DPIA Data Protection Impact Assessment.

Uma DPIA é a análise estruturada que o GDPR exige antes de qualquer tratamento de dados de alto risco. Documenta a natureza, o âmbito, o contexto e as finalidades; avalia a necessidade e a proporcionalidade; identifica medidas de mitigação. A CNIL disponibiliza gratuitamente uma ferramenta PIA. Omitir uma DPIA quando era obrigatória é uma das formas mais directas de atrair uma visita do regulador.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

A perspetiva da Cyber Academy

Uma DPIA é a análise estruturada que o GDPR exige antes de qualquer tratamento de dados de alto risco. Documenta a natureza, o âmbito, o contexto e as finalidades; avalia a necessidade e a proporcionalidade; identifica medidas de mitigação. A CNIL disponibiliza gratuitamente uma ferramenta PIA. Omitir uma DPIA quando era obrigatória é uma das formas mais directas de atrair uma visita do regulador.

Quando uma AIPD é exigida, e quando não é

Uma Avaliação de Impacto sobre a Proteção de Dados não é uma formalidade que se produz para cada projeto. O RGPD vincula-a a um único fator desencadeante: um tratamento suscetível de resultar num risco elevado para os direitos e liberdades das pessoas singulares. O texto nomeia algumas situações em que a avaliação é obrigatória, como a definição sistemática e exaustiva de perfis que produza efeitos jurídicos ou efeitos significativos similares, o tratamento em grande escala de categorias especiais de dados e a monitorização sistemática em grande escala de uma zona acessível ao público. As autoridades de controlo nacionais publicam depois as suas próprias listas de operações que exigem sempre uma AIPD, e listas de operações que não a exigem.

Na prática, começa-se por uma triagem. Confronte com o tratamento uma breve lista de critérios de risco, do tipo publicado pelo Comité Europeu para a Proteção de Dados, e conte quantos se aplicam. Combinações como a avaliação ou pontuação associada a uma decisão automatizada, ou os dados sensíveis associados a um tratamento em grande escala, fazem-no ultrapassar o limiar. Quando a resposta é incerta, a posição defensável consiste em documentar por que concluiu que uma AIPD completa não era necessária, e não em contornar a questão em silêncio.

O que consta da avaliação

O RGPD fixa um conteúdo mínimo. Uma AIPD deve conter uma descrição sistemática das operações de tratamento e das finalidades, uma avaliação da necessidade e da proporcionalidade do tratamento em relação a essas finalidades, uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados, e as medidas previstas para fazer face a esses riscos, incluindo as garantias e as medidas de segurança. A CNIL disponibiliza gratuitamente uma ferramenta de software PIA que o conduz exatamente através desta estrutura, e não há razão para a reconstruir a partir do zero.

A necessidade e a proporcionalidade são o ponto em que a maioria das avaliações fica frágil. Trata-se de um teste jurídico, não de segurança: cada campo de dados é realmente necessário para a finalidade declarada, o prazo de conservação é justificado, existe um fundamento jurídico, os direitos dos titulares dos dados são assegurados. A análise de risco é a parte de cariz mais próximo da segurança, e recorre diretamente à prática de gestão de riscos. É aqui que a ISO 27005 e o EBIOS Risk Manager lhe fornecem o vocabulário das ameaças, dos eventos temidos, da probabilidade e da gravidade. Uma AIPD avalia o risco para as pessoas cujos dados são tratados, não o risco para a organização, sendo esta a distinção em que as pessoas tropeçam.

Quem a realiza, e como se mantém viva

O responsável pelo tratamento é responsável pela realização da AIPD. Quando é designado um Encarregado da Proteção de Dados, o responsável pelo tratamento deve solicitar o seu parecer, e o DPO normalmente revê a avaliação e monitoriza a sua execução. Deve também recolher a opinião dos titulares dos dados ou dos seus representantes, sempre que adequado. Os subcontratantes têm o dever de prestar assistência. Se, após a mitigação, o risco residual permanecer elevado e não conseguir reduzi-lo, o RGPD exige a consulta prévia à autoridade de controlo antes do início do tratamento.

Uma AIPD é um documento vivo. O responsável pelo tratamento deve revê-la quando houver uma alteração do risco representado pelo tratamento, por exemplo um novo fluxo de dados, uma nova tecnologia, uma nova finalidade ou um novo subcontratante. Trate-a como algo contínuo: um ritmo útil consiste em reexaminar as avaliações segundo um ciclo definido e sempre que a conceção mude, em vez de as arquivar uma vez e esquecê-las.

A AIPD comparada com uma avaliação de risco geral
DimensãoAIPDAvaliação de risco de segurança geral
Fator desencadeanteTratamento de dados pessoais de risco elevadoQualquer ativo, sistema ou processo no âmbito
Objeto do riscoDireitos e liberdades das pessoas singularesA organização e os seus ativos
Estatuto jurídicoObrigatória ao abrigo do RGPD quando é desencadeadaOrientada por uma política ou normas como a ISO 27001
Método típicoFerramenta PIA da CNIL, critérios do EDPB, teste de necessidadeISO 27005, EBIOS Risk Manager
ResultadoMedidas de mitigação mais uma possível consulta préviaPlano de tratamento e aceitação do risco residual

Frequently asked questions

01Uma AIPD é obrigatória para toda a atividade de tratamento?

Não. Só é exigida quando o tratamento é suscetível de resultar num risco elevado para as pessoas. Faz-se primeiro uma triagem face aos critérios publicados pela sua autoridade de controlo e pelo EDPB, e documenta-se a conclusão da triagem em qualquer dos sentidos.

02Qual é a diferença entre uma AIPD e uma PIA?

Descrevem o mesmo exercício. AIPD é o termo utilizado no RGPD. PIA, Privacy Impact Assessment, é a designação mais ampla e mais antiga, e é o nome que a CNIL dá à sua ferramenta de software gratuita.

03O que acontece se o risco residual permanecer elevado após a mitigação?

O RGPD exige a consulta prévia à autoridade de controlo antes de iniciar o tratamento. A autoridade pode aconselhar e, quando o tratamento infringir o regulamento, exercer os seus poderes de correção.

04Quem é responsável pela realização da AIPD?

O responsável pelo tratamento. Quando é designado um DPO, o responsável pelo tratamento deve solicitar o seu parecer e o DPO monitoriza a execução. Os subcontratantes devem prestar assistência, e deve recolher a opinião dos titulares dos dados sempre que adequado.

05Quando é que uma AIPD precisa de ser revista?

Sempre que o risco representado pelo tratamento mude: uma nova finalidade, um novo fluxo de dados, uma nova tecnologia ou um novo subcontratante. Trate-a como um documento vivo sujeito a um ciclo de revisão regular, não como um exercício pontual.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.