O inciso XVII do art. 5º da Lei Geral de Proteção de Dados traz o conceito de relatório de impacto à proteção de dados pessoais: “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
O relatório de impacto é um documento essencial para as organizações que realizam o tratamento de dados, porque descreve todo o seu processamento e o ciclo do tratamento. Em resumo, é a documentação pelo controlador da descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
A LGPD define genericamente as hipóteses de elaboração obrigatória do relatório de impacto (tratamento de dados pessoais com risco às liberdades civis e aos direitos fundamentais) e atribui à Autoridade Nacional de Proteção de Dados o poder-dever de regulamentar a matéria, inclusive para o tratamento de dados pessoais sensíveis (art. 38).
A ANPD também poderá exigir a elaboração do relatório de impacto quando a base legal de tratamento for o legítimo interesse do controlador (art. 10, § 3º, da LGPD) e para o tratamento realizado por pessoas jurídicas de direito público (art. 32 da LGPD).
Por exemplo, em 2020 a autoridade de proteção de dados da Finlândia (Office of the Data Protection Ombudsman) aplicou uma multa de 72 mil euros a uma empresa de transporte de passageiros em virtude da utilização de um sistema de vigilância nos seus táxis (formado por câmeras que registram áudio e vídeo no interior dos veículos) sem a prévia elaboração do relatório de impacto, sem a indicação da base legal para o uso das câmeras e tendo em vista que a gravação de áudio viola o princípio da necessidade (porque a finalidade de segurança pretendida pode ser alcançada apenas pelo registro em vídeo).
No Direito Comparado, o art. 35 do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia regula a avaliação de impacto sobre a proteção de dados (Data protection impact assessment), a partir dos seguintes parâmetros: “Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação” (art. 35.1).
De forma complementar, o art. 36 do GDPR trata da consulta prévia (prior consultation), a ser realizada pelo responsável pelo tratamento (controlador) à autoridade de controlo (autoridade nacional) quando a avaliação de impacto indicar que a realização do tratamento “(...) resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco” (art. 36.1).
