Neste texto vamos introduzir o DPIA (Relatório de Impacto à Proteção de Dados), apresentar sobre o porquê da necessidade de um DPIA para dados de monitoramento e explicar quais os passos na construção de um DPIA.
Vamos demonstrar como elaborar este documento e esclarecer alguns pontos:
1.Como a organização descreve o tratamento de dados realizado;
2.Como a organização avalia a necessidade e proporcionalidade do tratamento de dados;
3.Como a organização identifica e avalia os riscos;
4.Como a organização identifica e mitiga os riscos; e
5.Como fazer a conclusão do Relatório de Impacto à Proteção de Dados Pessoais – DPIA
Índice
O Conselho Europeu de Proteção de Dados e as diretrizes sobre o uso de dados de localização e ferramentas de rastreamento
A maioria dos países europeus estão tomando medidas para lidar com a chamada “fase 2” da pandemia da COVID-19 e estão convergindo para o uso de soluções eficazes de aplicativos de rastreamento de pessoas, com o intuito de fornecer suporte às autoridades de saúde pública e entender a propagação da doença. Nesse contexto, em 16 de abril de 2020, a Comissão Europeia emitiu seu Guia para apoiar os governos dos Estados membros e os desenvolvedores na implementação de aplicativos para combater a pandemia do COVID-19.
Baixe agora a nossa Cartilha de Boas Práticas para LGPD!
A ampla adoção de soluções orientadas a dados (como aplicativos de rastreamento de usuários), por atores públicos e privados, levantam importantes preocupações com a privacidade. Sendo assim, o Conselho Europeu de Proteção de Dados (“EDPB”) emitiu suas Diretrizes sobre o uso de dados de localização e ferramentas de rastreamento de contatos no contexto do surto do COVID-19 para desenvolver uma abordagem europeia comum capaz de ganhar a confiança dos cidadãos. O documento, entitulado “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” está disponível para download aqui.
O EDPB geralmente considera que os aplicativos de rastreamento de contatos devem ser usados para capacitar, em vez de controlar, estigmatizar ou reprimir indivíduos, e visa esclarecer as condições e os princípios para o uso proporcional de dados de localização e ferramentas de rastreamento de contatos.
A necessidade de um DPIA – Relatório de Impacto a Proteção de Dados – para dados de monitoramento
Um dos pontos de grande importância que vale destacar do Guia de diretrizes é a recomendação de publicação dos DPIAs (Relatório de Impacto à Proteção de Dados). No item 7 do guia, temos que:
Se os dados pessoais forem processados, um DPIA deverá ser realizado antes do processamento dos dados, pois o processamento é considerado provável alto risco (adoção antecipada em larga escala, monitoramento sistemático, uso de nova solução tecnológica). O Comissário recomenda vivamente a publicação de DPIAs.
O que é o DPIA Relatório de Impacto à Proteção de Dados?
O DPIA (Data Protection Impact Assessments), ou ainda, o Relatório de Impacto à Proteção de Dados é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.
Esse documento tem sido constantemente requerido em processos que envolvem a utilização massiva de dados de cidadãos brasileiros, como no caso do metrô de SP e da Vivo.
Como elaborar um DPIA Relatório de Impacto à Proteção de Dados?
O DPIA deve conter os seguintes tópicos, de acordo com o MPDFT:
1 – Como a organização descreve o tratamento de dados realizado
A natureza do tratamento é o que a organização planeja fazer com os dados pessoais. Isso deve incluir:
- Como a organização coleta os dados;
- Como a organização armazena os dados;
- Como a organização usa os dados;
- Quem tem acesso aos dados;
- Com quem são compartilhados os dados;
- Se a organização utiliza operadores (pessoa natural ou jurídica que realiza o tratamento de dados em nome do operador) para tratar os dados;
- Períodos de retenção;
- Medidas de segurança;
- Se a organização utiliza novas tecnologias, e;
- Se a organização usa algum tipo novo de tratamento.
O escopo é o que o tratamento abrange. Isso deve incluir:
- A natureza dos dados pessoais;
- O volume e a variedade dos dados pessoais;
- A sensibilidade dos dados pessoais;
- A extensão e frequência do tratamento;
- A duração do tratamento;
- O número de dados envolvidos, e;
- A área geográfica coberta
O objetivo do tratamento é o motivo pelo qual a organização faz o tratamento dos dados. Isso deve incluir:
- Seus interesses legítimos, quando relevantes;
- O resultado pretendido para os indivíduos;
- Os benefícios esperados para a organização ou para a sociedade como um todo.
2 – Como a organização avalia a necessidade e proporcionalidade do tratamento de dados
Neste quesito, a empresa deve conseguir responder acerca de:
- Existe alguma outra maneira razoável de alcançar o mesmo resultado;
- Qual a base legal usada para o tratamento de dados;
- Como a organização pretende garantir a qualidade dos dados;
- Como a organização pretende fornecer informações de privacidade para os indivíduos;
- Medidas adotadas para garantir o cumprimento da legislação e das ordens dadas aos operadores, e;
- Quais são as salvaguardas para as transferências internacionais de dados.
3 – Como a organização identifica e avalia os riscos
Deve ser considerado o impacto potencial sobre os indivíduos e qualquer dano que seu tratamento possa causar, seja físico, emocional ou material. Em particular, observe se o tratamento poderá contribuir para:
- Incapacidade de exercer direitos (incluindo, mas não se limitando, a direitos de privacidade);
- Incapacidade de acessar serviços ou oportunidades;
- Perda de controle sobre o uso de dados pessoais;
- Discriminação;
- Roubo de identidade ou fraude;
- Perda financeira;
- Danos à reputação;
- Danos físicos;
- Perda de confidencialidade, ou;
- Qualquer outra desvantagem econômica ou social significativa.
Destaca-se, ainda, que a organização deve fazer uma avaliação objetiva dos riscos. Para tanto, recomenda-se a utilização de uma matriz estruturada para pensar sobre a probabilidade e a gravidade dos riscos. Vejamos o exemplo abaixo:
4 – Como a organização identifica e mitiga os riscos
A organização deve considerar opções para reduzir estes riscos, como por exemplo:
- Decidir não coletar certos tipos de dados;
- Reduzir o escopo do processamento;
- Reduzir os períodos de retenção;
- Tomar medidas adicionais de segurança tecnológica;
- Treinar os colaboradores para garantir que os riscos sejam antecipados e gerenciados;
- Anonimizar ou pseudoanonimizar os dados, sempre que possível;
- Elaborar orientações ou processos internos para evitar riscos;
- Colocar em prática acordos claros de compartilhamento de dados;
- Fazer alterações nas políticas de privacidade;
- Implementar novos sistemas para ajudar os indivíduos a exercerem seus direitos.
5 – Conclusão do DPIA Relatório de Impacto à Proteção de Dados Pessoais
A conclusão do Relatório deve contemplar os seguintes pontos:
- Que medidas adicionais pretende adotar;
- Se cada risco foi eliminado, reduzido ou aceito;
- O nível global de risco residual, após a adoção de medidas adicionais.
Este roteiro foi extraído do Inquérito Civil Público n. 08190.005366/18-16 e serve para que empresas desenvolvam seu o próprio DPIA.
Entenda como a ANPD irá realizar a Dosimetria para aplicação de multas pecuniárias em casos de violação à LGPD
Confira o texto completo sobre a Norma de Dosimetria da ANPD para aplicação de sanções administrativas previstas na LGPD.
Evite multas, adeque sua empresa aos requisitos da LGPD!
