Tanto a DPIA (Data Protection Impact Assessment) na GDPR ou RIPD (Relatório de Impacto à Proteção de Dados) da LGPD, podemos pensar em soluções iniciais, já que as leis são muito próximas visto que a LGPD foi baseada na GDPR. Portanto, para iniciar um Relatório de Impacto à Proteção de Dados ou RIPD, devemos ter em mente alguns pontos importantes como, catalogar todo o tipo de tratamento de dados que a empresa realiza, verificar quais tratamentos representam risco aos titulares dos dados.

Para a LGPD  o que diz respeito ao Relatório de Impacto à Proteção de Dados (RIPD), de acordo com o inciso XVII do artigo 5º, que faz alusão a esse relatório como sendo a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

Tendo como base esses tópicos, a empresa, de acordo com oseu negócio, deverá buscar medidas que minimizem os riscos diagnosticados.

De acordo com o GDPR (Regulamento Geral de Proteção deDados), as DPIAs devem ser usadas para avaliar os riscos aos direitos e liberdadesdos titulares de dados que resultam do processamento de dados, e o mesmo valepara o RIPD na LGPD. Eles são particularmente relevantes ao introduzir novosprocessos, sistemas ou tecnologias de processamento de dados.

As DPIAs e RIPDs também apoiam o princípio de responsabilidade da GDPR e o princípio da RESPONSABILIDADEE PRESTAÇÃO DE CONTAS da LGPD respectivamente, ajudando as organizações aprovar que tomaram medidas técnicas e organizacionais apropriadas, conformenecessário.

A falha em condução adequada de um DPIA ou um RIPD, quandoobrigatório, constitui uma violação da lei, e poderá resultar em multasadministrativas gigantescas.

Elementos chave de um RIPD ou DPIA de sucesso

Não há especificações nas leis, desta forma, permite que asorganizações usem uma estrutura que complementa suas práticas de trabalhoexistentes, no entanto, seja qual for a metodologia que você usa, sua DPIA ouRIPD normalmente consistirá nas seguintes etapas:

Identificação da necessidade.

Descrever o fluxo de informações.

Descrever a natureza, o escopo, o contexto e os propósitosdo processamento.

Identificar os riscos para os direitos e liberdades dostitulares de dados.

Identificar soluções para reduzir ou eliminar esses riscos.

Assine os resultados do DPIA e RIPD.

Integrar soluções de proteção de dados no projeto.

Quando você deve conduzir um DPIA ou um RIPD?

Aqui tanto DPIA quanto RIPD podem ser observados da mesmaforma, visto que a LGPD até a data de publicação deste artigo, não entrou emvigor.

Sempre que o processamento de dados “possa resultar em umalto risco aos direitos e liberdades das pessoas físicas”. As três condiçõesprincipais identificadas no GDPR são:

Uma avaliação sistemática e abrangente de aspectos pessoaisrelacionados a pessoas físicas, que é baseada no processamento automatizado, incluindoa criação de perfis, e na qual as decisões são baseadas que produzem efeitoslegais relativos à pessoa natural ou afetam significativamente a pessoanatural.

Processamento de categorias especiais de dados ou dadospessoais relacionados a condenações criminais e crimes em larga escala.

Monitoramento sistemático de uma área de acesso público emlarga escala.

Exemplos de processamento de dados pessoais em que um DPIAprovavelmente será necessário:

Um hospital processando os dados genéticos e de saúde deseus pacientes em seu sistema de informação.

O arquivamento de dados sensíveis sob pseudônimo de projetosde pesquisa ou ensaios clínicos.

Uma organização que utiliza um sistema inteligente deanálise de vídeo para destacar carros e reconhecer automaticamente asmatrículas.

Uma organização que monitora sistematicamente as atividadesde seus funcionários, incluindo suas estações de trabalho e atividades naInternet.

A coleta de dados de mídia social públicos para gerarperfis.

Uma instituição que cria um banco de dados de classificaçãode crédito ou fraude em nível nacional.

O WP29 (Grupo de Trabalho do Artigo 29.º), que foi agorasubstituído pelo EDPB (Conselho Europeu para a Proteção de Dados), foiresponsável pela emissão de orientações e pareceres sobre os aspectos do RGPD.Suas diretrizes sobre as DPIAs estabelecem os critérios que as organizaçõesdevem considerar ao determinar os riscos representados por uma operação deprocessamento. Quanto mais critérios forem atendidos, mais provável será que oprocessamento apresente um alto risco aos direitos e liberdades dos indivíduose, portanto, exija um DPIA.

RIPDs e DPIAs e a privacidade por design

Tanto o RIPD quantoo DPIA, deverão ser conduzidos omais cedo possível no ciclo de vida do projeto, para que suas descobertas erecomendações possam ser incorporadas ao projeto da operação de processamento.

Conhecida como privacidade por design, a inclusão de recursosde privacidade de dados no design de projetos pode ter os seguintes benefícios:

Problemas potenciais sãoidentificados em um estágio inicial.

Enfrentar os problemas precocemente será mais fácil ebarato.

Maior conscientização sobre privacidade e proteção de dadosem toda a organização.

As organizações terão menos probabilidade de violar as leis.

É menos provável que as ações sejam intrusivas para aprivacidade e tenham um impacto negativo nos indivíduos.

Quem deve estar envolvido na condução de um RIPD ou DPIA?

Os controladores de dados são responsáveis ​​por garantir que o RIPD e oDPIA sejam executados.

O RIPD e o DPIA devem ser conduzidos por pessoas comconhecimento e experiência apropriados do projeto em questão.

Sob as leis, é necessário que qualquer organização com um DPO designado (oficial de proteção dedados) busque seu conselho. Este conselho e as decisões tomadas devem serdocumentadas como parte do processo de RIPD ou DPIA.

Referências:

https://www.itgovernance.co.uk/privacy-impact-assessment-pia