AIPD – identificação, análise e medidas de mitigação dos riscos

A Avaliação de impacto sobre a proteção de dados, o AIPD, como está sendo popularizado após a entrada em vigor do RGPD, é um documento que deve, entre outras informações, conter um mapeamento e análise de riscos completa em relação ao processamento e tratamento dos dados, bem como uma descrição detalhada das medidas para prevenção e mitigação desses riscos.

A lógica segue na maioria dos aspetos qualquer estudo de mapeamento de riscos, mas possui foco nos dados e na forma com que são tratados. A inglesa ICO possui um modelo bastante objetivo para formulação do AIPD e, nele, encontra-se um resumo prático de como devem figurar os dados e informações referentes à analise dos riscos.

O mapeamento dos riscos

A classificação dos riscos pode variar de empresa a empresa, porém o modelo da ICO estipula alguns graus de análise que servem a praticamente qualquer propósito. Em um quadro, relacionamos os riscos associados aos dados e seus processamento e, para cada um deles, apontamos classificações em três outras colunas:

  1. Probabilidade do risco. Uma noção da possibilidade de que a ameaça venha a se concretizar. A ICO oferece a classificação entre REMOTA, POSSÍVEL e PROVÁVEL.
  2. Extensão dos danos. Uma vez deflagrada a ameaça, quais os danos potenciais? A ICO, desta vez, oferece a classificação entre MÍNIMOS, SIGNIFICATIVOS e SEVEROS.
  3. Potencial médio do risco. Uma leitura geral do quão representativo e preocupante é o risco relacionado. A ICO aqui sugere a classificação entre BAIXO, MÉDIO e ALTO.

Além dos riscos obviamente relacionados à informática e ao tratamento dos dados, como perda dos mesmos, roubo de identidades, corrupção de bases de dados e afins, recomenda-se pensar nos riscos como consequências diretas e não diretas de falhas e problemas relacionados ao processamento de dados. Por exemplo, a perda ou corrupção dos dados contábeis de uma empresa podem levar a atrasos na recolha de impostos ou pagamento de fornecedores, incorrendo em coimas e juros.

O tratamento dos riscos

Após relacionar todos os riscos possíveis, é preciso relacionar, descrever e categorizar as medidas para tratamento desses riscos. Em segurança da informação, diz “controlo” a medida para mitigação ou eliminação de um risco. A ICO oferece novamente uma tabela na qual relacionamos riscos em uma coluna, com classificações em três outras colunas para cada um deles.

  1. Efeito sobre o risco. Diz respeito ao resultado da medida sobre o risco, quando a mesma é levada a cabo com eficiência. Classifica-se entre ELIMINAÇÃO, REDUÇÃO ou ACEITAÇÃO.
  2. Risco residual. Mesmo após o tratamento, alguns riscos ainda permanecem em determinado grau. Quando isso ocorre, é preciso determinar se tal grau é PEQUENO, MÉDIO ou GRANDE.
  3. Medida aprovada. Finalmente, é preciso informar se a medida de controlo relacionada foi ou não aprovada pela direção, o que indica até que ponto pode ou não ser executada ou se necessita de autorizações ou aprovações antes que o seja.

Tomando como base as boas práticas em segurança da informação, é preciso prever nas medidas de tratamento dos riscos uma lógica que cumpra com toda uma sequência. Quando uma situação de risco se torna uma ameaça, procedimentos bem desenhados de segurança precisam ser postos em prática. Geralmente essas medidas de contenção possuem uma gradação, que começa com a prevenção, etapa na qual a ameaça ainda é evitada, terminando na avaliação e passando por diversas outras etapas.

  1. AMEAÇA >> Prevenção;
  2. INCIDENTE >> Detecção >> Contenção;
  3. DANO >> Correção;
  4. RECUPERAÇÃO >> Avaliação.

A primeira etapa de uma medida de contenção exige a identificação de possíveis ameaças, o que reflete o risco que essas ameaças geram caso se materializem. A ameaça é qualquer coisa que interrompa o funcionamento de um negócio baseado em informações, ou cause a ele prejuízos em termos de resultados. Dentro do ciclo anterior, isso significa necessariamente que, após a deflagração de uma ameaça e entrada em cena de uma medida de controlo prevista no AIPD, modificar-se-á, possivelmente, o próprio documento. Os resultados da medida de controlo e as consequências da ameaça deflagrada geram necessidades de atualização, tanto na descrição dos riscos quanto nas medidas adotadas para o seu tratamento.

Quer mais detalhes sobre como conduzir uma análise de riscos? É bom dar uma olhada então na ISO/IEC 27005, que trata mais profundamente do tema. As ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27003, por outro lado, falam mais sobre o planeamento, implementação e operação de controlos.

Artigo 36º – Consulta prévia

Artigo 36º

Consulta prévia

1. O responsável pelo tratamento consulta a autoridade de controlo antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados nos termos do artigo 35º indicar que o tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco.

2. Sempre que considerar que o tratamento previsto referido no nº 1 violaria o disposto no presente regulamento, nomeadamente se o responsável pelo tratamento não tiver identificado ou atenuado suficientemente os riscos, a autoridade de controlo, no prazo máximo de oito semanas a contar da receção do pedido de consulta, dá orientações, por escrito, ao responsável pelo tratamento e, se o houver, ao subcontratante e pode recorrer a todos os seus poderes referidos no artigo 58º. Esse prazo pode ser prorrogado até seis semanas, tendo em conta a complexidade do tratamento previsto. A autoridade de controlo informa da prorrogação o responsável pelo tratamento ou, se o houver, o subcontratante no prazo de um mês a contar da data de receção do pedido de consulta, juntamente com os motivos do atraso. Esses prazos podem ser suspensos até que a autoridade de controlo tenha obtido as informações que tenha solicitado para efeitos da consulta.

3. Quando consultar a autoridade de controlo nos termos do nº 1, o responsável pelo tratamento comunica-lhe os seguintes elementos:

a) Se for aplicável, a repartição de responsabilidades entre o responsável pelo tratamento, os responsáveis conjuntos pelo tratamento e os subcontratantes envolvidos no tratamento, nomeadamente no caso de um tratamento dentro de um grupo empresarial;

b) As finalidades e os meios do tratamento previsto;

c) As medidas e garantias previstas para defesa dos direitos e liberdades dos titulares dos dados nos termos do presente regulamento;

d) Se for aplicável, os contactos do encarregado da proteção de dados;

e) A avaliação de impacto sobre a proteção de dados prevista no artigo 35º; e

f) Quaisquer outras informações solicitadas pela autoridade de controlo.

4. Os Estados-Membros consultam a autoridade de controlo durante a preparação de uma proposta de medida legislativa a adotar por um parlamento nacional ou de uma medida regulamentar baseada nessa medida legislativa, que esteja relacionada com o tratamento de dados.

5. Não obstante o nº 1, o direito dos Estados-Membros pode exigir que os responsáveis pelo tratamento consultem a autoridade de controlo e dela obtenham uma autorização prévia em relação ao tratamento por um responsável no exercício de uma missão de interesse público, incluindo o tratamento por motivos de proteção social e de saúde pública.

AIPD – necessidade do documento e descrição inicial

Uma AIPD é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos. As AIPD são instrumentos importantes em matéria de responsabilização, uma vez que ajudam os responsáveis pelo tratamento não apenas a cumprir os requisitos do RGPD, mas também a demonstrar que foram tomadas medidas adequadas para assegurar a conformidade com o regulamento. Por outras palavras, uma AIPD é um processo que visa estabelecer e demonstrar conformidade.

As diretrizes e orientações referentes ao AIPD começam desse modo e estendem-se por páginas intermináveis. Contudo, há quem busque um pouco mais de didática para elaborar essa avaliação. A Avaliação de Impacto sobre a Proteção de Dados é, talvez, um dos pontos que pode gerar coimas ou multas mais pesadas – cheio de detalhes e, ao mesmo tempo, um documento longe de ter modelos matematicamente precisos, terá de conter absolutamente tudo o que for possível, de modo a evitar que a fiscalização pública à base da interpretação literal venha a punir mesmo aquilo que parecer razoável.

Recomendações do ICO

A elaboração do AIPD segue algumas diretrizes, mas não é um documento totalmente padronizado. A depender da forma com que cada companhia trata seus dados, haverá necessidade de incluir ou não alguns aspetos no relatório. Embora a lei em si possua documentos que orientam a organização do AIPD, há modelos mais objetivos e eficientes para aqueles que estão a desenvolver sua primeira avaliação.

Um desses modelos é o do britânico Information Commissioner’s Office (ICO), um órgão independente especializado na divulgação de informações relativas à privacidade. O ICO possui um modelo de AIPD bastante direto e compreensível, orientado por passos.

Passo 1 – identificar a necessidade de um AIPD

Explicar de forma abrangente quais as metas do projeto e que tipo de processamento está envolvido. É útil, neste ponto, estabelecer relações com outros documentos que sejam pertinentes, como memorais de projeto, propostas e projetos de arquitetura de dados, entre outros. O documento do RGPD estabelece nove critérios que deverão nortear a identificação da necessidade de um AIPD:

  1. Bases de dados que efetuam a avaliação ou classificação de perfis com base em dados pessoais, como instituições bancárias que efetuem análises de crédito segundo perfis de clientes, por exemplo.
  2. Decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente de modo similar, ou seja, sistemas que efetuem tomadas de decisão de forma automática que possam levar a episódios de exclusão ou discriminação.
  3. Quando há o chamado “controlo sistemático”, ou seja, a monitorização ou controlo dos titulares dos dados em zonas acessíveis ao público, o que inclui uma rede social, por exemplo.
  4. Sempre que o processamento de dados inclua a manipulação de dados altamente sensíveis de natureza pessoal, como opiniões políticas ou mesmo antecedentes criminais.
  5. A existência de dados tratados em grande escala, um conceito que precisa de ser revisto conforme os termos do RGPD – por vezes, o número absoluto de pessoas simplesmente não é atributo bastante para avaliar tal item.
  6. Quando exista correspondência ou associação de dados que crie conjuntos de dados resultantes que excedam as expectativas iniciais do titular dos dados. Aqui o exemplo de sistemas de inteligência artificial, que produzam projeções ou previsões, aplica-se de forma direta.
  7. Quando haja a manipulação pelo controlador de dados pessoais de titulares de dados considerados sensíveis, como idosos, doentes, portadores de deficiências e quaisquer outros grupos que possam ser considerados incapazes de opor-se ou interferir na forma com que seus dados são processados.
  8. Quando haja a utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais, tais como combinar a utilização da impressão digital e do reconhecimento facial para melhorar o controlo do acesso físico.
  9. Quando o próprio tratamento impede os titulares dos dados de exercer um direito ou de utilizar um serviço ou um contrato. Aqui aplica-se novamente o exemplo do banco que utiliza dados pessoais para avaliação de crédito, decidindo se concede ou não acesso a crédito ou empréstimos ao titular dos dados.
Passo 2 – descrição minuciosa do processo

Tudo deve ser descrito em relação ao processamento e tratamento dos dados. O ICO divide esta parte do AIPD em quatro tópicos para facilitar sua compreensão e elaboração. Considerando um sistema de processamento e tratamento de dados, a descrição do AIPD deverá incluir.

Natureza do processamento

Descrição de como a empresa recolhe, utiliza, armazena e eventualmente apaga os dados. É preciso descrever de forma clara e minuciosa a origem e fonte de todos os dados que sejam manipulados. Nesta parte ainda, caso os dados sejam partilhados com qualquer outra pessoa ou entidade será preciso descrever também. Se possível ou necessário, os fluxos dos dados podem e devem ser demonstrados por meio de fluxogramas e gráficos estruturais. Finalmente, ainda na natureza do processo, deve-se citar tipos de tratamento que possam envolver alto risco para os titulares dos dados.

Escopo do processamento

Em seguida, será preciso elaborar mais sobre a natureza dos dados recolhidos e sobre a existência de categorias especiais ou legalmente sensíveis dentre os mesmos. Qual o volume de dados recolhido e com que frequência ocorre ou ocorrerá sua recolha? O escopo ainda precisa conter informações sobre o período de tempo em que os dados serão mantidos ou armazenados, assim como o número de indivíduos afetados e alcance geográfico da recolha.

Contexto do processamento

Qual o relacionamento da empresa com os indivíduos cujos dados são recolhidos? Quanto controlo tais indivíduos terão sobre seus dados e como esperam que a empresa que os processa utiliza-se dessas informações? O contexto ainda precisa citar a existência de possíveis grupos sensíveis ou vulneráveis dentre os titulares dos dados, incluindo crianças, além de relacionar quaisquer potenciais riscos que já estejam previstos na atividade de processamento que pretende conduzir.

O contexto ainda pode incluir avaliações e informações sobre possíveis preocupações de caráter público em relação ao processamento desses dados ou aos grupos de indivíduos envolvidos no processo, bem como relacionar possíveis certificações, homologações e códigos de conduta aos quais o controlador dos dados ou empresa esteja sujeito ou possua.

Propósito do processamento

Sob a égide da transparência, o controlador dos dados precisa ainda informar quais os objetivos que pretende a partir do processamento dos dados, assim como a forma com que espera que os titulares dos dados sejam afetados. Em outras palavras, a empresa precisa declarar de forma clara como beneficiará do projeto e que possíveis consequências, positivas ou negativas, espera que os titulares dos dados venham enfrentar.

Artigo 35º – Avaliação de impacto sobre a proteção de dados

Artigo 35º

Avaliação de impacto sobre a proteção de dados

1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação.

2. Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.

3. A realização de uma avaliação de impacto sobre a proteção de dados a que se refere o nº 1 é obrigatória nomeadamente em caso de:

a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b) Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9º, nº 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º; ou

c) Controlo sistemático de zonas acessíveis ao público em grande escala.

4. A autoridade de controlo elabora e torna pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do n.o 1. A autoridade de controlo comunica essas listas ao Comité referido no artigo 68º.

5. A autoridade de controlo pode também elaborar e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais não é obrigatória uma análise de impacto sobre a proteção de dados. A autoridade de controlo comunica essas listas ao Comité.

6. Antes de adotar as listas a que se referem os nºs 4 e 5, a autoridade de controlo competente aplica o procedimento de controlo da coerência referido no artigo 63º sempre que essas listas enunciem atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados ou com o controlo do seu comportamento em diversos Estados-Membros, ou possam afetar substancialmente a livre circulação de dados pessoais na União.

7. A avaliação inclui, pelo menos:

a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;

b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;

c) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o nº 1; e

d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.

8. Ao avaliar o impacto das operações de tratamento efetuadas pelos responsáveis pelo tratamento ou pelos subcontratantes, em especial para efeitos de uma avaliação de impacto sobre a proteção de dados, é tido na devida conta o cumprimento dos códigos de conduta aprovados a que se refere o artigo 40º por parte desses responsáveis ou subcontratantes.

9. Se for adequado, o responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses comerciais ou públicos ou da segurança das operações de tratamento.

10. Se o tratamento efetuado por força do artigo 6º, nº 1, alínea c) ou e), tiver por fundamento jurídico o direito da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito, e esse direito regular a operação ou as operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto sobre a proteção de dados no âmbito de uma avaliação de impacto geral no contexto da adoção desse fundamento jurídico, não são aplicáveis os nºs 1 a 7, salvo se os Estados-Membros considerarem necessário proceder a essa avaliação antes das atividades de tratamento.

11. Se necessário, o responsável pelo tratamento procede a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto sobre a proteção de dados, pelo menos quando haja uma alteração dos riscos que as operações de tratamento representam.