Pular para o conteúdo
Compliance MSPA

Tratamento De Dados Pessoais De Alto Risco

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

É qualquer operação de tratamento de dados que, pela sua natureza (ex: dados sensíveis), volume (ex: larga escala) ou tecnologia utilizada (ex: IA), tenha uma alta probabilidade de causar danos significativos aos Titulares (como discriminação, fraudes, ou violação de direitos e liberdades).

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A LGPD não lista exaustivamente o que é “alto risco”, mas exige (Art. 10 e Art. 38) que o Controlador realize um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) sempre que o tratamento puder “gerar riscos às liberdades civis e aos direitos fundamentais”.

A ANPD, através de suas resoluções (como a de Fiscalização e Dosimetria), define o alto risco com base em critérios como:

  • Tratamento de Dados Pessoais Sensíveis.

  • Tratamento em Larga Escala.

  • Uso de novas tecnologias ou métodos.

  • Decisões automatizadas que afetem o Titular.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • Monitoramento em larga escala de funcionários (ex: câmaras com reconhecimento facial).

  • Criação de perfis de crédito (scores) que podem negar serviços a uma pessoa.

  • Operações de um hospital ou plano de saúde, que tratam milhões de Dados Pessoais Sensíveis.

  • Uso de algoritmos de Inteligência Artificial para tomar decisões automáticas sobre pessoas (ex: seleção de currículos, concessão de empréstimos).

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais grave é achar que “alto risco” se aplica apenas a empresas gigantes. Uma Startup ou Pequena Empresa que desenvolve um aplicativo de saúde está a realizar um tratamento de altíssimo risco, mesmo com poucos funcionários, pois lida com Dados Pessoais Sensíveis.

O risco não é definido pelo tamanho da empresa, mas sim pela natureza, escala e finalidade da operação de tratamento.

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

A identificação de um “Tratamento de Dados Pessoais de Alto Risco” é o principal “gatilho” que obriga legalmente a empresa a elaborar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD). A ausência desse relatório, quando o tratamento o exige, é considerada uma Infração Grave pela ANPD.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

  • Dado Pessoal Sensível

  • Princípio da Prevenção

  • Incidente com dados em larga escala

  • Infração Grave

  • Fiscalização