A evolução das tecnologias envolvidas no processamento de dados pessoais, com especial destaque para o uso de tecnologias como a inteligência artificial (IA), machine learning, definição automática de perfis, reconhecimento facial, mas também os desafios colocados em termos de cibersegurança, mantêm e vão manter a questão da proteção de dados e da privacidade atuais por muito tempo.
É neste contexto que ferramentas já existentes como as Avaliações de Impacto sobre a Proteção de Dados (ou AIPD, também conhecidas como DPIA, acrónimo do inglês Data Protection Impact assessment), se revelam fundamentais pois são um método de analisar de forma sistemática e abrangente o processamento de dados pessoais, descrevendo as múltiplas operações de tratamento, e permitindo a identificação e minimização dos riscos associados ao(s) processamento(s) em causa.
Na maioria das situações a realização de uma AIPD resulta de uma obrigação legal. No entanto, uma AIPD realizada enquanto ferramenta de gestão pode trazer benefícios a diferentes níveis como financeiro, conformidade ou reputação, pois geram confiança, demonstram responsabilidade e acima de tudo permitem um conhecimento objetivo sobre os processamentos efetuados.
Enquanto obrigação legal, uma AIPD é obrigatória em diversas situações, destacando-se as seguintes:
- Sempre que o tratamento for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, ou seja, sempre que estejam em causa tratamentos que impliquem tratamento de dados em grande escala (ver artigos nº 9 e 10 do Regulamento Geral de Proteção de Dados - RGPD [EU 2016/679]), operações de controlo sistemático, tratamento de dados automatizado, definição automática de perfis (profiling) e decisões automáticas (ver artigo 35º do RGPD);
- Nos casos definidos pela Comissão Nacional de Proteção de Dados (CNPD) no seu Regulamento 798/2018;
De referir ainda que, apesar das medidas de mitigação de risco adotadas ou adotar num dado tratamento, se resultar ainda num elevado risco para os direitos e liberdades dos indivíduos, é obrigatória uma consulta à autoridade de controlo. Em Portugal este papel é assumido pela Comissão Nacional de Proteção de Dados.
Em termos práticos, uma AIPD deve incluir, pelo menos os seguintes pontos:
- Descrição sistemática das operações de tratamento (que dados, que tratamento, quais os ativos envolvidos);
- Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos (demonstração da conformidade);
- Avaliação dos riscos para os direitos e liberdades dos titulares (riscos existentes e medidas de proteção existentes);
- O envolvimento das partes interessadas (o parecer do encarregado da proteção de dados e as opiniões dos titulares, ou dos seus representantes, se necessário)
Existem muitas orientações para a realização de uma AIPD, das quais destacamos:
- WP 248 rev.01: Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD);
- ISO/IEC 29134:2017: Information technology — Security techniques — Guidelines for privacy impact assessment
Enquanto ferramenta de gestão, uma AIPD não se esgota na sua execução. Dado o contexto dinâmico em que as organizações operam, de continua evolução tecnológica, ou de alterações legislativas ou de contexto, as AIPD podem rapidamente ficar desatualizadas. Desta forma uma AIPD não é um exercício único, mas antes um processo contínuo que deve ser alvo de revisão regular.
Estamos disponíveis para o poder auxiliar na planeamento e implementação desta ferramenta na sua organização. Contacte-nos e saiba como.