A importância da Análise de Impacto (PIA ou AIPD ou DPIA)

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO RGPD – Para gestores, departamentos estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

É possível que a "avaliação de impacto sobre a proteção de dados" (DPIA) se torne o símbolo do GDPR (em inglês, falamos de DPIA, Data Protection Impact Assessment, ou, abreviadamente, PIA, Privacy Impact Assessment). De qualquer forma, é a ferramenta escolhida para responsabilizar as empresas e impedi-las de agir em detrimento dos cidadãos consumidores. Ao exigir um trabalho prévio antes de qualquer operação de tratamento de dados e, quando apropriado, a consulta à autoridade supervisora, oferece uma garantia séria de respeito à privacidade. 

Uma avaliação de impacto é necessária antes do tratamento "quando um tipo de tratamento, em particular através da utilização de novas tecnologias, e tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares" (art. 35.º, n.º 1). Especifica-se que uma análise pode referir-se a várias operações de tratamento semelhantes que apresentem o mesmo tipo de riscos elevados. Pode deduzir-se destas disposições que, se não existir "alto risco" e/ou se já tiver sido realizada uma análise para operações semelhantes, a análise não é obrigatória (da mesma forma quando o tratamento estiver ligado a uma missão de interesse público, exceção já referida).

O conceito de "alto risco" não é expressamente definido, mas a CNIL especifica o de "risco à privacidade". Trata-se de "um cenário que descreve: um evento temido (acesso não autorizado, modificação indesejada ou desaparecimento de dados e seus potenciais impactos nos direitos e liberdades dos indivíduos); todas as ameaças que permitiriam sua ocorrência. É estimado em termos de gravidade e probabilidade. A gravidade deve ser avaliada para os indivíduos em questão, não para a organização". Isso é suficientemente vago e amplo para considerar que o risco à privacidade, portanto alto, corresponde a muitas operações de processamento.

O Artigo 35-4 prevê que a autoridade supervisora publicará uma lista de operações para as quais é necessária uma análise. Enquanto isso, o G29 combinou vários pontos do GDPR para chegar a uma lista de 9 critérios (diretrizes de 4 de abril de 2017, alteradas em 4 de outubro de 2017), que podem sugerir que uma operação de tratamento é suscetível de gerar um alto risco:

– “avaliação ou classificação, incluindo atividades de definição de perfis ou de previsão, relacionadas em particular com “aspetos relativos ao desempenho profissional do titular dos dados, à situação económica, à saúde, às preferências ou interesses pessoais, à fiabilidade ou ao comportamento, ou à localização e aos movimentos” (considerandos 71 e 91)”;

– “tomada de decisão automatizada com efeito legal ou similarmente significativo”;

– “monitorização sistemática”;

– “dados sensíveis ou de natureza altamente pessoal”. Isso pode incluir informações sobre opiniões políticas, condenações criminais, registros médicos, mas também, afirma o G29, e-mails, diários e anotações. Se dados desse tipo tiverem sido tornados públicos pela pessoa em questão, isso será levado em consideração;

– “dados processados em larga escala”. O conceito de larga escala não é especificado, mas o GT29 recomenda que se leve em consideração o número de pessoas envolvidas, o volume de dados, a duração e o escopo geográfico do processamento;

– “cruzamento ou combinação de conjuntos de dados”;

– «dados relativos a pessoas vulneráveis (considerando 75)», ou seja, crianças, trabalhadores, pessoas que sofrem de doenças mentais, requerentes de asilo, idosos, doentes, etc.;

– “uso ou aplicação inovadora de novas soluções tecnológicas ou organizacionais”. O G29 cita, em particular, o uso combinado do reconhecimento de impressões digitais e do reconhecimento facial, ou a Internet das Coisas;

– tratamento que “impede os titulares dos dados de exercer um direito ou de beneficiar de um serviço ou contrato”. O G29 dá o exemplo de um banco que selecionaria os seus clientes através de uma base de dados de classificação de crédito antes de tomar decisões de empréstimo.

O G29 considera que o tratamento correspondente a dois destes nove critérios requer uma AIPD (mesmo que um único critério possa ser suficiente). A CNIL dá um exemplo: "uma empresa estabelece um monitoramento da atividade de seus funcionários, este tratamento atende ao critério de monitoramento sistemático e ao de dados relativos a pessoas vulneráveis, portanto, a implementação de uma AIPD será necessária."

A análise deve conter, no mínimo: uma descrição das operações previstas, bem como as finalidades do tratamento, uma indicação da proporcionalidade das primeiras em relação às últimas, uma avaliação dos riscos para os direitos e liberdades das pessoas em causa e as medidas previstas para fazer face aos riscos. A CNIL baseia a análise de impacto em dois pilares: uma avaliação mais jurídica relativa aos princípios da "inegociabilidade" e um estudo mais técnico sobre as medidas previstas para proteger os dados. Propõe, nos seus guias de AIPD (atualmente em revisão), a aplicação do plano GDPR (indicado no início deste parágrafo); quando forem atualizados, serão, sem dúvida, ferramentas úteis para todos aqueles que necessitem de elaborar tal documento.

Surge a questão de saber se uma avaliação de impacto é necessária para operações de tratamento já implementadas em 25 de maio de 2018. O GDPR não responde a essa pergunta, mas a CNIL responde. "Uma avaliação de impacto não será necessária para: operações de tratamento que tenham sido objeto de formalidade prévia junto à CNIL antes de 25 de maio de 2018; operações de tratamento que tenham sido inscritas no registo de um correspondente em matéria de "proteção de dados e liberdades". Após 3 anos, no entanto, as operações de tratamento regularmente implementadas terão de ser submetidas a uma avaliação de impacto, sempre em caso de "alto risco" para os titulares dos dados.  

No final destas diretrizes, a CNIL acrescenta a seguinte frase: "A implementação de uma AIPD constitui, em todos os casos, uma boa prática que facilita o processo de cumprimento das condições substantivas previstas no RGPD". Sendo a CNIL a autoridade supervisora em França, esta recomendação não deve ser ignorada em termos de boas práticas. Especialmente porque o G29 afirma: "Em caso de dúvida quanto à necessidade de realizar uma AIPD, na medida em que as AIPD são uma ferramenta importante para os responsáveis pelo tratamento de dados cumprirem a legislação de proteção de dados, o G29 recomenda a sua realização independentemente". O grupo de trabalho europeu acrescenta, por fim, que a AIPD é obrigatória quando "os riscos associados tiverem evoluído".

Da mesma forma, não são inúteis suas indicações sobre os profissionais que devem participar da realização da análise de impacto: o controlador de dados (quem é o responsável), o subcontratado, se houver, o encarregado da proteção de dados (veremos quem é), os proprietários e gerentes de projeto, o gerente de segurança dos sistemas de informação, bem como, eventualmente, as pessoas interessadas, que podem ser consultadas para obter sua opinião por meio de um questionário.

É o Artigo 35-7 do RGPD que define o conteúdo mínimo de uma análise de impacto:

– uma descrição sistemática das operações previstas e das finalidades do tratamento;

– uma avaliação da necessidade e da proporcionalidade das operações de tratamento em relação às finalidades;

– uma avaliação dos riscos para os direitos e liberdades das pessoas em causa;

– as medidas previstas para fazer face aos riscos e fornecer provas do cumprimento dos regulamentos.

O G29 fornece exemplos de metodologia em um apêndice à sua análise do AIPD. A CNIL acaba de publicar guias com um método e um catálogo de melhores práticas, bem como um software PIA de código aberto. Portanto, não há mais desculpas para o não cumprimento das novas obrigações.

Após a conclusão da avaliação de impacto, o tratamento pode ser iniciado ou o responsável pelo tratamento deve consultar a autoridade de controlo “antes do tratamento, caso uma avaliação de impacto sobre a proteção de dados, realizada nos termos do artigo 35.º, indique que o tratamento apresentaria um risco elevado se o responsável pelo tratamento não tomasse medidas para mitigar o risco” (artigo 36.º, n.º 1). O n.º 2 do mesmo artigo estipula que, em caso de consulta prévia, a autoridade de controlo tem 8 semanas (+6 em casos de complexidade) para emitir o seu parecer.

A avaliação de impacto pode ser publicada, com o objetivo de fortalecer a confiança na empresa, mas isso não é uma obrigação.

A não realização de uma avaliação de impacto ou uma avaliação conduzida incorretamente pode resultar em uma multa de até € 10 milhões ou, para uma empresa, € 2,1 bilhões de seu faturamento mundial, o que for maior.