DPIA – Relatório de Impacto à Proteção de Dados: Entenda como elaborar

Neste texto vamos introduzir o DPIA (Relatório de Impacto à Proteção de Dados), apresentar sobre o porquê da necessidade de um DPIA para dados de monitoramento e explicar quais os passos na construção de um DPIA.

Vamos demonstrar como elaborar este documento e esclarecer alguns pontos:

1.Como a organização descreve o tratamento de dados realizado;
2.Como a organização avalia a necessidade e proporcionalidade do tratamento de dados;
3.Como a organização identifica e avalia os riscos;
4.Como a organização identifica e mitiga os riscos; e
5.Como fazer a conclusão do Relatório de Impacto à Proteção de Dados Pessoais – DPIA

O Conselho Europeu de Proteção de Dados e as diretrizes sobre o uso de dados de localização e ferramentas de rastreamento

A maioria dos países europeus estão tomando medidas para lidar com a chamada “fase 2” da pandemia da COVID-19 e estão convergindo para o uso de soluções eficazes de aplicativos de rastreamento de pessoas, com o intuito de fornecer suporte às autoridades de saúde pública e entender a propagação da doença. Nesse contexto, em 16 de abril de 2020, a Comissão Europeia emitiu seu Guia para apoiar os governos dos Estados membros e os desenvolvedores na implementação de aplicativos para combater a pandemia do COVID-19.

Baixe agora a nossa Cartilha de Boas Práticas para LGPD!

A ampla adoção de soluções orientadas a dados (como aplicativos de rastreamento de usuários), por atores públicos e privados, levantam importantes preocupações com a privacidade. Sendo assim, o Conselho Europeu de Proteção de Dados (“EDPB”) emitiu suas Diretrizes sobre o uso de dados de localização e ferramentas de rastreamento de contatos no contexto do surto do COVID-19 para desenvolver uma abordagem europeia comum capaz de ganhar a confiança dos cidadãos. O documento, entitulado “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” está disponível para download aqui.

O EDPB geralmente considera que os aplicativos de rastreamento de contatos devem ser usados ​​para capacitar, em vez de controlar, estigmatizar ou reprimir indivíduos, e visa esclarecer as condições e os princípios para o uso proporcional de dados de localização e ferramentas de rastreamento de contatos.

A necessidade de um DPIA – Relatório de Impacto a Proteção de Dados – para dados de monitoramento

Um dos pontos de grande importância que vale destacar do Guia de diretrizes é a recomendação de publicação dos DPIAs (Relatório de Impacto à Proteção de Dados). No item 7 do guia, temos que:

Se os dados pessoais forem processados, um DPIA deverá ser realizado antes do processamento dos dados, pois o processamento é considerado provável alto risco (adoção antecipada em larga escala, monitoramento sistemático, uso de nova solução tecnológica). O Comissário recomenda vivamente a publicação de DPIAs.

O que é o DPIA Relatório de Impacto à Proteção de Dados?

O DPIA (Data Protection Impact Assessments), ou ainda, o Relatório de Impacto à Proteção de Dados é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.

Esse documento tem sido constantemente requerido em processos que envolvem a utilização massiva de dados de cidadãos brasileiros, como no caso do metrô de SP e da Vivo.

Como elaborar um DPIA Relatório de Impacto à Proteção de Dados?

O DPIA deve conter os seguintes tópicos, de acordo com o MPDFT:

1 – Como a organização descreve o tratamento de dados realizado

A natureza do tratamento é o que a organização planeja fazer com os dados pessoais. Isso deve incluir:

• Como a organização coleta os dados;
• Como a organização armazena os dados;
• Como a organização usa os dados;
• Quem tem acesso aos dados;
• Com quem são compartilhados os dados;
• Se a organização utiliza operadores (pessoa natural ou jurídica que realiza o tratamento de dados em nome do operador) para tratar os dados;
• Períodos de retenção;
• Medidas de segurança;
• Se a organização utiliza novas tecnologias, e;
• Se a organização usa algum tipo novo de tratamento.

O escopo é o que o tratamento abrange. Isso deve incluir:

• A natureza dos dados pessoais;
• O volume e a variedade dos dados pessoais;
• A sensibilidade dos dados pessoais;
• A extensão e frequência do tratamento;
• A duração do tratamento;
• O número de dados envolvidos, e;
• A área geográfica coberta

O objetivo do tratamento é o motivo pelo qual a organização faz o tratamento dos dados. Isso deve incluir:

• Seus interesses legítimos, quando relevantes;
• O resultado pretendido para os indivíduos;
• Os benefícios esperados para a organização ou para a sociedade como um todo.

2 – Como a organização avalia a necessidade e proporcionalidade do tratamento de dados

Neste quesito, a empresa deve conseguir responder acerca de:

• Existe alguma outra maneira razoável de alcançar o mesmo resultado;
• Qual a base legal usada para o tratamento de dados;
• Como a organização pretende garantir a qualidade dos dados;
• Como a organização pretende fornecer informações de privacidade para os indivíduos;
• Medidas adotadas para garantir o cumprimento da legislação e das ordens dadas aos operadores, e;
• Quais são as salvaguardas para as transferências internacionais de dados.

3 – Como a organização identifica e avalia os riscos

Deve ser considerado o impacto potencial sobre os indivíduos e qualquer dano que seu tratamento possa causar, seja físico, emocional ou material. Em particular, observe se o tratamento poderá contribuir para:

• Incapacidade de exercer direitos (incluindo, mas não se limitando, a direitos de privacidade);
• Incapacidade de acessar serviços ou oportunidades;
• Perda de controle sobre o uso de dados pessoais;
• Discriminação;
• Roubo de identidade ou fraude;
• Perda financeira;
• Danos à reputação;
• Danos físicos;
• Perda de confidencialidade, ou;
• Qualquer outra desvantagem econômica ou social significativa.

Destaca-se, ainda, que a organização deve fazer uma avaliação objetiva dos riscos. Para tanto, recomenda-se a utilização de uma matriz estruturada para pensar sobre a probabilidade e a gravidade dos riscos. Vejamos o exemplo abaixo:

4 – Como a organização identifica e mitiga os riscos

A organização deve considerar opções para reduzir estes riscos, como por exemplo:

• Decidir não coletar certos tipos de dados;
• Reduzir o escopo do processamento;
• Reduzir os períodos de retenção;
• Tomar medidas adicionais de segurança tecnológica;
• Treinar os colaboradores para garantir que os riscos sejam antecipados e gerenciados;
• Anonimizar ou pseudoanonimizar os dados, sempre que possível;
• Elaborar orientações ou processos internos para evitar riscos;
• Colocar em prática acordos claros de compartilhamento de dados;
• Fazer alterações nas políticas de privacidade;
• Implementar novos sistemas para ajudar os indivíduos a exercerem seus direitos.

5 – Conclusão do DPIA Relatório de Impacto à Proteção de Dados Pessoais

A conclusão do Relatório deve contemplar os seguintes pontos:

• Que medidas adicionais pretende adotar;
• Se cada risco foi eliminado, reduzido ou aceito;
• O nível global de risco residual, após a adoção de medidas adicionais.

Este roteiro foi extraído do Inquérito Civil Público n. 08190.005366/18-16 e serve para que empresas desenvolvam seu o próprio DPIA.

Entenda como a ANPD irá realizar a Dosimetria para aplicação de multas pecuniárias em casos de violação à LGPD

Confira o texto completo sobre a Norma de Dosimetria da ANPD para aplicação de sanções administrativas previstas na LGPD.

Evite multas, adeque sua empresa aos requisitos da LGPD!