualquer sorte, os especialistas destacam que o Relatório de Impacto à Proteção de Dados é um interessante aliado e de suma importância para adequação das empresas à LGPD, bem como para fomentar uma nova cultura corporativa condizente com os direitos fundamentais dos titulares de dados pessoais.