Tanto a DPIA (Data Protection Impact Assessment) na GDPR ou RIPD (Relatório de Impacto à Proteção de Dados) da LGPD, podemos pensar em soluções iniciais, já que as leis são muito próximas visto que a LGPD foi baseada na GDPR. Portanto, para iniciar um Relatório de Impacto à Proteção de Dados ou RIPD, devemos ter em mente alguns pontos importantes como, catalogar todo o tipo de tratamento de dados que a empresa realiza, verificar quais tratamentos representam risco aos titulares dos dados.

Para a LGPD  o que diz respeito ao Relatório de Impacto à Proteção de Dados (RIPD), de acordo com o inciso XVII do artigo 5º, que faz alusão a esse relatório como sendo a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

Tendo como base esses tópicos, a empresa, de acordo com o seu negócio, deverá buscar medidas que minimizem os riscos diagnosticados.

De acordo com o GDPR (Regulamento Geral de Proteção de Dados), as DPIAs devem ser usadas para avaliar os riscos aos direitos e liberdades dos titulares de dados que resultam do processamento de dados, e o mesmo vale para o RIPD na LGPD. Eles são particularmente relevantes ao introduzir novos processos, sistemas ou tecnologias de processamento de dados.

As DPIAs e RIPDs também apoiam o princípio de responsabilidade da GDPR e o princípio da RESPONSABILIDADE E PRESTAÇÃO DE CONTAS da LGPD respectivamente, ajudando as organizações a provar que tomaram medidas técnicas e organizacionais apropriadas, conforme necessário.

A falha em condução adequada de um DPIA ou um RIPD, quando obrigatório, constitui uma violação da lei, e poderá resultar em multas administrativas gigantescas.

Elementos chave de um RIPD ou DPIA de sucesso

Não há especificações nas leis, desta forma, permite que as organizações usem uma estrutura que complementa suas práticas de trabalho existentes, no entanto, seja qual for a metodologia que você usa, sua DPIA ou RIPD normalmente consistirá nas seguintes etapas:

Identificação da necessidade.

Descrever o fluxo de informações.

Descrever a natureza, o escopo, o contexto e os propósitos do processamento.

Identificar os riscos para os direitos e liberdades dos titulares de dados.

Identificar soluções para reduzir ou eliminar esses riscos.

Assine os resultados do DPIA e RIPD.

Integrar soluções de proteção de dados no projeto.

Quando você deve conduzir um DPIA ou um RIPD?

Aqui tanto DPIA quanto RIPD podem ser observados da mesma forma, visto que a LGPD até a data de publicação deste artigo, não entrou em vigor.

Sempre que o processamento de dados “possa resultar em um alto risco aos direitos e liberdades das pessoas físicas”. As três condições principais identificadas no GDPR são:

Uma avaliação sistemática e abrangente de aspectos pessoais relacionados a pessoas físicas, que é baseada no processamento automatizado, incluindo a criação de perfis, e na qual as decisões são baseadas que produzem efeitos legais relativos à pessoa natural ou afetam significativamente a pessoa natural.

Processamento de categorias especiais de dados ou dados pessoais relacionados a condenações criminais e crimes em larga escala.

Monitoramento sistemático de uma área de acesso público em larga escala.

Exemplos de processamento de dados pessoais em que um DPIA provavelmente será necessário:

Um hospital processando os dados genéticos e de saúde de seus pacientes em seu sistema de informação.

O arquivamento de dados sensíveis sob pseudônimo de projetos de pesquisa ou ensaios clínicos.

Uma organização que utiliza um sistema inteligente de análise de vídeo para destacar carros e reconhecer automaticamente as matrículas.

Uma organização que monitora sistematicamente as atividades de seus funcionários, incluindo suas estações de trabalho e atividades na Internet.

A coleta de dados de mídia social públicos para gerar perfis.

Uma instituição que cria um banco de dados de classificação de crédito ou fraude em nível nacional.

O WP29 (Grupo de Trabalho do Artigo 29.º), que foi agora substituído pelo EDPB (Conselho Europeu para a Proteção de Dados), foi responsável pela emissão de orientações e pareceres sobre os aspectos do RGPD. Suas diretrizes sobre as DPIAs estabelecem os critérios que as organizações devem considerar ao determinar os riscos representados por uma operação de processamento. Quanto mais critérios forem atendidos, mais provável será que o processamento apresente um alto risco aos direitos e liberdades dos indivíduos e, portanto, exija um DPIA.

RIPDs e DPIAs e a privacidade por design

Tanto o RIPD quanto o DPIA, deverão ser conduzidos o mais cedo possível no ciclo de vida do projeto, para que suas descobertas e recomendações possam ser incorporadas ao projeto da operação de processamento.

Conhecida como privacidade por design, a inclusão de recursos de privacidade de dados no design de projetos pode ter os seguintes benefícios:

Problemas potenciais são identificados em um estágio inicial.

Enfrentar os problemas precocemente será mais fácil e barato.

Maior conscientização sobre privacidade e proteção de dados em toda a organização.

As organizações terão menos probabilidade de violar as leis.

É menos provável que as ações sejam intrusivas para a privacidade e tenham um impacto negativo nos indivíduos.

Quem deve estar envolvido na condução de um RIPD ou DPIA?

Os controladores de dados são responsáveis ​​por garantir que o RIPD e o DPIA sejam executados.

O RIPD e o DPIA devem ser conduzidos por pessoas com conhecimento e experiência apropriados do projeto em questão.

Sob as leis, é necessário que qualquer organização com um DPO designado (oficial de proteção de dados) busque seu conselho. Este conselho e as decisões tomadas devem ser documentadas como parte do processo de RIPD ou DPIA.

Referências:

https://www.itgovernance.co.uk/privacy-impact-assessment-pia