• Eduardo Natale

O que é o relatório de impacto à proteção de dados pessoais?

Um importante elemento da Lei Geral de Proteção de Dados (LGPD) é o relatório de impacto à proteção de dados pessoais, também conhecido, em inglês, por DPIA (Data Protection Impact Assessment). Mas o que exatamente é esse relatório?


A LGPD define como sendo a:


documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco

Vamos por partes:


  • "documentação do controlador” É o controlador, pessoa que dita as regras do tratamento de dados, que tem a obrigação de elaborá-lo.

  • “que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais” Que processos são esses? Essa resposta depende da análise de alguns fatores, principalmente que tipos de dados estão sendo tratados. No caso das organizações do setor de saúde, é possível afirmar que quase todos carregam esse potencial, pois lidam, na sua essência, com dados sensíveis. Como deve ser feita essa descrição? É preciso aguardar a Autoridade Nacional de Proteção de Dados (ANPD) regulamentar esse assunto para saber o nível de detalhamento necessário. Porém, já existem algumas diretrizes. Deve conter, no mínimo: · A descrição dos tipos de dados coletados; · A metodologia utilizada para a coleta e para a garantia da segurança das informações; · A análise do controlador em relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados. Além disso, outra coisa é certa: a empresa não deverá revelar informações referentes a seus segredos de negócio.

  • “bem como medidas, salvaguardas e mecanismos de mitigação de risco” Essa determinação atende aos princípios da segurança e da prevenção. Como estamos falando de tratamentos que podem gerar riscos aos direitos dos titulares, nada mais justo do que adotar medidas capazes de manter os dados seguros e de prevenir a ocorrência de danos se houver algum problema.


É importante saber que, se um negócio utiliza, para fundamentar o tratamento dos dados pessoais que processa, a base legal do legítimo interesse, então poderá ser obrigado a manter o relatório, sob determinação da ANPD. Esse é um motivo para preferir enquadrar o tratamento em outra hipótese legal.


Se você tiver qualquer pergunta, fique à vontade para mandar um e-mail para contato@natale.adv.br

Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook