Pular para o conteúdo

DPIA – Relatório de Impacto à Proteção de Dados: Entenda como elaborar

dpia

Neste texto vamos introduzir o DPIA (Relatório de Impacto à Proteção de Dados), apresentar sobre o porquê da necessidade de um DPIA para dados de monitoramento e explicar quais os passos na construção de um DPIA.

Vamos demonstrar como elaborar este documento e esclarecer alguns pontos:

1.Como a organização descreve o tratamento de dados realizado;
2.Como a organização avalia a necessidade e proporcionalidade do tratamento de dados;
3.Como a organização identifica e avalia os riscos;
4.Como a organização identifica e mitiga os riscos; e
5.Como fazer a conclusão do Relatório de Impacto à Proteção de Dados Pessoais – DPIA

DPIA Relatório de Impacto à Proteção de Dados: Precisa de Assessoria Jurídica para Avaliação de Impacto à Proteção de Dados?

O Conselho Europeu de Proteção de Dados e as diretrizes sobre o uso de dados de localização e ferramentas de rastreamento

A maioria dos países europeus estão tomando medidas para lidar com a chamada “fase 2” da pandemia da COVID-19 e estão convergindo para o uso de soluções eficazes de aplicativos de rastreamento de pessoas, com o intuito de fornecer suporte às autoridades de saúde pública e entender a propagação da doença. Nesse contexto, em 16 de abril de 2020, a Comissão Europeia emitiu seu Guia para apoiar os governos dos Estados membros e os desenvolvedores na implementação de aplicativos para combater a pandemia do COVID-19.

A ampla adoção de soluções orientadas a dados (como aplicativos de rastreamento de usuários), por atores públicos e privados, levantam importantes preocupações com a privacidade. Sendo assim, o Conselho Europeu de Proteção de Dados (“EDPB”) emitiu suas Diretrizes sobre o uso de dados de localização e ferramentas de rastreamento de contatos no contexto do surto do COVID-19 para desenvolver uma abordagem europeia comum capaz de ganhar a confiança dos cidadãos. O documento, entitulado “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” está disponível para download aqui.

dpia relatório de impacto à proteção de dados
DPIA – Entenda como elaborar o Relatório de Impacto à Proteção de Dados

O EDPB geralmente considera que os aplicativos de rastreamento de contatos devem ser usados ​​para capacitar, em vez de controlar, estigmatizar ou reprimir indivíduos, e visa esclarecer as condições e os princípios para o uso proporcional de dados de localização e ferramentas de rastreamento de contatos.

A necessidade de um DPIA – Relatório de Impacto a Proteção de Dados – para dados de monitoramento

Um dos pontos de grande importância que vale destacar do Guia de diretrizes é a recomendação de publicação dos DPIAs (Relatório de Impacto à Proteção de Dados). No item 7 do guia, temos que:

Se os dados pessoais forem processados, um DPIA deverá ser realizado antes do processamento dos dados, pois o processamento é considerado provável alto risco (adoção antecipada em larga escala, monitoramento sistemático, uso de nova solução tecnológica). O Comissário recomenda vivamente a publicação de DPIAs.

O que é o DPIA Relatório de Impacto à Proteção de Dados?

O DPIA (Data Protection Impact Assessments), ou ainda, o Relatório de Impacto à Proteção de Dados é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.

Esse documento tem sido constantemente requerido em processos que envolvem a utilização massiva de dados de cidadãos brasileiros, como no caso do metrô de SP e da Vivo.

Como elaborar um DPIA Relatório de Impacto à Proteção de Dados?

O DPIA deve conter os seguintes tópicos, de acordo com o MPDFT:

1 – Como a organização descreve o tratamento de dados realizado

A natureza do tratamento é o que a organização planeja fazer com os dados pessoais. Isso deve incluir:

  • Como a organização coleta os dados;
  • Como a organização armazena os dados;
  • Como a organização usa os dados;
  • Quem tem acesso aos dados;
  • Com quem são compartilhados os dados;
  • Se a organização utiliza operadores (pessoa natural ou jurídica que realiza o tratamento de dados em nome do operador) para tratar os dados;
  • Períodos de retenção;
  • Medidas de segurança;
  • Se a organização utiliza novas tecnologias, e;
  • Se a organização usa algum tipo novo de tratamento.

O escopo é o que o tratamento abrange. Isso deve incluir:

  • A natureza dos dados pessoais;
  • O volume e a variedade dos dados pessoais;
  • A sensibilidade dos dados pessoais;
  • A extensão e frequência do tratamento;
  • A duração do tratamento;
  • O número de dados envolvidos, e;
  • A área geográfica coberta

O objetivo do tratamento é o motivo pelo qual a organização faz o tratamento dos dados. Isso deve incluir:

  • Seus interesses legítimos, quando relevantes;
  • O resultado pretendido para os indivíduos;
  • Os benefícios esperados para a organização ou para a sociedade como um todo.

2 – Como a organização avalia a necessidade e proporcionalidade do tratamento de dados

Neste quesito, a empresa deve conseguir responder acerca de:

  • Existe alguma outra maneira razoável de alcançar o mesmo resultado;
  • Qual a base legal usada para o tratamento de dados;
  • Como a organização pretende garantir a qualidade dos dados;
  • Como a organização pretende fornecer informações de privacidade para os indivíduos;
  • Medidas adotadas para garantir o cumprimento da legislação e das ordens dadas aos operadores, e;
  • Quais são as salvaguardas para as transferências internacionais de dados.

3 – Como a organização identifica e avalia os riscos

Deve ser considerado o impacto potencial sobre os indivíduos e qualquer dano que seu tratamento possa causar, seja físico, emocional ou material. Em particular, observe se o tratamento poderá contribuir para:

  • Incapacidade de exercer direitos (incluindo, mas não se limitando, a direitos de privacidade);
  • Incapacidade de acessar serviços ou oportunidades;
  • Perda de controle sobre o uso de dados pessoais;
  • Discriminação;
  • Roubo de identidade ou fraude;
  • Perda financeira;
  • Danos à reputação;
  • Danos físicos;
  • Perda de confidencialidade, ou;
  • Qualquer outra desvantagem econômica ou social significativa.

Destaca-se, ainda, que a organização deve fazer uma avaliação objetiva dos riscos. Para tanto, recomenda-se a utilização de uma matriz estruturada para pensar sobre a probabilidade e a gravidade dos riscos. Vejamos o exemplo abaixo:

dpia relatório de impacto à proteção de dados
DPIA Relatório de Impacto à Proteção de Dados – Matriz estruturada

4 – Como a organização identifica e mitiga os riscos

A organização deve considerar opções para reduzir estes riscos, como por exemplo:

  • Decidir não coletar certos tipos de dados;
  • Reduzir o escopo do processamento;
  • Reduzir os períodos de retenção;
  • Tomar medidas adicionais de segurança tecnológica;
  • Treinar os colaboradores para garantir que os riscos sejam antecipados e gerenciados;
  • Anonimizar ou pseudoanonimizar os dados, sempre que possível;
  • Elaborar orientações ou processos internos para evitar riscos;
  • Colocar em prática acordos claros de compartilhamento de dados;
  • Fazer alterações nas políticas de privacidade;
  • Implementar novos sistemas para ajudar os indivíduos a exercerem seus direitos.

5 – Conclusão do DPIA Relatório de Impacto à Proteção de Dados Pessoais

A conclusão do Relatório deve contemplar os seguintes pontos:

  • Que medidas adicionais pretende adotar;
  • Se cada risco foi eliminado, reduzido ou aceito;
  • O nível global de risco residual, após a adoção de medidas adicionais.

Este roteiro foi extraído do Inquérito Civil Público n. 08190.005366/18-16 e serve para que empresas desenvolvam seu o próprio DPIA.

Entenda como a ANPD irá realizar a Dosimetria para aplicação de multas pecuniárias em casos de violação à LGPD

Confira o texto completo sobre a Norma de Dosimetria da ANPD para aplicação de sanções administrativas previstas na LGPD.

Evite multas, adeque sua empresa aos requisitos da LGPD!

Time BL Consultoria
Time BL Consultoria
Time BL Consultoria Digital - Direito Digital e Análise Regulatória

Posts Relacionados

Fale Conosco

    Categorias

    Assine nossa Newsletter

    Open chat
    Olá, tudo bem? Como podemos te ajudar?
    Olá! Como podemos ajudar?