Busca sem resultado
Comentários ao Gdpr: Regulamento Geral de Proteção de Dados da União Europeia

Comentários ao Gdpr: Regulamento Geral de Proteção de Dados da União Europeia

7. Avaliação de Impacto Sobre a Proteção de Dados

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Fabricio da Mota Alves

Advogado e Professor em Direito Digital. Sócio do escritório Antônio Fernando de Souza e Garcia de Souza Advogados Associados e Coordenador da área de Proteção de Dados, Tecnologia e Inovação. Membro da Comissão Nacional de Proteção de Dados do Conselho Federal da Ordem dos Advogados do Brasil. Non Key Expert da Comissão Europeia. Alumnus do International Visitors Leadership Program em Regulação e Legislação na Era Digital e do European Union Visitors Program. Coordenador jurídico da Frente Parlamentar de Proteção de Dados Pessoais. Professor em Privacidade e Proteção de Dados do Instituto Brasiliense de Direito Público – IDP, do Instituto de Ensino e Pesquisa – Insper e da Legal, Ethics & Compliance – LEC, Pontifícia Universidade Católica do Paraná, Campus de Toledo, Escola Paulista de Direito, Fundação Getulio Vargas (Rio de Janeiro). Membro benemérito da Associação Brasileira de Proteção de Dados – ABPDados e membro associado da International Association of Privacy Professionals.

1.Considerações preliminares

O Regulamento Geral de Proteção de Dados (GDPR) – trouxe, com relação à Diretiva 96/45, uma novidade relevante: a obrigatoriedade de realização de avaliações de impacto de risco sobre o tratamento de dados pessoais (data protection impact assessment), ou, adotando-se a nomenclatura normativa (e, portanto, protocolar), avaliação de impacto sobre a proteção de dados (AIPD), em circunstâncias específicas.

Necessário destacar a mudança de cultura não somente jurídica, mas corporativa, na medida em que, muito embora a AIPD seja obrigatória somente em alguns casos, ainda assim, isso não significa que esse procedimento não possa ser útil nas demais situações em que se torne mera faculdade.

Em outras palavras, seguramente não há melhor maneira de demonstrar a conformidade com o GDPR do que a realização de uma AIPD.

Embora o texto do regulamento europeu forneça algum grau de orientação para a realização da AIPD, as diretrizes publicadas pelo Grupo de Trabalho do Artigo 29º para a Proteção de Dados 1 (GT29), adotadas em abril de 2017, mas revisadas pela última vez em outubro de 2017, são muito úteis, especialmente pela clareza de suas informações.

Nesse sentido, a importância da AIPD fica evidenciada nas diretrizes do GT29 quando, de forma inaugural, busca definir o seu escopo:

Uma AIPD é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos. As AIPD são instrumentos importantes em matéria de responsabilização, uma vez que ajudam os responsáveis pelo tratamento não apenas a cumprir os requisitos do RGPD, mas também a demonstrar que foram tomadas medidas adequadas para assegurar a conformidade com o regulamento (ver também artigo 24º). Por outras palavras, uma AIPD é um processo que visa estabelecer e demonstrar conformidade.

Portanto, a AIPD é uma forma bastante eficaz de demonstrar conformidade com o GDPR, paralelamente à elaboração de códigos de conduta.

O investimento de tempo e de recursos econômicos ou de pessoal para esse tipo de procedimento agrega valor às atividades corporativas de uma empresa, na medida em que reforçam a permanente preocupação de mitigação de riscos ao titular dos dados pessoais.

2.Sobre a nomenclatura

Antes, porém, de adentrar ao tópico em questão, faz-se necessária uma breve digressão acerca da nomenclatura adotada com relação a esse instituto.

O nomen iuris, aliás, é um importante elemento para o estudo e a aplicação das obrigações regulatórias previstas no GDPR: estabelecer a forma com que se denominará determinado procedimento ou obrigação legal então previstos é o primeiro passo para a conformação, ainda que, nesse caso, pouco relevante para o resultado prático e efetivo do cumprimento das cominações previstas na legislação.

A prática, possivelmente, tem impacto mais significativo sobre a cultura de adequação regulatória tanto do agente responsável pelo tratamento de dados pessoais como da própria sociedade.

Não que a adoção de nomenclaturas diversificadas implique diferença de tratamento jurídico, mas, ao contrário, a fidelidade na denominação do instituto com relação àquele adotado ostensivamente pelo legislador implica uniformidade e objetividade doutrinárias, além de revelar tecnicidade jurídica e legislativa por quem a pratica.

Veja-se que o procedimento, em si, é nominado expressamente, pelo próprio Regulamento europeu 2 , ora como “avaliação de impacto da proteção de dados” 3 , ora como “avaliação de impacto sobre a proteção de dados” 4 , sendo esta última a nomenclatura mais recorrente, além de ser a formalmente adotada para intitulação do próprio Artigo 35º:

Secção 3

Avaliação de impacto sobre a proteção de dados e consulta prévia

Artigo 35º

Avaliação de impacto sobre a proteção de dados

Doutrinariamente, ainda se adota a denominação “avaliação de impacto de privacidade” (privacy impact assessement). Porém, como já mencionado, a adoção desta ou de outra nomenclatura não importa distinção de responsabilidades e obrigações regulatórias – essas muito claramente estabelecidas no GDPR consoante o contexto do tratamento.

A título de ilustração acerca da diversidade de adoção de nomenclatura, pode-se citar o conjunto de diretrizes para avaliação de impacto de privacidade adotada pela ISO (International Organization for Standardization) e pela IEC (International Electrotechnical Commission), que, juntas, compõem o sistema internacional de padronização.

O Comitê Técnico Conjunto ISO/IEC JTC 1, responsável pelas propostas de padronização de atividades …

Uma nova experiência de pesquisa jurídica em Doutrina. Toda informação que você precisa em um só lugar, a um clique.

Com o Pesquisa Jurídica Avançada, você acessa o acervo de Doutrina da Revista dos Tribunais e busca rapidamente o conteúdo que precisa dentro de cada obra.

  • Acesse até 03 capítulos gratuitamente.
  • Busca otimizada dentro de cada título.
Ilustração de computador e livro
jusbrasil.com.br
25 de Abril de 2024
Disponível em: https://www.jusbrasil.com.br/doutrina/secao/7-avaliacao-de-impacto-sobre-a-protecao-de-dados-comentarios-ao-gdpr-regulamento-geral-de-protecao-de-dados-da-uniao-europeia/1339455451