DPIA Relatório de Impacto à Proteção de Dados: Entenda como elaborar um

dpia

Neste texto vamos introduzir o DPIA (Relatório de Impacto à Proteção de Dados), apresentar sobre o porquê da necessidade de um DPIA para dados de monitoramento e explicar quais os passos na construção de um DPIA. Vamos demonstrar como elaborar este documento e esclarecer alguns pontos:
1 – Como a organização descreve o tratamento de dados realizado
2 – Como a organização avalia a necessidade e proporcionalidade do tratamento de dados
3 – Como a organização identifica e avalia os riscos
4 – Como a organização identifica e mitiga os riscos
5 – Como fazer a conclusão do Relatório de Impacto à Proteção de Dados Pessoais – DPIA

dpia relatório de impacto à proteção de dados
DPIA Relatório de Impacto à Proteção de Dados

Conselho Europeu de Proteção de Dados lança diretrizes sobre o uso de dados de localização e ferramentas de rastreamento

A maioria dos estados membros europeus está tomando medidas para lidar com a chamada “fase 2” da pandemia da COVID-19 (novo Corona Virus) e estão convergindo para o uso de soluções eficazes de aplicativos de rastreamento de pessoas para dar suporte às autoridades de saúde pública e entender a propagação da doença e para que se possa sair da crise de forma mais rápida. Nesse contexto, em 16 de abril de 2020, a Comissão Europeia emitiu seu Guia para apoiar os governos dos Estados membros e os desenvolvedores na implementação de aplicativos para combater a pandemia do COVID-19.

Baixe agora a nossa Cartilha de Boas Práticas para LGPD!

dpia relatório de impacto à proteção de dados
DPIA – Entenda como elaborar o Relatório de Impacto à Proteção de Dados

A ampla adoção de soluções orientadas a dados (como aplicativos de rastreamento de usuários) por atores públicos e privados pode levar a importantes preocupações com a privacidade. Sendo assim, o Conselho Europeu de Proteção de Dados (“EDPB”) emitiu suas Diretrizes sobre o uso de dados de localização e ferramentas de rastreamento de contatos no contexto do surto do COVID-19 para desenvolver uma abordagem europeia comum capaz de ganhar a confiança dos cidadãos. O documento, entitulado “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” está disponível para download aqui.

O EDPB geralmente considera que os aplicativos de rastreamento de contatos devem ser usados ​​para capacitar, em vez de controlar, estigmatizar ou reprimir indivíduos, e visa esclarecer as condições e os princípios para o uso proporcional de dados de localização e ferramentas de rastreamento de contatos.

A necessidade de um DPIA – Relatório de Impacto a Proteção de Dados – para dados de monitoramento

Um dos pontos de grande importância que vale destacar do Guia de diretrizes é a recomendação de publicação dos DPIAs (Relatório de Impacto à Proteção de Dados). No item 7 do guia, temos que:

Se os dados pessoais forem processados, um DPIA deverá ser realizado antes do processamento dos dados, pois o processamento é considerado provável alto risco (adoção antecipada em larga escala, monitoramento sistemático, uso de nova solução tecnológica). O Comissário recomenda vivamente a publicação de DPIAs.

O que é o DPIA – Relatório de Impacto à Proteção de Dados?

O DPIA (Data Protection Impact Assessments), ou ainda, o Relatório de Impacto à Proteção de Dados é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.

Esse documento tem sido constantemente requerido em processos que envolvem a utilização massiva de dados de cidadãos brasileiros, como no caso do metrô de SP e da Vivo.

Como elaborar um DPIA – Relatório de Impacto à Proteção de Dados?

O DPIA deve conter os seguintes tópicos, de acordo com o MPDFT:

1 – Como a organização descreve o tratamento de dados realizado

A natureza do tratamento é o que a organização planeja fazer com os dados pessoais. Isso deve incluir:

  • Como a organização coleta os dados;
  • Como a organização armazena os dados;
  • Como a organização usa os dados;
  • Quem tem acesso aos dados;
  • Com quem são compartilhados os dados;
  • Se a organização utiliza operadores (pessoa natural ou jurídica que realiza o tratamento de dados em nome do operador) para tratar os dados;
  • Períodos de retenção;
  • Medidas de segurança;
  • Se a organização utiliza novas tecnologias, e;
  • Se a organização usa algum tipo novo de tratamento.

O escopo é o que o tratamento abrange. Isso deve incluir:

  • A natureza dos dados pessoais;
  • O volume e a variedade dos dados pessoais;
  • A sensibilidade dos dados pessoais;
  • A extensão e frequência do tratamento;
  • A duração do tratamento;
  • O número de dados envolvidos, e;
  • A área geográfica coberta

O objetivo do tratamento é o motivo pelo qual a organização faz o tratamento dos dados. Isso deve incluir:

  • Seus interesses legítimos, quando relevantes;
  • O resultado pretendido para os indivíduos;
  • Os benefícios esperados para a organização ou para a sociedade como um todo.

2 – Como a organização avalia a necessidade e proporcionalidade do tratamento de dados

Neste quesito, a empresa deve conseguir responder acerca de:

  • Existe alguma outra maneira razoável de alcançar o mesmo resultado;
  • Qual a base legal usada para o tratamento de dados;
  • Como a organização pretende garantir a qualidade dos dados;
  • Como a organização pretende fornecer informações de privacidade para os indivíduos;
  • Medidas adotadas para garantir o cumprimento da legislação e das ordens dadas aos operadores, e;
  • Quais são as salvaguardas para as transferências internacionais de dados.

3 – Como a organização identifica e avalia os riscos

Deve ser considerado o impacto potencial sobre os indivíduos e qualquer dano que seu tratamento possa causar, seja físico, emocional ou material. Em particular, observe se o tratamento poderá contribuir para:

  • Incapacidade de exercer direitos (incluindo, mas não se limitando, a direitos de privacidade);
  • Incapacidade de acessar serviços ou oportunidades;
  • Perda de controle sobre o uso de dados pessoais;
  • Discriminação;
  • Roubo de identidade ou fraude;
  • Perda financeira;
  • Danos à reputação;
  • Danos físicos;
  • Perda de confidencialidade, ou;
  • Qualquer outra desvantagem econômica ou social significativa.

Destaca-se, ainda, que a organização deve fazer uma avaliação objetiva dos riscos. Para tanto, recomenda-se a utilização de uma matriz estruturada para pensar sobre a probabilidade e a gravidade dos riscos. Vejamos o exemplo abaixo:

dpia relatório de impacto à proteção de dados
DPIA Relatório de Impacto à Proteção de Dados – Matriz estruturada

4 – Como a organização identifica e mitiga os riscos

A organização deve considerar opções para reduzir estes riscos, como por exemplo:

  • Decidir não coletar certos tipos de dados;
  • Reduzir o escopo do processamento;
  • Reduzir os períodos de retenção;
  • Tomar medidas adicionais de segurança tecnológica;
  • Treinar os colaboradores para garantir que os riscos sejam antecipados e gerenciados;
  • Anonimizar ou pseudoanonimizar os dados, sempre que possível;
  • Elaborar orientações ou processos internos para evitar riscos;
  • Colocar em prática acordos claros de compartilhamento de dados;
  • Fazer alterações nas políticas de privacidade;
  • Implementar novos sistemas para ajudar os indivíduos a exercerem seus direitos.

5 – Conclusão do DPIA – Relatório de Impacto à Proteção de Dados Pessoais

A conclusão do Relatório deve contemplar os seguintes pontos:

  • Que medidas adicionais pretende adotar;
  • Se cada risco foi eliminado, reduzido ou aceito;
  • O nível global de risco residual, após a adoção de medidas adicionais.

Este roteiro foi extraído do Inquérito Civil Público n. 08190.005366/18-16 e serve de guidelines para que empresas desenvolvam seu próprio DPIA.

Saiba mais sobre Compliance Digital!

Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados

Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD),  Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail contato@blconsultoriadigital.com.br  ou fale com um Advogado online agora.

BL Consultoria e Advocacia Digital

Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue  +55 11 3090 5979.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Time BL Consultoria
Time BL Consultoria
Time BL Consultoria Digital - Direito Digital e Análise Regulatória
Time BL Consultoria
Time BL Consultoria
Time BL Consultoria Digital - Direito Digital e Análise Regulatória

Posts Relacionados

Fale Conosco

Categorias

TAGs

Advogado Direito DigitalamlBitcoinblockchaincompliancecompliance digitalcriptomoedasdireito digitalfintechGDPRinvestimento em startupsLGPDNegócios DigitaispldftProteção de Dadosregulaçãoregulação de novas tecnologiasstartupstartupstelemedicina

Assine nossa Newsletter

Confira Mais Conteúdos

Projeto de Lei pode exigir que plataformas paguem pelo compartilhamento de conteúdo jornalístico

Fiesp e EMPRAPII lançam Programa de Incentivo para Startups

Falha em segurança expõe 1,7 TB de dados de clientes da Fintech iugu