Relatórios de impacto à Proteção de Dados

4.4.4.  Relatórios de impacto à Proteção de Dados

Com a ampla visualização das atividades de tratamento de dados pessoais, ficarão em destaque as atividades que tratem dados pessoais sensíveis, quais sejam, dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural (art. 5º, II), bem como atividades que tratem dados pessoais sob a base legal do legítimo interesse (art. 7º, IX). Nesses dois casos, a Autoridade Nacional de Proteção de Dados, poderá solicitar um Relatório de Impacto à Proteção de Dados (art. 10, §3º e 38) e dos Registros Públicos, que estão sob a disciplina imposta ao Poder Público, também poderá solicitar a publicação desses Relatórios (art.32).

O Relatório de Impacto à Proteção de Dados encontra definição na lei brasileira, como a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (art. 5º, XVII). Esse Relatório deve conter, no mínimo: (i) a descrição dos tipos de dados coletados; (ii) a metodologia utilizada para a coleta e para a garantia da segurança das informações; (iii) a análise com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados, nos termos do art. 38, parágrafo único.

Essa ferramenta tem como correlata europeia a Avaliação (Assessment) de Impacto à Proteção de Dados, o que dá a medida de sua utilidade não apenas como Relatório, é dizer, como simples descritivo da atual situação de determinada atividade de tratamento de dados pessoais, mas também como ferramenta de avaliação de atividades que possam causar maior impacto aos direitos e liberdades dos titulares de dados. Assim, é possível estabelecer uma metodologia para mensurar os pontos de risco e as medidas de mitigação a fim de viabilizar a atividade de tratamento com a observância das normas de proteção de dados. Por esse motivo, embora haja previsão legal para sua elaboração nas hipóteses mencionadas, ele pode ser utilizado em quaisquer hipóteses nas quais o controlador compreenda haver maior risco aos titulares e queira mitigá-los para conformidade à legislação de proteção de dados.

← Sumário | Próximo tópico →

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s