Data Protection Officer (Encarregado) - Ed. 2020

Data Protection Officer (Encarregado) - Ed. 2020

Relatório de Impacto à Proteção de Dados e Avaliação de Legítimo Interesse

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Marcos Vinícius Palomo Pessin 1

Paulo Lilla 2

1.Introdução

A Lei n.º 13.709/2018, conhecida como Lei Geral de Proteçâo de Dados Pessoais ( LGPD), estabelece um regime jurídico específico para o tratamento de dados pessoais, prevendo um conjunto de princípios, direitos, deveres, garantias, vedações e sanções.

Inspirada no Regulamento Geral de Proteção de Dados da União Europeia (General Data Protection Regulation – EU 2016/679 – GDPR), 3 vigente desde 25 de maio de 2018, a LGPD aplica-se a titulares 4 e agentes de tratamento de dados pessoais – controladores 5 e operadores 6 , cabendo a esses últimos o dever de adequar suas operações de tratamento de dados à nova regulação, o que pressupõe a compreensão dos instrumentos que permitem essa conformidade.

A LGPD, assim como o GDPR, prevê o princípio da responsabilização e prestação de contas (accountability), 7 o qual pressupõe que os agentes de tratamento devem garantir a adequação às normas de proteção de dados pessoais e serem capazes de demonstrar sua conformidade.

Ademais, da mesma forma que o GDPR, a LGPD pode ser vislumbrada como um diploma normativo que estabelece instrumentos para a gestão de riscos à privacidade, possibilitando que os agentes de tratamento avaliem os impactos das operações envolvendo dados pessoais dos titulares de tais informações, isto é, compreender em que medida novos modelos de negócios, tecnologias, produtos e serviços podem impactar os direitos e as liberdades fundamentais dessas pessoas durante todo o ciclo de vida do dado, desde a coleta até o descarte. 8

Entre os instrumentos que a LGPD oferece para gerir riscos à privacidade com o propósito de estabelecer e demonstrar conformidade, destaca-se o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) ou, como é denominado no GDPR, Data Protection Impact Assessment (DPIA).

O RIPD previsto na LGPD, tal como o DPIA no GDPR, constitui instrumento de gestão de riscos à privacidade a ser utilizado pelo controlador para avaliar os impactos de operações de tratamentos de dados à privacidade dos titulares dessas informações, a partir do desenvolvimento de novas tecnologias, oferta de produtos ou prestação de serviços.

Outro instrumento de gestão de risco à privacidade é a Avaliação de Legítimo Interesse (Legitimate Interest Assessment – LIA), a qual, embora não esteja expressamente prevista no GDPR e na LGPD, constitui boa prática para o controlador avaliar em que medida a utilização da base legal do legítimo interesse impacta os direitos, as liberdades e as expectativas razoáveis dos titulares em relação ao tratamento de seus dados pessoais, de modo a auxiliar na escolha ou não desse fundamento para determinada operação de tratamento.

Desse modo, tendo em vista a relevância do RIPD e da Avaliação de Legítimo Interesse para o modelo regulatório da LGPD, em especial para os projetos de adequação à regulação, este artigo propõe-se a apresentar tais instrumentos, a partir de uma análise teórica e prática, de acordo com a LGPD e o GDPR, com a ressalva de que há muito a ser compreendido com a aplicação e interpretação da LGPD pelos órgãos de fiscalização no Brasil, em especial pela Autoridade Nacional de Proteção de Dados (ANPD).

2.Relatório de Impacto à Proteção de Dados

2.1.Origem

No Brasil, apesar de já existirem diversas normas setoriais sobre proteção de dados, como as previstas no Código de Defesa do Consumidor e no Marco Civil da Internet, entre outras, o RIPD é uma novidade trazida pela LGPD.

O RIPD é definido na LGPD como a documentação do controlador que descreve os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos (art. , XVII, LGPD).

Não obstante ser definido na LGPD como um documento, o conteúdo previsto para um RIPD estabelece um processo, o qual consiste em avaliar os impactos de determinado projeto sobre a proteção de dados pessoais, como aqueles envolvidos no desenvolvimento de produtos ou na prestação de serviços, a partir da identificação e do detalhamento dos seus riscos e das medidas necessárias para evitá-los ou mitigá-los, antes e depois do seu início.

Embora seja uma novidade na legislação brasileira sobre proteção de dados, trata-se de um instrumento de avaliação de risco que vem sendo utilizado desde meados da década de 1990 na Austrália, Canadá, Nova Zelândia e Estados Unidos da América, nos quais foi denominado de Avaliação de Impacto à Privacidade (Privacy Impact Assessment – PIA). 9

Na legislação sobre proteção de dados pessoais da União Europeia, por sua vez, a Diretiva n.º 95/46/EC 10 , em seu artigo 20, intitulado “Controle Prévio”, introduziu o precursor do PIA ao estabelecer que os Estados-membros deveriam especificar as operações de tratamento de dados que pudessem oferecer riscos específicos aos direitos e liberdades dos seus titulares, além de avaliá-las antes mesmo do seu início. 11

O controle prévio, ao ser incorporado pelos Estados-membros da UE, resultou no desenvolvimento e na utilização de diversos instrumentos pelas suas respectivas Autoridades de Proteção de Dados, como auditorias específicas e o próprio PIA. A Autoridade de Proteção de dados do Reino Unido (Information Commissioner’s Office – ICO), por exemplo, publicou um manual sobre PIA em 2008 12 e, no ano seguinte, adotou o PIA como medida mínima obrigatória para o Governo e suas agências. 13

A Comissão Europeia, também em 2010, indicou, em uma comunicação ao Parlamento Europeu tratando sobre os desafios da proteção de dados pessoais, 14 15 anos após a Diretiva n.º 95/46/EC, que analisaria a possibilidade de incluir na legislação europeia a obrigatoriedade da realização de PIA para controladores em determinadas operações de tratamento, como as que envolvessem dados sensíveis, vigilância por vídeo ou perfilamento (profiling).

Em 2011, o Grupo de Trabalho do Artigo 29º para Proteção de Dados (Article 29 Data Protection Working Party – WP29) endossou uma proposta de modelo de PIA, elaborada pelo setor da indústria de aplicações com identificação por radiofrequência (Radio-Frequency IDentification – RFID), em virtude de uma recomendação da Comissão Europeia. 15

Apesar dessa evolução na experiência da UE sobre o PIA, a elaboração deste não era obrigatória em quase todos Estados-membros, o que somente foi alterado em 2016, com a aprovação do GDPR, legislação que substituiu a Diretiva n.º 95/46/EC, sendo denominado “Avaliação de Impacto sobre a Proteção de Dados” (Data Protection Impact Assessment – DPIA).

O Considerando n.º 89 do GDPR parece reconhecer o controle prévio, previsto na Diretiva 95/46/CE, como precursor do DPIA. As obrigações decorrentes do controle prévio foram substituídas no GDPR por regras e procedimentos mais eficazes e centrados nas operações de tratamento suscetíveis de resultar em risco elevado para os direitos e liberdades dos titulares dos dados, implicando a obrigatoriedade de realização do DPIA nesses casos.

O GDPR, apesar de não definir o DPIA expressamente, permite conceituá-lo, a partir do Considerando n.º 84 e do art. 35 (7), como um processo concebido para descrever e avaliar a necessidade e a proporcionalidade de determinada operação de tratamento de dados pessoais, além de ajudar a gerir os riscos para os direitos e liberdades dos seus titulares e a determinar as medidas necessárias para mitigá-los.

Em 2017, antes mesmo da vigência do GDPR, o WP29 estabeleceu diretrizes referentes ao DIPA, as quais foram endossadas pelo seu substituto, o Comitê Europeu de Proteção de Dados (European Data Protection Board – EDPB), e auxiliam na compreensão das disposições do GDPR sobre o tema, abordando a obrigatoriedade, metodologia, interação com a Autoridade de Proteção de Dados e recomendações.

A partir da evolução dos processos de avaliação de impacto à proteção de dados pessoais, torna-se evidente que o RIPD é resultado da adoção de um modelo regulatório inspirado no GDPR, o que permite admitir que a experiência europeia seja utilizada como parâmetro …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
15 de Agosto de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548773/relatorio-de-impacto-a-protecao-de-dados-e-avaliacao-de-legitimo-interesse-data-protection-officer-encarregado-ed-2020