Possíveis critérios para a exigência do relatório de impacto à proteção de dados a partir de uma análise comparada

Abstract

A proteção de dados no Brasil é regulamentada pela Lei Geral de Proteção de Dados (LGPD). Entre as inúmeras orientações e obrigações dispostas ao longo da LGPD, no artigo 38 da Lei encontra-se a previsão de possível exigência, pela Autoridade Nacional de Proteção de Dados (ANDP), de Relatório de Impacto à Proteção de Dados a ser elaborado pelo Controlador das operações de tratamento de dados. Considerando a ausência de regulamentação específica sobre os Relatórios de Impacto pela Autoridade Nacional de Proteção de Dados (ANPD), a presente monografia, por meio de revisão bibliográfica e método comparativo funcional, objetiva identificar quais seriam os possíveis critérios para a exigência do documento pela Autoridade Nacional. Verifica-se que, nos moldes da legislação europeia, que regulamentou a matéria a partir do General Data Protection Regulation (GDPR), a LGPD optou por uma metodologia baseada em risco para a definição das hipóteses de tratamento de dados que demandariam a elaboração de Relatórios de Impacto. Assim, a partir de uma análise sistemática da experiência europeia no desenvolvimento do tema, bem como dos contornos brasileiros existentes, conclui-se que é possível a utilização, pela ANPD, da metodologia adotada na experiência europeia como subsídio para regulamentação do tema no contexto nacional. Busca se, a partir do presente estudo, contribuir com o desenvolvimento do tema no contexto brasileiro de proteção de dados, a fim de conferir maior segurança jurídica aos agentes de tratamento de dados.

Data protection subject in Brazil is regulated by the “Lei Geral de Proteção de Dados (LGPD)”. Among the numerous guidelines and obligations established throughout the LGPD, the Article 38 provides that the National Agency of Data Protection may require a Data Protection Impact Assessment from the data Controllers. Considering the absence of specific regulation on Data Protection Impact Assessment by the National Agency, this monograph, based on bibliographic review and functional comparative method, aims to identify what could be the possible criteria for the requirement of the document by the National Agency. As in the GDPR, the LGPD opted for a risk-based methodology to define which data treatment hypotheses would require the elaboration of Data Protection Impact Assessment. Considering the systematic analysis of the European experience in developing the theme, as well as the existing Brazilian orientation, the National Agency can use the methodology developed by the European experience to regulate the theme in the national context. This study seeks to contribute for the development of the topic in the Brazilian context of Data Protection, in order to provide legal security to data controllers.