A perspetiva da Cyber Academy
Uma DPIA é a análise estruturada que o GDPR exige antes de qualquer tratamento de dados de alto risco. Documenta a natureza, o âmbito, o contexto e as finalidades; avalia a necessidade e a proporcionalidade; identifica medidas de mitigação. A CNIL disponibiliza gratuitamente uma ferramenta PIA. Omitir uma DPIA quando era obrigatória é uma das formas mais directas de atrair uma visita do regulador.
Quando uma AIPD é exigida, e quando não é
Uma Avaliação de Impacto sobre a Proteção de Dados não é uma formalidade que se produz para cada projeto. O RGPD vincula-a a um único fator desencadeante: um tratamento suscetível de resultar num risco elevado para os direitos e liberdades das pessoas singulares. O texto nomeia algumas situações em que a avaliação é obrigatória, como a definição sistemática e exaustiva de perfis que produza efeitos jurídicos ou efeitos significativos similares, o tratamento em grande escala de categorias especiais de dados e a monitorização sistemática em grande escala de uma zona acessível ao público. As autoridades de controlo nacionais publicam depois as suas próprias listas de operações que exigem sempre uma AIPD, e listas de operações que não a exigem.
Na prática, começa-se por uma triagem. Confronte com o tratamento uma breve lista de critérios de risco, do tipo publicado pelo Comité Europeu para a Proteção de Dados, e conte quantos se aplicam. Combinações como a avaliação ou pontuação associada a uma decisão automatizada, ou os dados sensíveis associados a um tratamento em grande escala, fazem-no ultrapassar o limiar. Quando a resposta é incerta, a posição defensável consiste em documentar por que concluiu que uma AIPD completa não era necessária, e não em contornar a questão em silêncio.
O que consta da avaliação
O RGPD fixa um conteúdo mínimo. Uma AIPD deve conter uma descrição sistemática das operações de tratamento e das finalidades, uma avaliação da necessidade e da proporcionalidade do tratamento em relação a essas finalidades, uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados, e as medidas previstas para fazer face a esses riscos, incluindo as garantias e as medidas de segurança. A CNIL disponibiliza gratuitamente uma ferramenta de software PIA que o conduz exatamente através desta estrutura, e não há razão para a reconstruir a partir do zero.
A necessidade e a proporcionalidade são o ponto em que a maioria das avaliações fica frágil. Trata-se de um teste jurídico, não de segurança: cada campo de dados é realmente necessário para a finalidade declarada, o prazo de conservação é justificado, existe um fundamento jurídico, os direitos dos titulares dos dados são assegurados. A análise de risco é a parte de cariz mais próximo da segurança, e recorre diretamente à prática de gestão de riscos. É aqui que a ISO 27005 e o EBIOS Risk Manager lhe fornecem o vocabulário das ameaças, dos eventos temidos, da probabilidade e da gravidade. Uma AIPD avalia o risco para as pessoas cujos dados são tratados, não o risco para a organização, sendo esta a distinção em que as pessoas tropeçam.
Quem a realiza, e como se mantém viva
O responsável pelo tratamento é responsável pela realização da AIPD. Quando é designado um Encarregado da Proteção de Dados, o responsável pelo tratamento deve solicitar o seu parecer, e o DPO normalmente revê a avaliação e monitoriza a sua execução. Deve também recolher a opinião dos titulares dos dados ou dos seus representantes, sempre que adequado. Os subcontratantes têm o dever de prestar assistência. Se, após a mitigação, o risco residual permanecer elevado e não conseguir reduzi-lo, o RGPD exige a consulta prévia à autoridade de controlo antes do início do tratamento.
Uma AIPD é um documento vivo. O responsável pelo tratamento deve revê-la quando houver uma alteração do risco representado pelo tratamento, por exemplo um novo fluxo de dados, uma nova tecnologia, uma nova finalidade ou um novo subcontratante. Trate-a como algo contínuo: um ritmo útil consiste em reexaminar as avaliações segundo um ciclo definido e sempre que a conceção mude, em vez de as arquivar uma vez e esquecê-las.
| Dimensão | AIPD | Avaliação de risco de segurança geral |
|---|---|---|
| Fator desencadeante | Tratamento de dados pessoais de risco elevado | Qualquer ativo, sistema ou processo no âmbito |
| Objeto do risco | Direitos e liberdades das pessoas singulares | A organização e os seus ativos |
| Estatuto jurídico | Obrigatória ao abrigo do RGPD quando é desencadeada | Orientada por uma política ou normas como a ISO 27001 |
| Método típico | Ferramenta PIA da CNIL, critérios do EDPB, teste de necessidade | ISO 27005, EBIOS Risk Manager |
| Resultado | Medidas de mitigação mais uma possível consulta prévia | Plano de tratamento e aceitação do risco residual |
Frequently asked questions
01Uma AIPD é obrigatória para toda a atividade de tratamento?
Não. Só é exigida quando o tratamento é suscetível de resultar num risco elevado para as pessoas. Faz-se primeiro uma triagem face aos critérios publicados pela sua autoridade de controlo e pelo EDPB, e documenta-se a conclusão da triagem em qualquer dos sentidos.
02Qual é a diferença entre uma AIPD e uma PIA?
Descrevem o mesmo exercício. AIPD é o termo utilizado no RGPD. PIA, Privacy Impact Assessment, é a designação mais ampla e mais antiga, e é o nome que a CNIL dá à sua ferramenta de software gratuita.
03O que acontece se o risco residual permanecer elevado após a mitigação?
O RGPD exige a consulta prévia à autoridade de controlo antes de iniciar o tratamento. A autoridade pode aconselhar e, quando o tratamento infringir o regulamento, exercer os seus poderes de correção.
04Quem é responsável pela realização da AIPD?
O responsável pelo tratamento. Quando é designado um DPO, o responsável pelo tratamento deve solicitar o seu parecer e o DPO monitoriza a execução. Os subcontratantes devem prestar assistência, e deve recolher a opinião dos titulares dos dados sempre que adequado.
05Quando é que uma AIPD precisa de ser revista?
Sempre que o risco representado pelo tratamento mude: uma nova finalidade, um novo fluxo de dados, uma nova tecnologia ou um novo subcontratante. Trate-a como um documento vivo sujeito a um ciclo de revisão regular, não como um exercício pontual.