Desde 25 de maio de 2018, as organizações são obrigadas a realizar avaliações de impacto na proteção de dados (DPIAs) sob o Regulamento Geral de Proteção de Dados (GDPR). As organizações usam DPIAs para avaliar se determinadas atividades de processamento de dados são um risco para os direitos e liberdades dos indivíduos. No entanto, como os DPIAs são semelhantes em nome à PIA (avaliação de impacto na privacidade) muito mais familiar, houve alguma confusão entre as equipes de gerenciamento de privacidade e risco, que por engano as consideraram o mesmo tipo de avaliação. Mas os DPIAs e PIAs são realmente muito diferentes, ajudando as equipes a atingir objetivos separados e avaliar diferentes áreas de privacidade. Esta publicação enfoca as principais diferenças entre esses dois tipos de avaliação e os papéis que cada um desempenha em um programa de privacidade compatível com o GDPR.
O que é uma Avaliação de Impacto na Privacidade (PIA)?
Uma PIA é um processo padrão que as equipes de privacidade usam para obter privacidade por design (o uso de políticas e processos de negócios e tecnologia para proteger os dados com eficiência). Muitas empresas utilizam PIAs quando avaliam vantagens competitivas, valor do produto e relação custo-benefício no design. Os PIAs são usados para identificar e mitigar o risco de privacidade organizacional e geralmente são realizados quando um novo processo de negócios é implementado, uma nova empresa é adquirida ou um novo produto é lançado. Os PIAs também podem ser aplicados aos processos, produtos e sistemas existentes quando eles são alterados (por exemplo, quando uma empresa expande os negócios para um novo país ou região).
O que é uma avaliação de impacto na proteção de dados (DPIA)?
Um DPIA é um documento conforme necessário e é usado para ajudar as organizações a identificar e mitigar os riscos associados ao processamento de dados pessoais. O GDPR não especifica os tipos de processamento que podem resultar em risco; no entanto, os Estados-Membros da UE publicaram suas próprias listas de permissões e listas negras que fornecem diretrizes sobre quando os DPIAs são necessários. Alguns exemplos incluem: processamento de dados confidenciais, processamento de dados em larga escala e tomada de decisão automatizada.
As organizações também podem usar DPIAs como uma maneira de demonstrar sua conformidade com o GDPR . Os DPIAs fornecem evidências claras e documentadas de que uma organização avaliou o risco de certas atividades de processamento e é capaz de demonstrar que atenuou esse risco e está alinhada com os requisitos da regulamentação. As organizações podem fornecer essa documentação às autoridades regionais e federais de proteção de dados (DPAs), se necessário.
Os 4 elementos de uma DPIA
Embora não haja requisitos concretos sobre como uma organização deve conduzir uma DPIA, existem 4 elementos principais que as organizações devem incluir:
- Uma descrição sistemática das operações de processamento e seus objetivos (por exemplo, o que e por que estamos processando os dados pessoais?);
- Uma avaliação da necessidade e proporcionalidade das operações de processamento em relação a esses propósitos (por exemplo, é realmente necessário coletar todos esses dados da persona?);
- Uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados (por exemplo, como isso afeta o titular dos dados?); e
- As medidas necessárias para lidar com os riscos, incluindo salvaguardas para garantir a proteção de dados pessoais e demonstrar conformidade com o GDPR (por exemplo, quais controles e mecanismos devemos implementar para proteger os dados, os direitos do titular dos dados e alinhar-se ao GDPR requisitos?).
Esses quatro elementos ajudarão as organizações a se concentrarem no tipo de dados que estão coletando e processando, nos riscos associados ao processamento de dados e na probabilidade de ocorrência e seu impacto. Um DPIA pode ajudar uma organização a determinar os piores cenários e a se preparar ou atenuá-los.
O que acontece depois de realizar um DPIA?
O GDPR não exige que as organizações divulguem os resultados de seus DPIAs, mas as organizações devem manter um registro completo dos problemas de privacidade identificados por seus DPIAs e como foram tratados, caso ocorra uma reclamação ou investigação por um DPA. Se um DPIA concluir que uma atividade de processamento representa um alto risco para a privacidade dos titulares de dados, a organização deve consultar o DPA designado para determinar as próximas etapas.
Embora ambos os PIAs e DPIAs sejam críticos para um programa de privacidade, eles têm papéis muito distintos a desempenhar dentro de uma organização. Os PIAs se concentram em avaliar como as mudanças e os objetivos de negócios e / ou tecnologia afetam o programa de privacidade de uma empresa e quais riscos à privacidade podem surgir como resultado dessas mudanças. Os DPIAs são muito mais granulares, agregando processos muito específicos e seu impacto no assunto dos dados, não apenas na organização. Os DPIAs não substituem os PIAs sob o GDPR, como alguns assumiram, mas os complementam. Juntos, esses dois garantem que uma empresa tenha uma visão mais abrangente e compatível dos riscos à privacidade e um plano holístico para lidar e mitigar esses riscos.
FONTE: FOCAL POINT DATA RISK