Para diferentes tipos de dados, diferentes níveis de risco: o cumprimento rigoroso do RGPD passa também pela avaliação do impacto que o tratamento de dados pessoais pode ter para os respetivos titulares em caso de incidente.
O RGPD – Regulamento Geral de Proteção de Dados estabelece regras relativas à proteção e ao tratamento dos dados pessoais de pessoas singulares, no sentido de salvaguardar os seus direitos fundamentais - como o direito à proteção. Essa proteção será maioritariamente assegurada por medidas de segurança a implementar pelas organizações para a redução do risco que esse tratamento pode acarretar para o respetivo titular.
Para este fim, foi definido um conjunto de critérios que, uma vez verificados, poderão resultar no aumento do risco para os titulares. São disso exemplo o tratamento de categorias especiais de dados, o tratamento de dados de sujeitos vulneráveis (como menores, por exemplo) e o processamento de dados em larga escala, que, pela sua natureza, poderão implicar condicionantes significativas para os titulares em caso de incidente.
Assim, as medidas que as organizações terão de implementar para suportar determinada atividade dependerão dos níveis de risco que essa mesma atividade possa representar para o titular dos dados. E é aí que entra a AIPD (Avaliação de Impacto sobre a Privacidade dos Dados), ou DPIA (Data Protection Impact Assessment).
A importância de uma AIPD
Formalmente a AIPD constitui um processo administrativo na configuração de uma avaliação sistemática a uma atividade de tratamento de dados pessoais, previamente classificada como de “potencial risco alto”. Este processo tem em vista identificar o impacto dessa atividade quanto à privacidade, direitos, liberdades e garantias do individuo, na forma de riscos – e, nessa sequência, estabelecer recomendações para gerir esses mesmos riscos.
Em termos práticos, uma Avaliação de Impacto da Proteção de Dados é um procedimento concebido para ajudar as organizações a identificar e minimizar os riscos de privacidade de novas atividades de tratamento de dados, novos projetos ou novas tecnologias.
A sua realização não é obrigatória para todas as atividades de tratamento de dados pessoais. No entanto, nos termos do n.º 1 do artigo 35.º RGPD, “Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais, é necessário realizar uma AIPD”.
Independentemente desta obrigatoriedade, as organizações podem considerar útil a realização de uma AIPD, particularmente quando efetuada antes do início da atividade de tratamento, uma vez que assegurará que o processamento seja compatível com o RGPD.
Como devem ser realizadas?
A realização da AIPD é dever da entidade responsável pelo tratamento, ou seja, da entidade que determina as finalidades e os meios de tratamento de dados pessoais.
O Regulamento define algumas características específicas que devem ser incluídas neste tipo de exercício, embora as organizações possam incluir características adicionais e adaptar o formato, de acordo com o tipo de dados utilizados e objetivos do tratamento pretendido.
Nos temas que devem ser contemplados numa avaliação deste género, incluem-se:
- Descrição sistemática da atividade;
- Finalidade e fundamento;
- Avaliação da necessidade e respetiva proporcionalidade;
- Avaliação dos riscos;
- Identificação das respetivas medidas previstas para os endereçar.
Este exercício será tanto mais valorizado quanto maior o reconhecimento atribuído aos elementos envolvidos na sua elaboração. Assim, deverá ser assegurado por equipas multidisciplinares, com o envolvimento das áreas da organização que participam na atividade, bem como de especialistas nas matérias em questão.
Deverá ainda ser envolvido o Encarregado de Proteção de Dados (EPD) da organização, numa perspetiva consultiva e de apreciação do resultado final.
Igualmente importante é assegurar a integração dos resultados da AIPD, nomeadamente das medidas de endereçamento de risco definidas, no planeamento da implementação da atividade.
A Claranet Portugal tem vasta experiência na realização e condução destas atividades, conjugando os principais perfis e competências adequadas e utilizando metodologias baseadas nas melhores práticas e recomendações dos organismos supervisores.