Lgpd - Lei Geral de Proteção de Dados Pessoais: Manual de Implementação - Ed. 2021

Capítulo 8. Elaboração e Revisão de Documentos - III – Procedimentos Específicos

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Walter Aranha Capanema

Advogado e Professor. Diretor de Inovação e Ensino da Smart3. Coordenador da Pós-Graduação em Direito Digital do IERBB-MPRJ. Coordenador do Curso em Extensão em Direito Eletrônico da Escola da Magistratura do Estado do Rio de Janeiro (EMERJ).

1. Introdução

A atividade de adequação às regras da Lei Geral de Proteção de Dados não se resume ao emprego de medidas tecnológicas e padrões de segurança.

Na verdade, inclui, também, a necessidade de elaboração, manutenção e revisão de documentos.

Tal tarefa, a princípio, poderia parecer uma medida meramente burocrática: o armazenamento de uma “montanha digital” de documentos.

Na realidade, esses documentos, que serão abordados no presente capítulo, possuem duas finalidades essenciais:

a) accountability 1 : a accountability pressupõe um dever de prestar contas de forma transparente, guardando fundamentação nos princípios da transparência 2 e da responsabilização e prestação de contas 3 , previstos, respectivamente, no art. , VI e X, da LGPD.

Significa dizer, a princípio, que quando o titular exercer o seu direito potestativo de informação previsto no art. 18 4 , o controlador conseguirá localizar, acessar e fornecer informações relativas aos dados do titular que estão sendo tratados.

Mas a accountability não está restrita ao atendimento das demandas de informações dos titulares. Inclui a prestação de informações à Autoridade Nacional de Proteção de Dados, que ocorrerá, dependendo da situação, por meio de solicitações 5 , comunicações 6 ou auditorias 7 , com a finalidade principal de ­demonstrar para o órgão fiscalizador a adequação (ou intenção de adequação) aos ditames da lei.

b) Prova pré-constituída: um dos grandes temores das empresas é o de serem acionadas na Justiça por ações de responsabilidade civil ou ações civis públicas em que se pleiteiem elevadas quantias fundamentadas em incidentes de segurança, especialmente os vazamentos de dados.

Uma empresa com um sistema de documentação eficiente poderá fundamentar melhor as suas defesas processuais, especialmente porque a LGPD admite a inversão do ônus da prova nas ações de responsabilidade civil, transferindo grande parte da produção probatória para os agentes de tratamento (art. 42, § 2º 8 ).

Não basta a criação desses documentos. Eles precisam ser constantemente revistos e reanalisados, verificando-se se os dados pessoais estão sendo devidamente protegidos e resguardados de riscos internos e externos. Até porque, a atividade de verificação de conformidade (compliance) é um processo contínuo.

Portanto, diante da evidente necessidade de se documentar as atividades relativas ao tratamento de dados, passa-se a analisar os documentos mais importantes relacionados à LGPD.

2. Documentos

2.1. Relatório de Impacto à Proteção de Dados Pessoais

O Relatório de Impacto à Proteção de Dados Pessoais, denominado de Data Protection Impact Assessment (DPIA) na General Data Protection Regulation – GDPR 9 , é conceituado como a:

documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco (art. 5º, XVII).

A Information Commissioner´s Office 10 – ICO, autoridade de proteção de dados do Reino Unido, assim define o DPIA:

Um DPIA é um processo projetado para ajudá-lo a analisar, identificar e minimizar sistematicamente os riscos de proteção de dados de um projeto ou plano. É uma parte fundamental de suas obrigações de responsabilidade sob o GDPR e, quando feito de forma adequada, ajuda a avaliar e demonstrar como você cumpre todas as suas obrigações de proteção de dados. 11

A finalidade do DPIA, curiosamente, é muito parecida com a figura do Estudo de Impacto Ambiental (EIA), 12 em que se faz um prognóstico do empreendimento a ser implantado, verificando os possíveis riscos e formas de mitigá-los ou evitá-los.

Busca-se, no DPIA, portanto, minimizar os riscos aos dados pessoais, até mesmo eliminando os processos que possam configurar uma séria ameaça àqueles. Os riscos que permanecerem devem, portanto, ser devidamente justificados, guardando razoabilidade com o tratamento de dados 13 . Pode ser relacionado a um tratamento específico ou a um grupo de tratamentos semelhantes.

É, portanto, “um processo para construir e demonstrar compliance14 .

A LGPD trouxe elementos mínimos do DPIA no art. 38, parágrafo único:

a descrição dos tipos de dados coletados: se são dados pessoais convencionais e sensíveis;

a metodologia utilizada para a coleta e para a garantia da segurança das informações: quais as técnicas utilizadas para o tratamento de dados e quais os sistemas de segurança serão utilizados;

e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados: verificar se …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
26 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1197026534/capitulo-8-elaboracao-e-revisao-de-documentos-iii-procedimentos-especificos-lgpd-lei-geral-de-protecao-de-dados-pessoais-manual-de-implementacao-ed-2021