Contacte-nos!  +351.229 385 060 (chamada p/ rede fixa nacional)   geral@dqa.pt

2023-01-04

Porquê fazer uma Avaliação Impacto sobre a Proteção de Dados?

No atual contexto as Avaliações de impacto sobre a proteção de dados são mais que um mero requisito legal, mas uma verdadeira ferramenta de gestão.

A evolução das tecnologias envolvidas no processamento de dados pessoais, com especial destaque para o uso de tecnologias como a inteligência artificial (IA), machine learning, definição automática de perfis, reconhecimento facial, mas também os desafios colocados em termos de cibersegurança, mantêm e vão manter a questão da proteção de dados e da privacidade atuais por muito tempo.

É neste contexto que ferramentas já existentes como as Avaliações de Impacto sobre a Proteção de Dados (ou AIPD, também conhecidas como DPIA, acrónimo do inglês Data Protection Impact assessment), se revelam fundamentais pois são um método de analisar de forma sistemática e abrangente o processamento de dados pessoais, descrevendo as múltiplas operações de tratamento, e permitindo a identificação e minimização dos riscos associados ao(s) processamento(s) em causa.

Na maioria das situações a realização de uma AIPD resulta de uma obrigação legal. No entanto, uma AIPD realizada enquanto ferramenta de gestão pode trazer benefícios a diferentes níveis como financeiro, conformidade ou reputação, pois geram confiança, demonstram responsabilidade e acima de tudo permitem um conhecimento objetivo sobre os processamentos efetuados.

Enquanto obrigação legal, uma AIPD é obrigatória em diversas situações, destacando-se as seguintes:

  • Sempre que o tratamento for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, ou seja, sempre que estejam em causa tratamentos que impliquem tratamento de dados em grande escala (ver artigos nº 9 e 10 do Regulamento Geral de Proteção de Dados - RGPD [EU 2016/679]), operações de controlo sistemático, tratamento de dados automatizado, definição automática de perfis (profiling) e decisões automáticas (ver artigo 35º do RGPD);
  • Nos casos definidos pela Comissão Nacional de Proteção de Dados (CNPD) no seu Regulamento 798/2018;

De referir ainda que, apesar das medidas de mitigação de risco adotadas ou adotar num dado tratamento, se resultar ainda num elevado risco para os direitos e liberdades dos indivíduos, é obrigatória uma consulta à autoridade de controlo. Em Portugal este papel é assumido pela Comissão Nacional de Proteção de Dados.

Em termos práticos, uma AIPD deve incluir, pelo menos os seguintes pontos:

  • Descrição sistemática das operações de tratamento (que dados, que tratamento, quais os ativos envolvidos);
  • Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos (demonstração da conformidade);
  • Avaliação dos riscos para os direitos e liberdades dos titulares (riscos existentes e medidas de proteção existentes);
  • O envolvimento das partes interessadas (o parecer do encarregado da proteção de dados e as opiniões dos titulares, ou dos seus representantes, se necessário)

Existem muitas orientações para a realização de uma AIPD, das quais destacamos:

  • WP 248 rev.01: Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD);
  • ISO/IEC 29134:2017: Information technology — Security techniques — Guidelines for privacy impact assessment

Enquanto ferramenta de gestão, uma AIPD não se esgota na sua execução. Dado o contexto dinâmico em que as organizações operam, de continua evolução tecnológica, ou de alterações legislativas ou de contexto, as AIPD podem rapidamente ficar desatualizadas. Desta forma uma AIPD não é um exercício único, mas antes um processo contínuo que deve ser alvo de revisão regular.

Estamos disponíveis para o poder auxiliar na planeamento e implementação desta ferramenta na sua organização. Contacte-nos e saiba como.

Porquê fazer uma Avaliação Impacto sobre a Proteção de Dados?