O GDPR, em sua Seção 3, artigo 35, trata da realização de uma avaliação de impacto sobre a proteção de dados, sempre que o tratamento dos dados pessoais levar a um risco elevado para os direitos e liberdades dos titulares dos dados, considerando as tecnologias usadas, natureza, âmbito, contexto e finalidades do tratamento dos dados. Tal avaliação deve ser feita sempre antes do início do tratamento dos dados.

O item 3 do artigo 35 acima mencionado traz as hipóteses nas quais a realização da avaliação de impacto sobre a proteção de dados é obrigatória, sendo elas, em suma: (a) avaliações sistemáticas e completas de pessoas naturais, incluindo a definição de perfis, mais conhecida como profiling, e sobre as quais decisões que produzam efeitos jurídicos ou que afetem o titular dos dados são tomadas; (b) realização de operações de tratamento de dados sensíveis ou dados relacionados com condenações penais e infrações, em grande escala; ou (c) monitoramento sistemático de áreas acessíveis ao público em geral, em grande escala.

Vale ressaltar que as autoridades de controle de cada Estado-Membro, nos termos do artigo 35, item 4, devem elaborar e tornar públicas suas listas dos tipos de operações que entendem estarem sujeitas à realização da avaliação de impacto. Ainda, nos termos do item 5, do artigo 35, as autoridades também podem elaborar listas de atividades que consideram prescindir da avaliação de impacto.

Diferentemente do GDPR, que contém uma Seção específica para tratar da elaboração da avaliação de impacto, a LGPD traz disposições esparsas sobre a realização da avaliação de impacto, chamada na LGPD de relatório de impacto à proteção de dados pessoais.

A elaboração do relatório de impacto é citada, pela primeira vez, no parágrafo 3º do artigo 4º, inciso III.

O inciso III do artigo 4º dispõe sobre hipóteses de não aplicação da LGPD, mais especificamente, quando o tratamento dos dados pessoais for realizado para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais.

O parágrafo 3º do artigo 4º faz referência ao citado inciso III, prevendo que a autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.

A previsão acima parece contraditória, na medida em que, se afastada a aplicação da LGPD, nos casos previstos no inciso III do artigo 4º, não haveria que se falar na elaboração de relatórios de impacto, exceto se a elaboração do relatório de impacto servir exatamente para determinar se o tratamento dos dados pessoais realmente se enquadra nas hipóteses previstas no inciso III.

A elaboração do relatório de impacto à proteção de dados pessoais é citada também no parágrafo 3º do artigo 10 da LGPD, que trata de exemplos nos quais é permitido o tratamento de dados com base no legítimo interesse do controlador. O mencionado parágrafo 3º prevê que a autoridade nacional poderá solicitar ao controlador a elaboração de relatório de impacto quando o tratamento dos dados tiver como base legal o legítimo interesse.

O Capítulo IV da LGPD, que dispõe sobre o tratamento de dados pessoais pelo Poder Público também contém uma previsão sobre a elaboração do relatório de impacto. O artigo 32 da LGPD, último artigo do Capítulo IV, prevê que a autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais.

O artigo 38 da LGPD é o último a tratar da elaboração do relatório de impacto à proteção de dados pessoais, prevendo que a autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento.

Assim, diferentemente do GDPR que traz hipóteses nas quais a realização da avaliação de impacto é obrigatória, sem prejuízo de listas a serem emitidas pelas autoridades do Estados-Membros, parece-nos que a elaboração do relatório de impacto prevista na LGPD depende sempre de solicitação da autoridade nacional e de regulamento a ser emitido. Considerando que os artigos que previam a criação da autoridade nacional foram vetados, enquanto não criada a autoridade, resta prejudicada a interpretação sobre a necessidade de elaboração dos relatórios de impacto.

Considerando que a LGPD foi inspirada fortemente pelo GDPR e contém princípios muito parecidos, enquanto não houver a criação da autoridade nacional e, portanto, a publicação de regulamentos ou orientações sobre a elaboração do relatório de impacto, sugerimos que os controladores, sujeitos à LGPD, sigam as hipóteses de obrigatoriedade previstas no GPDR.

Fonte: https://www.lexmachinae.com/2019/03/14/dpia-lgpd-gdpr/

Por: Luanna Peporini