Com a entrada em vigor do GDPR, houve muitas mudanças significativas na proteção de dados para as empresas. Estas também incluem o instrumento de avaliação do impacto da proteção de dados (DPIA).

As avaliações de impacto da proteção de dados destinam-se a identificar e avaliar os riscos críticos das operações de processamento de dados para tomar as medidas adequadas para minimizá-los. Para os controladores de dados, existe a obrigação de realizar e documentar uma avaliação de impacto antes de iniciar novos processos para o processamento de dados na empresa.

Uma boa estratégia para avaliação do impacto da proteção de dados compensa em vários aspectos. Mas o que as empresas precisam considerar? E qual é a melhor maneira de estabelecer tal DPIA e integrá-la de forma sustentável aos processos de sua empresa? Saiba mais neste artigo.

Você tem alguma pergunta sobre a proteção de dados? Nosso pessoal legal e tecnicamente treinado o aconselhará de forma abrangente sobre todas as questões da lei de proteção de dados. Esteja à vontade para entre em contato conosco a qualquer momento.

Os fatos mais importantes em resumo

  • Desde maio de 2018, a avaliação do impacto da proteção de dados tem sido obrigatório para a maioria das autoridades públicas e empresas privadas que coletam, processam e utilizam categorias especiais de dados pessoais.
  • Uma avaliação do impacto da proteção de dados deve ser realizada sempre que as operações de processamento apresentarem riscos para os direitos e liberdades dos sujeitos dos dados.
  • A avaliação de impacto fornece um avaliação prévia sistemática dos riscos e fontes de erro das operações de processamento de dados.
  • Além disso, as avaliações de impacto da proteção de dados também têm como objetivo desenvolver e integrar estratégias que evitam riscos na operação específica de processamento.

O que é a avaliação do impacto da proteção de dados do GDPR?

As exigências legais obrigam as empresas a realizar um descrição detalhada e avaliação abrangente dos riscos de proteção de dados existentes para operações específicas de processamento de dados (uma chamada avaliação de impacto da proteção de dados). Esta avaliação de impacto não é nova, mas substitui a pré-auditoria que - dependendo do país - teve que ser realizada antes da introdução do GDPR para evitar riscos de proteção de dados.

Na avaliação de impacto, responsáveis pela proteção de dados e proprietários de processos examinar os riscos associados à implementação de certas atividades de processamento de dados. Deve ser dada especial atenção ao riscos para os direitos e liberdades das pessoas em questão. O objetivo é analisar e avaliar os riscos encontrados. Na próxima etapa, os altos riscos podem ser eliminados e os processos otimizados.

Se a eliminação não for possível, todos os riscos devem pelo menos ser minimizados e controlados. Portanto, as empresas devem tomar as medidas apropriadas (TOM) em um estágio inicial para conter os riscos identificados e adaptar os processos em conformidade. 

Isto otimizado e estruturado análise de risco deve ter pelo menos o seguinte conteúdo:

  1. o preciso descrição das operações de processamento planejadas e dos respectivos objetivos de processamento, bem como dos interesses legítimos da empresa nos processos,
  2. avaliação do necessidade e necessidade para o processamento de dados em relação à finalidade,
  3. avaliação dos riscos para a liberdades e direitos dos sujeitos dos dados,
  4. estabelecimento de medidas de mitigação de risco, medidas de segurança e procedimentos de emergência.

Este processo ocorre em um processo de consulta onde as partes interessadas são consultadas no contexto do processamento. É o procedimento a ser seguido para cada avaliação de impacto da proteção de dados. Ao fazer isso, as empresas devem prestar atenção à limpeza documentação porque, em caso de dúvida, isto não serve apenas para a empresa prestação de contas ou o briefing de funcionários, mas também atua como prova da avaliação de impacto adequadamente conduzida para os responsáveis autoridades de supervisão.

É bom saber: Se não for possível apresentar uma avaliação de impacto conforme com a lei, existe a ameaça de multas severas. Portanto, seja consciencioso ao documentar a avaliação de impacto para evitar sanções.

Sobre o Plataforma Priverion, você pode facilmente realizar avaliações de impacto usando modelos e documentá-los claramente. Desta forma, você pode determinar rapidamente quais processos estão correndo maior risco e iniciar as medidas apropriadas.

Encomende hoje uma instância de teste

Teste nossa solução

Começar

Por que é necessária uma avaliação do impacto da proteção de dados?

O Regulamento Geral de Proteção de Dados (GDPR) leva um abordagem baseada no risco. Isto significa que toda operação envolvendo dados pessoais ser revisto por seu risco. Neste contexto, somente os processos que representam um risco estão sujeitos a regulamentação. A avaliação do impacto da proteção de dados também é uma análise de risco.

O propósito de uma avaliação de impacto é explicado no GDPR (Considerando 84) como se segue:

"A fim de melhorar o cumprimento deste regulamento quando as operações de processamento forem susceptíveis de resultar em alto risco para os direitos e liberdades das pessoas físicas, o responsável pelo tratamento deve ser responsável pela realização de uma avaliação do impacto da proteção de dados para avaliar, em particular, a origem, natureza, particularidade e gravidade desse risco".

Como todas as ferramentas do GDPR, o objetivo da avaliação de impacto é para proteger os dados pessoais dos indivíduos e, em particular, de seus direitos e liberdades. Ao processar categorias especiais de dados pessoais, todos os Estados membros da UE devem cumprir a legislação européia.

Ao ponto: como uma análise de risco interna da empresa, uma avaliação de impacto pretende assegurar que as operações de processamento com alto risco para os sujeitos dos dados sejam identificadas, monitoradas, melhoradas e minimizadas.

O que acontece se uma avaliação de impacto estiver faltando ou for realizada de forma incorreta?

A não realização ou o manuseio incorreto da avaliação de impacto constitui um violação da lei e pode levar a pesadas multas. Portanto, as empresas precisam integrar boas avaliações de impacto em seus processos. 

Primeiro, deve ser verificado se existe um obrigação de cumprir uma avaliação de impacto. Aqui, a GDPR lista muitos casos exemplares, mas a enumeração legal não é exaustiva. Você é obrigado a usar seus próprios padrões ao avaliar situações individuais. Você pode ler mais sobre isto abaixo.

Em caso de dúvida, uma autoridade de supervisão competente pode impor multas se, apesar de uma obrigação, nenhuma avaliação de impacto ou avaliações de impacto inadequadas tiverem sido realizadas. Avaliações de impacto ausentes ou insuficientes podem ser punidas com uma multa de até EUR 10 milhões ou 2% da receita global anual gerado no ano fiscal anterior.

Além disso, as obrigações de pagar indenização por danos aos sujeitos dos dados pode surgir se seus dados não tiverem sido adequadamente protegidos. A este respeito, as empresas podem colher os benefícios de uma sólida avaliação do impacto da proteção de dados porque uma análise de risco também pode revelar outros erros, falhas e ineficiências em processos individuais.

Ao ponto: O tema da avaliação do impacto da proteção de dados deve ser levado a sério, não apenas para evitar multas. Este tipo de prevenção também ajuda a rever e melhorar seus processos e medidas de conformidade.

Quem precisa realizar uma avaliação do impacto da proteção de dados?

Nem todas as empresas têm que realizar avaliações de impacto de proteção de dados. A GDPR lista exemplos específicos de casos em que devem ser realizados controles prévios. As principais entidades públicas e não públicas que devem trabalhar nas avaliações de impacto da proteção de dados são as seguintes:

  • Empresas e autoridades públicas que utilizam procedimentos de pontuação ou realizar procedimentos similares para fins de traçar perfis,
  • Aqueles que processam e armazenam dados pessoais de categoria especial em um escala significativa (tais como dados de saúde ou dados relacionados a delitos ou condenações criminais),
  • Empresas e autoridades públicas que sistemática e extensivamente monitorar espaços acessíveis ao público (especialmente no caso da vigilância por vídeo).

As empresas mencionadas acima devem avaliar se é ou não necessário realizar uma avaliação do impacto da proteção de dados antes de qualquer mudança em um processo. O ideal é que isso seja feito, funcionários especialmente treinados deve fazer isso. Em uma segunda etapa, os responsáveis internos ou externos pela proteção de dados podem verificar adicionalmente as avaliações de impacto.

Quando uma avaliação de impacto precisa ser realizada?

Existe a obrigação de realizar uma avaliação de impacto sempre que houver um risco elevado para os sujeitos dos dados (Art. 35 GDPR). O risco neste contexto significa qualquer risco de natureza econômica ou social. Portanto, a questão é que os dados dos sujeitos dos dados estão em risco.

Se existe um risco tão elevado é, em muitos casos, uma questão de interpretação. Embora a GDPR dê exemplos de quando um risco elevado deve ser assumido, isto não cobre todos os processos e operações. Portanto, cabe às empresas avaliar independentemente se existe um risco e, portanto, se a obrigação de realizar uma avaliação de impacto é relevante.

Cuidado: A avaliação independente é totalmente passível de revisão pelos tribunais, e os responsáveis autoridades de supervisão também têm acesso a essas avaliações. As empresas devem, portanto, proceder conscienciosamente com previsões de risco ou consultar um especialista jurídico em proteção de dados. Teremos o maior prazer em apoiá-lo neste processo.

Proteção de dados: Quando há um risco elevado?

Os processos de alto risco incluem, entre outros, o avaliação dos aspectos pessoais de pessoas físicas, tais como perfilagem, principalmente quando estes são processados automaticamente. Processamento extensivo de dados pessoais sensíveis de categorias específicas (por exemplo, dados de saúde) também está sujeito a alto risco. Também está incluído o monitoramento sistemático e abrangente das áreas de acesso público.

Além destes exemplos da GDPR, as empresas têm outras opções de orientação sobre quais operações requerem uma avaliação das conseqüências. Para este fim, os competentes as autoridades de supervisão elaboram regularmente uma lista de atividades de processamento que exigem uma avaliação do impacto da proteção de dados. Nela, por exemplo, podem ser encontrados:

  • Processamento de dados sujeitos a social, profissional ou oficial sigilo
  • Processamento de dados biométricos ou genéticos
  • Processamento automatizado de dados usando inteligência artificial ou algoritmos
  • Processamento de dados envolvendo perfilagem, pontuação, avaliação da personalidade ou análise do comportamento dos funcionários
  • Ao fundir grandes quantidades de dados

É bom saber: Algumas autoridades de supervisão alemãs também publicam listas que incluem operações de processamento que fazem explicitamente não exigir uma avaliação de impacto. Sinta-se à vontade para contatar a autoridade supervisora responsável por você para obter mais informações, se necessário.

Se você não tem certeza sobre a necessidade de uma avaliação de impacto, você deve consultar um responsável pela proteção de dados. Com base em sua profunda experiência, eles serão capazes de avaliar até que ponto uma avaliação de impacto é necessária em seu caso.

Cuidado: As informações fornecidas por um responsável pela proteção de dados não isentam as empresas de responsabilidade por erros de proteção de dados.

Uma avaliação de impacto não significa automaticamente que o processamento é justificado. Dependendo do processamento e do tipo de dados, outras medidas podem precisar ser tomadas ou consentimento obtido do titular dos dados. No entanto, as empresas devem documentar os riscos e mantê-los tão baixos quanto possível. Os riscos evitáveis identificados pela avaliação de impacto também devem ser eliminados neste caso e os processos internos da empresa devem ser otimizados de acordo com o GDPR.

O que deve ser levado em conta ao realizar uma avaliação de impacto?

Uma avaliação do impacto da proteção de dados é composta de quatro partes. Se você tiver alguma pergunta sem resposta ao realizá-la ou precisar de suporte legal ou técnico, sinta-se à vontade para entrar em contato conosco diretamente.

Sua avaliação de impacto deve incluir os seguintes passos:

1. Descrever os processos e objetivos do processamento

Descreva o processo de processamento da forma mais abrangente possível e descreva com precisão como o processo funciona e funciona, quais dados são processados e quais pessoas físicas ou grupos de pessoas são afetados. Também é importante observar o base legal em que este processamento é provável ou pode ocorrer.

Além disso, há informações sobre a finalidade do processamento: Qual é exatamente o objetivo do processamento de dados? As fontes de dados, os destinatários dos dados, e outros empresas envolvidas ou a cooperação com prestadores de serviços ou outros controladores de dados também devem ser listadas aqui.

2. Necessidade e proporcionalidade

Pergunte-se se o processamento de dados é necessário para cumprir o propósito: Há necessidade do procedimento? Ou o processamento não é mais propício aos seus objetivos? Processamento de dados supérfluos deve sempre ser evitado para manter os riscos tão baixos quanto possível.

Em um outro passo, a proporcionalidade deve ser apresentada separadamente e de forma juridicamente correta. Isto é feito em várias etapas:

  1.  adequação: deve ser estudado primeiro se o procedimento em sua forma prevista é adequado para atingir o objetivo pretendido. Os processos que não são adequados em sua forma não são justificados e podem ter que ser revisados.
  2.  Necessidade: A questão aqui é se existem opções mais suaves, igualmente adequadas para atingir o objetivo, que sejam menos onerosas para as pessoas afetadas, menos intrusivas, ou menos arriscadas. Medidas organizacionais tais como conceitos de eliminação ou limites de tempo, que mitigam a intensidade da intervenção, também podem ser mencionadas aqui. Também aqui deve ser feita a pergunta se uma intervenção é necessária para atingir o objetivo.
  3. adequação: Se não houver opções mais suaves e igualmente adequadas, a adequação deve ser avaliada. Aqui, deve-se pesar se o processamento é proporcional aos direitos e liberdades das pessoas em questão e se os direitos das pessoas em questão não são globalmente tão sérios que o processamento deva ser evitado.

3. A análise de risco

A análise de risco é o núcleo da avaliação de impacto. Os riscos reais do processamento específico para os sujeitos dos dados são ilustrados e identificados. Faz sentido, portanto, trabalhar com metas de garantia para que as operações de processamento possam ser controladas e analisadas por seu risco:

  • Confidencialidade dos dados: Quem tem acesso aos dados?
  • Integridade: O conteúdo dos dados não deve ser alterado.
  • Disponibilidade de dados
  • Resiliência: os sistemas técnicos são resilientes e seguros?
  • Transparência: as operações de processamento de dados são rastreáveis? Quem processa quais dados e com que finalidade? Os sujeitos dos dados foram suficientemente informados?
  • Minimização de dados: O escopo do processamento de dados é necessário para atingir o objetivo?
  • Direitos do sujeito dos dados: Os direitos dos sujeitos dos dados estão suficientemente garantidos?
  • Sem ligação: os dados não devem estar vinculados a outros dados e não devem ser utilizados para outros fins

4. Estabelecimento de medidas corretivas

Finalmente, descreva como você (gostaria de) alcançar o metas de garantia. Além disso, determinar o probabilidade de ocorrência dos danos e seus quantidade. O risco para o próprio processamento de dados deve ser avaliado primeiro antes das medidas corretivas tomadas ou planejadas para proteger os dados serem incluídas na avaliação.

Uma vez que as medidas tenham sido integradas e implementadas, o risco restante é reavaliada. Uma avaliação de impacto e análises de risco regulares devem ser realizadas ao longo do caminho. Consequentemente, revisar e melhorar os processos existentes e novos de forma permanente e regular.

Você também deve planejar medidas apropriadas para emergências com antecedência, ou seja, se danos ocorrem. Treine seus funcionários sobre como agir em caso de dúvida para reagir rápida e adequadamente no caso de uma violação da proteção de dados e minimizar os danos.

Conclusão

O que parece simples no início pode significar muito trabalho em casos individuais. As avaliações de impacto da proteção de dados exigem uma certa quantidade de tempo, esforço e recursos suficientes para cumprir a lei. Além disso, sua aplicação consistente e repetição não deve ser subestimada. Com a plataforma Priverion, você tem uma ferramenta útil que simplifica estes processos.

Justamente porque as avaliações de impacto são demoradas, as empresas devem lidar com elas em uma fase inicial. A GDPR obriga as empresas a implementar várias medidas para proteger dados pessoais e evitar o processamento desnecessário de dados. 

Você precisa de apoio ou tem perguntas sobre o assunto? Nossa equipe é composta por especialistas das áreas de direito de proteção de dados, TI e segurança. Teremos prazer em apoiá-lo na implementação dos regulamentos de proteção de dados. Contate-nos diretamente para um inicial não vinculativa consulta.

Artigos relacionados

Reserve uma demonstração

+41 44 586 97 90

hello@www.priverion.com