O que é um RIPD/DPIA?
Um RIPD/DPIA determina se um conjunto de riscos é aceitável do ponto de vista da privacidade. O escopo de um DPIA é determinado pelo tratamento específico (atividade) sob escrutínio.
A definição mais restrita de um DPIA é fornecida no Artigo 35 da GDPR, onde diz que um DPIA deve produzir os seguintes resultados:
- O escopo e a descrição da operação, ou seja, “Do que estamos falando aqui?”
- A necessidade e proporcionalidade da operação em relação aos seus propósitos, ou seja, “Este tratamento é razoável para começar?”
- Uma avaliação dos riscos para os direitos e liberdades dos titulares de dados, ou seja, “O que pode dar errado (e como pode dar errado)?”
- Uma lista de medidas abordando os riscos em questão, ou seja, “O que estamos fazendo para tornar as violações mais raras e menos prejudiciais?”
Em comparação, o artigo 38 da LGPD é mais curto, mas com conteúdo semelhante, afirmando que:
“O relatório deve conter:
- descrição dos tipos de dados coletados,
- a metodologia utilizada para a coleta e garantia da segurança da informação
- e a análise do controlador das medidas, salvaguardas e mecanismos de mitigação de riscos adotados”.
IMAGEM: As matrizes de risco são uma representação visual conveniente de vários riscos independentes (ilustrando uma progressão de risco que melhora com as medidas ao longo do tempo, da esquerda para a direita)
Conteúdo de um DPIA
Embora os objetivos e o resultado-alvo de um DPIA sejam claramente definidos por lei, os meios para alcançá-los não são fornecidos. Vejamos cada um deles separadamente.
Escopo
O escopo é muito simples de descrever porque tem grande sobreposição com os Registros de Atividades de Tratamento. Documentar uma atividade de tratamento é a melhor maneira de definir o escopo de um DPIA. Como benefício, isso economiza tempo, pois o trabalho realizado pode ser utilizado em dois locais diferentes.
Necessidade e Proporcionalidade
O princípio da minimização de dados estabelece que os dados não devem ser tratados a menos que seja necessário para alcançar o objetivo determinado. Por exemplo, enviar cheques de pagamento exige o conhecimento dos endereços dos destinatários. Portanto, para atingir o objetivo de entregar contracheques, é necessário coletar, armazenar e tratar os endereços dos funcionários. Por outro lado, coletar, armazenar e processar as informações de altura e peso dos funcionários seria desnecessário para fins de envio de contracheques.
Além da necessidade, uma simples verificação de proporcionalidade também é necessária. Para continuar com o exemplo, haveria alguma outra alternativa (razoável) para enviar contracheques que fosse menos invasiva? Se nenhum puder ser encontrado, então a proporcionalidade é confirmada.
Riscos
“Riscos” é o termo coletivo de qualquer ameaça potencial aos direitos dos titulares dos dados. Os riscos são variados no tipo de ameaça que podem representar, na gravidade em caso de ocorrência e na probabilidade do evento. Identificar e quantificar os riscos é essencial para um DPIA sólido.
Medidas
Para obter uma imagem completa das situações de risco, são consideradas medidas que reduzem a probabilidade ou a gravidade (ou ambas) de um risco. Um exemplo simples de medida é um sistema automatizado de sprinklers que auxilia na prevenção de incêndios. As medidas não precisam ser técnicas, elas também podem ser organizacionais, como treinamentos regulares para os funcionários.
RIPD/DPIA na prática
Na prática, é difícil obter resultados abrangentes de DPIA em um período de tempo razoável. Focar no essencial é fundamental.
Os RIPDs não são um fim em si mesmos, mas servem para identificar riscos para que possam ser tratados. As perguntas que precisam ser respondidas pelo Diretor de Proteção de Dados no final de cada DPIA são:
- Os riscos identificados são aceitáveis (depois de considerar as medidas)?
- Se não forem aceitáveis, existem medidas adicionais que poderiam ser implementadas para reduzir os riscos inaceitáveis?
- Se tais medidas não forem possíveis, o tratamento deve ser proibido/interrompido?
Responder a essas perguntas requer uma lista abrangente de riscos e medidas disponíveis para avaliação. No final, as matrizes de risco são uma ferramenta útil para visualizar uma situação de risco composta por múltiplos riscos independentes. Mas vamos primeiro considerar como atingir esse objetivo.
Passo a Passo
O primeiro passo é determinar a necessidade do próprio RIPD/DPIA. O assistente de necessidade da ECOMPLY é construído em torno de recomendações de boas práticas de autoridades de proteção de dados em todo o mundo. Sempre que um limite mínimo é atingido, o assistente recomenda a realização de um RIPD. Responda a essas perguntas com o melhor de seu conhecimento.
IMAGEM: Uma lista ponderada de perguntas determina se um RIPD/DPIA é necessário. Informações básicas úteis são fornecidas ao passar o mouse.
Uma vez identificada a necessidade de um DPIA, o assistente de DPIA fica disponível.
A primeira etapa do assistente de RIPD/DPIA é determinar a necessidade e proporcionalidade da Atividade de Tratamento em questão. Na maioria dos casos, a necessidade e proporcionalidade da Atividade de Tratamento são confirmadas. No caso raro de resultado negativo, não há necessidade de continuar com o DPIA. A atividade de tratamento deve ser revisada.
Uma vez determinada a necessidade do DPIA e a necessidade e proporcionalidade da Atividade de Tratamento, o DPIA real começa. ECOMPLY auxilia primeiro na identificação de riscos.
A partir de uma lista de modelos, examine mentalmente cada combinação de fonte de risco, tipo de dano e risco para considerar se você acha que esse risco geralmente se aplica a esse contexto. Você pode adicionar riscos personalizados que não estão disponíveis nos modelos. O sistema exibe o número de riscos identificados.
IMAGEM: Sem software, identificar riscos (e não omitir nenhum) é uma tarefa difícil. ECOMPLY facilita a combinação dos itens certos de uma lista.
Em seguida, para cada risco identificado, faça uma estimativa da probabilidade e gravidade potencial. Observe que essas estimativas são subjetivas e auxiliam principalmente na classificação de riscos (em vez de estabelecer valores absolutos).
IMAGEM: ANÁLISE DE RISCOS
Após a etapa 3, todos os riscos foram identificados e classificados. O próximo grande passo é combinar esses riscos com medidas. Em muitos casos, os riscos têm medidas conhecidas associadas a eles que reduzem imediatamente sua probabilidade e/ou gravidade. Em outros casos, o sistema revela lacunas - onde os riscos não são acompanhados por medidas e permanecem inaceitavelmente altos.
Primeiro, para riscos altos e muito altos, identifique medidas que reduzam esses riscos. Você pode selecionar medidas em uma lista de modelos ou adicionar as suas próprias. Não faz diferença se você combina medidas em um campo de texto ou em vários.
IMAGEM: Liste todas as medidas que reduzem esse risco específico.
Depois de listar todas as medidas, estime o risco restante depois que essas medidas surtirem efeito. Observe que há uma diferença entre medidas planejadas (para o futuro) e medidas que estão em vigor hoje. Os riscos restantes são diferentes entre hoje (real) e futuro (meta).
Na prática, essa avaliação só é possível para pessoas que conhecem as medidas, por exemplo, membros do departamento de TI. Você pode ter que incluí-los em sua avaliação.
IMAGEM: Atribua a pontuação de risco restante.
Como último passo, é possível anexar arquivos à avaliação DPIA. Normalmente, isso é usado para prova e responsabilidade. Exemplos são garantias de fornecedores, políticas da empresa ou listas de MTOs.
Um resumo de todas as informações disponíveis é exibido no final do RIPD/DPIA. Um relatório em PDF pode ser criado com um clique.