Para estar em compliance com a LGPD, “DPIA” é um termo que deve ser conhecido e estudado pelos profissionais que atuam em empresas que realizam o tratamento de dados pessoais.
O DPIA corrobora para a proteção de dados pessoais dos indivíduos e informações corporativas.
O que é DPIA?
DPIA é a sigla para Data Protection Impact Assessment, é um termo presente na General Data Protection Regulation, que diz respeito à proteção dos dados.
É um relatório exigido pela GDPR que deve ser realizado antes da implementação de novos projetos, processos e políticas, contendo a descrição dos processos de tratamento de dados pessoais.
Serve para avaliar e entender o processamento, a necessidade e proporcionalidade do tratamento de dados.
A GDPR é a legislação europeia que defende a proteção de dados tendo como base o direito de todo cidadão da Europa sobre a privacidade de suas informações pessoais.
No Brasil, temos a Lei Geral de Proteção de Dados (LGPD) e nela, esse documento é conhecido como RIPD – Relatório de Impacto à Proteção de Dados.
Sendo assim, este relatório pode ser entendido como algo de extrema importância, principalmente para as empresas que realizam tratamento de dados pessoais.
De tal maneira, as instituições precisam ter em mente um fator crucial que diz respeito à liberdade civil e direitos essenciais que cada cidadão possui.
Portanto, cabe à organização realizar este relatório a fim de assegurar que todas as garantias que dizem respeito aos dados pessoais de clientes serão assegurados.
E este é um ponto que tem ganhado uma alta importância uma vez que, com o advento desta legislação na Europa e das demais em outros países, como a LGPD no Brasil, a segurança e privacidade são pontos de alto impacto.
Por isso, caso alguma empresa não haja conforme o que prevê a lei, é possível que ela sofra indenizações ou seja multada em valores que podem chegar até R$50 milhões.
Qual é a Intenção Deste Relatório?
Conforme a GDPR, estes documentos devem ser utilizados por parte da empresa para avaliar riscos oferecidos ao direitos e as liberdades de todos aqueles que possuem dados ligados a ela, ou seja, os usuários e clientes.
Sendo assim, estas empresas se tornam essenciais na introdução de novos processos, tecnologias e sistemas que irão realizar o processamento dos dados.
Isso se dá uma vez que cabe às empresas explicar processos de tratamento que os dados privados de pessoas recebem e que podem causar riscos para a liberdade civil ou para os direitos básicos de cada cidadão.
Além disso, existem outros pontos que precisam ser expostos aos clientes e feitos de maneira clara, como:
- Buscar medidas para diminuir riscos de transporte indevido dos dados;
- Realizar a proteção devida dos dados;
- Gerar mecanismos que irão reduzir os problemas que podem ocorrer com as informações pessoais.
E, tendo tudo isso como base, cabe a empresa, de acordo com seu respectivo ramo de atuação, buscar soluções que terão como fim colaborar nestes pontos.
Como o DPIA Deve Ser Estruturado e Quando Deve Ser Usado?
É válido pontuar que este relatório possui ligação com o princípio de responsabilidade da GDPR.
Sendo assim, ele serve como uma comprovação de que as empresas adotam todas as medidas técnicas e organizacionais necessárias e apropriadas de acordo com o caso.
Por outro lado, quando ele é um ponto obrigatório e não é feito corretamente, acaba se enquadrando como uma violação da lei.
E, se este for o caso, é possível que a empresa receba multas administrativas em valores altos.
De tal forma, a dúvida que fica é sobre como elaborar um DPIA corretamente, sendo este um ponto de alta importância.
O Artigo 35 do GDPR define o que deve conter, minimamente, em um DPIA, sendo:
- Descrição do processamento e dos propósitos;
- Interesses legítimos prosseguidos pelo controlador;
- Avaliação da necessidade e da proporcionalidade do processamento;
- Avaliação dos riscos para os direitos e liberdades dos titulares dos dados;
- Medidas previstas para abordar os riscos;
- Salvaguardas e medidas de segurança para demonstração da conformidade;
- Indicação de qualquer proteção de dados by design e by default;
- Lista de destinatários de dados pessoais;
- Confirmação da conformidade com os respectivos códigos de conduta aprovados;
Sendo assim, todos estes pontos devem ser respeitados pelas empresas e constar no relatório para evitar faltar com que está na legislação de proteção aos dados pessoais.
Normalmente profissionais que possuem conhecimento de continuidade de negócios na área de Business Impact Analysis, chamado de BIA, não possuem qualquer dificuldades para executar este relatório.
Isso se dá uma vez que ambas as ferramentas são orientadas para processos parecidos, tendo como diferença o objetivo almejado pelas duas estratégias.
Quando este tipo de relatório deve ser feito e utilizado?
Agora, ao falarmos sobre quando deve ser utilizado esse relatório, a condição principal é: todas as vezes em que o processamento de dados pode gerar um alto risco para os direitos e para a liberdade de pessoas físicas.
Além disso, existem algumas condições que são analisadas através deste relatório e fazem com que ele seja necessário. São:
- Avaliar de maneira sistemática e abrangente de aspectos pessoais que possuem procedimentos automatizados, como a criação de perfis;
- Processar categorias especiais de informações ou então de dados privados que possuem relação com condenações criminais e crimes em larga escala;
- Monitorar de maneira sistemática uma rede de acesso público em alta escala;
- Identificar quais dados são utilizados em processos e medir os impactos em algum acontecimento.
E um exemplo de casos em que são necessários, por sua vez, é para um hospital que processa dados genéticos e de saúdes dos pacientes no sistema de informação.
Qual Profissional Pode Realizar o Relatório?
Como citado anteriormente, o relatório de impacto à proteção de dados pessoais pode ser feito por profissionais que possuem conhecimento de BIA e de continuidade de negócios.
De tal forma, não devem existir maiores dificuldades ou complicações durante o processo de desenvolvimento dos relatórios.
A responsabilidade de garantir que o DPIA seja realizado pertence ao controlador dos dados.
Por outro lado, um ponto que a lei defende é que é necessário possuir o parecer de um profissional DPO, ou seja, um encarregado de proteção de dados.
Afinal, todas as empresas que mexem com informações precisam ter um profissional especializado nesta área através de certificações.
Sendo assim, o conselho e as decisões tomadas após consulta com este especialista devem ser documentadas e constar também na parte de processos do relatório.
Existe Relação Entre Este Relatório e a LGPD?
É conhecido que a LGPD é uma aplicação da GDPR no Brasil. Ou seja, ela foi criada tendo a lei europeia como base para todos os pontos ali colocados.
Sendo assim, é possível entender que não existe uma relação direta com a Lei Geral de Proteção de Dados aplicada em nosso país justamente por se tratar de uma medida específica para a Europa.
No entanto, para a legislação do nosso país foi feita uma importação do conceito a fim de implementar este tipo de documentação. E por aqui, chamados esse relatório de RIPD.
Apesar de possuir uma diferenciação no nome, é válido frisar que o objetivo de ambos, tanto para a Europa como para o Brasil, é parecido.
Por isso, podemos entender que a intenção é justamente a de gerar uma documentação descritiva sobre os processos de tratamento de dados pessoais que podem causar risco para os titulares.
Diferença Entre DPIA e RIPD
O DPIA é um relatório feito sobre a tutela da GDPR, a legislação de proteção de dados específica para a Europa.
De tal forma, ele funciona como uma ferramenta para assegurar que a empresa está seguindo tudo conforme o que a lei propõe.
Isto deve ser aplicado tendo em vista que, caso algum ponto não seja seguido, o resultado são multas para a empresa.
Já o Relatório de Impacto à Proteção de Dados, também chamado de RIPD, por sua vez, é a aplicação para o Brasil.
Sendo assim, o relatório de impacto LGPD, é uma derivação do europeu e deve ser feito pela empresa controladora.
Ele deve ser desenvolvido de maneira prévia quando a instituição tiver a intenção de trabalhar com dados pessoais.
Afinal, o relatório serve para analisar, identificar e minimizar a possibilidade de ocorrerem acidentes com os dados pessoais.
Portanto, ele serve para analisar se é possível ou não realizar o tratamento de dados.
Quais Informações o RIPD Deve Conter?
Agora, segundo o Artigo 38 da Lei Geral de Proteção de Dados, existem informações mínimas que devem estar presentes no RIPD, que são:
- Descrição dos tipos de informações reunidos: aqui cabem pontos como nome, fotografia, CPF e outros dados;
- Qual o método usado para coleta: deve-se elencar qual forma de obtenção dos dados, através de formulários ou outras formas de coleta;
- Metodologia aplicada para garantir a segurança das informações: explicar como a empresa garante que os dados serão assegurados contra fraudes, vazamentos e furtos;
- Precauções e mecanismos de diminuição dos riscos adotados pela empresa.
Para o último ponto, no entanto, a empresa precisa avaliar os riscos oferecidos e como será feito o gerenciamento dos mesmos.
De tal forma, é necessário que o controlador explique como são identificados eventuais riscos aos quais os dados estão expostos.
Após elencados um a um, o próximo passo é justamente esclarecer como eles serão reduzidos e como minimizar as consequências.
É válido pontuar que estas medidas são pontos minimamente exigidos pela LGPD para gerar o relatório e que o mínimo não é exatamente o satisfatório.
Por isso, uma outra recomendação é explicar, com precisão, estes pontos:
- Contexto de tratamento dos dados;
- O objetivo deste tratamento;
- Quais bases legais são utilizadas para o tratamento;
- Prazo de permanência das informações;
- Se os dados serão ou não compartilhados com terceiros.
Por fim, é necessário que a empresa tome o cuidado de solicitar o consentimento dos titulares para realizar o tratamento dos seus dados pessoais.
Como vimos neste artigo, é possível entendermos que tanto o DPIA como o RIPD são documentos importantes para empresas que atuam com informações pessoais e serve para comprovar a preocupação com o tratamento destes dados.