DPIA Relatório de Impacto à Proteção de Dados: Entenda como elaborar um

Compartilhe!

Neste texto vamos introduzir o DPIA (Relatório de Impacto à Proteção de Dados), apresentar sobre o porquê da necessidade de um DPIA para dados de monitoramento e explicar quais os passos na construção de um DPIA. Vamos demonstrar como elaborar este documento e esclarecer alguns pontos:
1 – Como a organização descreve o tratamento de dados realizado
2 – Como a organização avalia a necessidade e proporcionalidade do tratamento de dados
3 – Como a organização identifica e avalia os riscos
4 – Como a organização identifica e mitiga os riscos
5 – Como fazer a conclusão do Relatório de Impacto à Proteção de Dados Pessoais – DPIA

dpia relatório de impacto à proteção de dados

Conselho Europeu de Proteção de Dados lança diretrizes sobre o uso de dados de localização e ferramentas de rastreamento

A maioria dos estados membros europeus está tomando medidas para lidar com a chamada “fase 2” da pandemia da COVID-19 (novo Corona Virus) e estão convergindo para o uso de soluções eficazes de aplicativos de rastreamento de pessoas para dar suporte às autoridades de saúde pública e entender a propagação da doença e para que se possa sair da crise de forma mais rápida. Nesse contexto, em 16 de abril de 2020, a Comissão Europeia emitiu seu Guia para apoiar os governos dos Estados membros e os desenvolvedores na implementação de aplicativos para combater a pandemia do COVID-19.

Baixe agora a nossa Cartilha de Boas Práticas para LGPD!

dpia relatório de impacto à proteção de dados
DPIA – Entenda como elaborar o Relatório de Impacto à Proteção de Dados

A ampla adoção de soluções orientadas a dados (como aplicativos de rastreamento de usuários) por atores públicos e privados pode levar a importantes preocupações com a privacidade. Sendo assim, o Conselho Europeu de Proteção de Dados (“EDPB”) emitiu suas Diretrizes sobre o uso de dados de localização e ferramentas de rastreamento de contatos no contexto do surto do COVID-19 para desenvolver uma abordagem europeia comum capaz de ganhar a confiança dos cidadãos. O documento, entitulado “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” está disponível para download aqui.

O EDPB geralmente considera que os aplicativos de rastreamento de contatos devem ser usados ​​para capacitar, em vez de controlar, estigmatizar ou reprimir indivíduos, e visa esclarecer as condições e os princípios para o uso proporcional de dados de localização e ferramentas de rastreamento de contatos.

A necessidade de um DPIA – Relatório de Impacto a Proteção de Dados – para dados de monitoramento

Um dos pontos de grande importância que vale destacar do Guia de diretrizes é a recomendação de publicação dos DPIAs (Relatório de Impacto à Proteção de Dados). No item 7 do guia, temos que:

Se os dados pessoais forem processados, um DPIA deverá ser realizado antes do processamento dos dados, pois o processamento é considerado provável alto risco (adoção antecipada em larga escala, monitoramento sistemático, uso de nova solução tecnológica). O Comissário recomenda vivamente a publicação de DPIAs.

O que é o DPIA – Relatório de Impacto à Proteção de Dados?

O DPIA (Data Protection Impact Assessments), ou ainda, o Relatório de Impacto à Proteção de Dados é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.

Esse documento tem sido constantemente requerido em processos que envolvem a utilização massiva de dados de cidadãos brasileiros, como no caso do metrô de SP e da Vivo.

Como elaborar um DPIA – Relatório de Impacto à Proteção de Dados?

O DPIA deve conter os seguintes tópicos, de acordo com o MPDFT:

1 – Como a organização descreve o tratamento de dados realizado

A natureza do tratamento é o que a organização planeja fazer com os dados pessoais. Isso deve incluir:

  • Como a organização coleta os dados;
  • Como a organização armazena os dados;
  • Como a organização usa os dados;
  • Quem tem acesso aos dados;
  • Com quem são compartilhados os dados;
  • Se a organização utiliza operadores (pessoa natural ou jurídica que realiza o tratamento de dados em nome do operador) para tratar os dados;
  • Períodos de retenção;
  • Medidas de segurança;
  • Se a organização utiliza novas tecnologias, e;
  • Se a organização usa algum tipo novo de tratamento.

O escopo é o que o tratamento abrange. Isso deve incluir:

  • A natureza dos dados pessoais;
  • O volume e a variedade dos dados pessoais;
  • A sensibilidade dos dados pessoais;
  • A extensão e frequência do tratamento;
  • A duração do tratamento;
  • O número de dados envolvidos, e;
  • A área geográfica coberta

O objetivo do tratamento é o motivo pelo qual a organização faz o tratamento dos dados. Isso deve incluir:

  • Seus interesses legítimos, quando relevantes;
  • O resultado pretendido para os indivíduos;
  • Os benefícios esperados para a organização ou para a sociedade como um todo.

2 – Como a organização avalia a necessidade e proporcionalidade do tratamento de dados

Neste quesito, a empresa deve conseguir responder acerca de:

  • Existe alguma outra maneira razoável de alcançar o mesmo resultado;
  • Qual a base legal usada para o tratamento de dados;
  • Como a organização pretende garantir a qualidade dos dados;
  • Como a organização pretende fornecer informações de privacidade para os indivíduos;
  • Medidas adotadas para garantir o cumprimento da legislação e das ordens dadas aos operadores, e;
  • Quais são as salvaguardas para as transferências internacionais de dados.

3 – Como a organização identifica e avalia os riscos

Deve ser considerado o impacto potencial sobre os indivíduos e qualquer dano que seu tratamento possa causar, seja físico, emocional ou material. Em particular, observe se o tratamento poderá contribuir para:

  • Incapacidade de exercer direitos (incluindo, mas não se limitando, a direitos de privacidade);
  • Incapacidade de acessar serviços ou oportunidades;
  • Perda de controle sobre o uso de dados pessoais;
  • Discriminação;
  • Roubo de identidade ou fraude;
  • Perda financeira;
  • Danos à reputação;
  • Danos físicos;
  • Perda de confidencialidade, ou;
  • Qualquer outra desvantagem econômica ou social significativa.

Destaca-se, ainda, que a organização deve fazer uma avaliação objetiva dos riscos. Para tanto, recomenda-se a utilização de uma matriz estruturada para pensar sobre a probabilidade e a gravidade dos riscos. Vejamos o exemplo abaixo:

dpia relatório de impacto à proteção de dados

4 – Como a organização identifica e mitiga os riscos

A organização deve considerar opções para reduzir estes riscos, como por exemplo:

  • Decidir não coletar certos tipos de dados;
  • Reduzir o escopo do processamento;
  • Reduzir os períodos de retenção;
  • Tomar medidas adicionais de segurança tecnológica;
  • Treinar os colaboradores para garantir que os riscos sejam antecipados e gerenciados;
  • Anonimizar ou pseudoanonimizar os dados, sempre que possível;
  • Elaborar orientações ou processos internos para evitar riscos;
  • Colocar em prática acordos claros de compartilhamento de dados;
  • Fazer alterações nas políticas de privacidade;
  • Implementar novos sistemas para ajudar os indivíduos a exercerem seus direitos.

5 – Conclusão do DPIA – Relatório de Impacto à Proteção de Dados Pessoais

A conclusão do Relatório deve contemplar os seguintes pontos:

  • Que medidas adicionais pretende adotar;
  • Se cada risco foi eliminado, reduzido ou aceito;
  • O nível global de risco residual, após a adoção de medidas adicionais.

Este roteiro foi extraído do Inquérito Civil Público n. 08190.005366/18-16 e serve de guidelines para que empresas desenvolvam seu próprio DPIA.

Saiba mais sobre Compliance Digital!

Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (LGPD, GDPR e CCPA) contate nossos Advogados

Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados ( LGPDGDPR  &  CCPA ) ,  Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail contato@blconsultoriadigital.com.br  ou fale com um Advogado online agora.

BL Consultoria e Advocacia Digital

Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue  +55 11 3090 5979.


Compartilhe!