Adequar os negócios e atividades de uma empresa a uma demanda legal, exige um planejamento e de preferência, um excelente planejamento, ainda mais no caso da Lei Geral de Proteção de Dados com prazo para entrada em vigor.
Praticamente todas as empresas e entes públicos terão que estar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) até 16 de agosto de 2020, dia que se encerra o vacatio legis(período de tempo entre a publicação e o dia em que ela entra em vigor).
O movimento de adequação a nova lei existe há aproximadamente um ano e meio e o mercado e as empresas já amadureceram bastante. Não há mais mistério quanto à metodologia de trabalho praticada pelos diversos escritórios de advocacia e consultorias especializadas, existe quase um consenso de como devem ser as etapas para adequação a nova Lei.
Vale lembrar que nossa Lei é baseada em uma outra lei, o General Data Protection Regulation – GDPR, vigente no Espaço Econômico Europeu – EEE, embora seja baseada, não são iguais, possuem bastantes semelhanças e muitas das coisas que já foram utilizadas pelos europeus podem ou poderiam ser utilizadas por aqui.
Nas duas legislações está previsto a execução de uma avaliação de impacto da proteção dos dados pessoais, na GDPR (EU) tem o nome de Data Protect Impact Assessment (DPIA), na LGPD (BR) tem o nome de Relatório de Impacto de Proteção de Dados (RIPD), na GDPR, dependendo dos dados que serão tratados é obrigatória (Art. 35 (1)) já em nossa legislação não é obrigatória, mas em tempo de adequação à Lei, minha humilde opinião é de seja realizado.
Mas o que é uma DPIA/RIPD?
Conhecido como avaliação de impacto na proteção de dados (AIPD), o processo constitui uma parte essencial das obrigações de proteção de dados de uma organização e deve fornecer a estrutura para qualquer estratégia de proteção de dados. Sempre que uma organização decide iniciar o processamento de dados do usuário, é necessário um AIPD/RIPD para avaliar os níveis de risco para um titular de dados.
Cabe salientar que uma única AIPD/RIPD pode ser utilizada para avaliar múltiplas operações de tratamento que sejam semelhantes em termos de natureza, âmbito, contexto, finalidade e riscos.
Uma AIPD/RIPD tem os seguintes objetivos:
- Reduzir as consequências da supervisão e da fiscalização.
- Melhorar a prestação de serviços.
- Melhorar a qualidade dos dados.
- Melhorar a tomada de decisão.
- Aumentar a conscientização sobre privacidade em uma organização.
- Melhorar a viabilidade do projeto.
- Melhorar a comunicação em relação à privacidade e proteção de dados pessoais.
- Reforçar a confiança dos titulares dos dados na forma como os dados pessoais são processados e a privacidade é respeitada.
- Impedir mudanças dispendiosas em processos, redesenho de sistemas ou término de projetos.
É importante que a AIPD/RIPD seja realizada previamente ao tratamento dos dados pessoais, considerando os princípios “by design” e “by default”. Portanto, a avaliação deve ter seu início antecipado em relação à operação de processamento, mesmo que ainda não definidas.
Uma AIPD/RIPD deve fornecer informações específicas sobre o processamento desejado. Essas informações incluem:
- Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos.
- Uma avaliação dos riscos aos direitos e às liberdades dos indivíduos.
- As medidas desejadas para lidar com os riscos, incluindo proteções, medidas de segurança e mecanismos, para garantir a proteção de dados pessoais e demonstrar a conformidade com a GDPR/LGPD.
- Propósito de processar
- Categorias de dados pessoais processados
- Retenção de dados
- Localização e transferências de dados pessoais
- Compartilhamento de dados com Operadores/Processadores
- Compartilhamento de dados com terceiros independentes
Uma AIPD/RIPD é um processo, que por sua vez é divido em etapas, sete no total, vou apenas listar essas etapas e postarei ao final uma brainstorming, que contém mais detalhe sobre as etapas da AIPD. Vejamos as etapas:
Não pretendo esgotar o assunto nesse artigo, mas cabe destacar que o resultado esperado de uma AIPD/RIPD é a minimização de riscos de privacidade.
O risco de privacidade é o risco de danos decorrentes de uma invasão de privacidade. Algumas das maneiras como este risco pode surgir é através de informações pessoais imprecisas, insuficientes ou desatualizadas; excessivas ou irrelevantes; divulgadas para quem não poderia ter acesso; mantidas por muito tempo e utilizdas de maneiras inaceitáveis ou inesperadas pelo processador
É importante observar que o objetivo de um AIPD/RIPD é avaliar os níveis de risco em seus sistemas, e não remover completamente os riscos. As organizações devem usar um AIPD/RIPD para minimizar o risco e decidir se os níveis atuais de risco são aceitáveis com base nos resultados desejados desse processamento de dados pessoais.
Qual a vantagem de se realizar uma AIPD/RIPD?
Veja porque uma AIPD/RIPD é vantajosa para a instituição, por definição é o Processo concebido para descrever o processamento, avaliar a necessidade e a proporcionalidade de um processamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares resultantes do processamento de dados pessoais. Reparem que a avaliação é realizada pela instituição, mas o foco é a proteção dos dados pessoais, o foco é no seu cliente.
E os resultados?
Como resultado da AIPD/RIPD, o titular dos dados (cliente) terá a garantia de que as organizações que usam seus dados seguiram as melhores práticas. Um projeto que tenha sido submetido a uma AIPD deve ter menos intrusão à privacidade e, portanto, menos propensão a afetar os indivíduos de maneira negativa (privacy by design, privacy by default), além disso o cliente terá maior percepção nos níveis de transparência e na facilidade de compreensão sobre como e por que as informações estão sendo utilizadas.
Por outro lado, a execução da AIPD/RIPD trará para o controlador/operador melhora na forma como eles usam informações que impactam a privacidade dos titulares de dados. Propiciará uma melhora na segurança geral de processos e sistemas utilizados. Ainda como produto da avaliação teremos um melhor entendimento das preocupações do titular de dados com sua privacidade. A execução dessa atividade reduz a probabilidade de os controladores/operadores não cumprirem suas obrigações legais, e ainda, reduz custos na resolução de problemas de privacidade.
Embora tenha citado os operadores, é de responsabilidade do controlador de dados garantir que as AIPD/RIPD sejam realizadas “onde as operações de processamento poderão resultar num risco elevado para os direitos e liberdades das pessoas físicas”.
Como mencionado acima, uma avaliação deve ser pensada como uma ferramenta para melhorar seus processos, e não como um exercício de conformidade. É vantagem competitiva a condução de uma AIPD/RIPD, visto que proporciona prevenção de inconvenientes ao documentar a conformidade, a qual poderá resguardar a entidade em caso de requisição/auditoria por parte da autoridade nacional de proteção de dados e dos próprios titulares dos dados.
Depois de concluir seu RIPD/AIPD, ele precisará ser realinhado com seu processo de tratamento de dados pessoais e deverá ser consultado o tempo todo. Isso pode envolver a atualização da sua avaliação à medida que as alterações são feitas ou caso sejam introduzidas novas tecnologias.
Embora não exista nenhum requisito legal para isso, pode ser útil, do ponto de vista da transparência, publicar seu RIPD/AIPD ao público. Ao fazer isso, a organização se responsabiliza essencialmente ao que foi tornado público e facilita muito o exercício dos direitos pelos titulares dos dados. Os responsáveis pelo tratamento de dados devem encarar a realização de uma AIPD/RIPD como uma atividade útil e positiva que ajuda à conformidade jurídica.
AUTOR: Paulo LamellasIT ExecutivePublicado – SeguirDurante minha jornada para a obtenção da Certificação de Data Protection Officer (DPO), realizei várias atividades, principalmente no curso de Privacy and Data Protection Practitioner (PDPP). A atividade prática que realizei foi uma Data Protection Impact Assessment (DPIA). Agora compartilho com a rede minhas conclusões sobre essa importante atividade.
FONTE: LINKEDIN