AIPD – necessidade do documento e descrição inicial

Uma AIPD é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos. As AIPD são instrumentos importantes em matéria de responsabilização, uma vez que ajudam os responsáveis pelo tratamento não apenas a cumprir os requisitos do RGPD, mas também a demonstrar que foram tomadas medidas adequadas para assegurar a conformidade com o regulamento. Por outras palavras, uma AIPD é um processo que visa estabelecer e demonstrar conformidade.

As diretrizes e orientações referentes ao AIPD começam desse modo e estendem-se por páginas intermináveis. Contudo, há quem busque um pouco mais de didática para elaborar essa avaliação. A Avaliação de Impacto sobre a Proteção de Dados é, talvez, um dos pontos que pode gerar coimas ou multas mais pesadas – cheio de detalhes e, ao mesmo tempo, um documento longe de ter modelos matematicamente precisos, terá de conter absolutamente tudo o que for possível, de modo a evitar que a fiscalização pública à base da interpretação literal venha a punir mesmo aquilo que parecer razoável.

Recomendações do ICO

A elaboração do AIPD segue algumas diretrizes, mas não é um documento totalmente padronizado. A depender da forma com que cada companhia trata seus dados, haverá necessidade de incluir ou não alguns aspetos no relatório. Embora a lei em si possua documentos que orientam a organização do AIPD, há modelos mais objetivos e eficientes para aqueles que estão a desenvolver sua primeira avaliação.

Um desses modelos é o do britânico Information Commissioner’s Office (ICO), um órgão independente especializado na divulgação de informações relativas à privacidade. O ICO possui um modelo de AIPD bastante direto e compreensível, orientado por passos.

Passo 1 – identificar a necessidade de um AIPD

Explicar de forma abrangente quais as metas do projeto e que tipo de processamento está envolvido. É útil, neste ponto, estabelecer relações com outros documentos que sejam pertinentes, como memorais de projeto, propostas e projetos de arquitetura de dados, entre outros. O documento do RGPD estabelece nove critérios que deverão nortear a identificação da necessidade de um AIPD:

  1. Bases de dados que efetuam a avaliação ou classificação de perfis com base em dados pessoais, como instituições bancárias que efetuem análises de crédito segundo perfis de clientes, por exemplo.
  2. Decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente de modo similar, ou seja, sistemas que efetuem tomadas de decisão de forma automática que possam levar a episódios de exclusão ou discriminação.
  3. Quando há o chamado “controlo sistemático”, ou seja, a monitorização ou controlo dos titulares dos dados em zonas acessíveis ao público, o que inclui uma rede social, por exemplo.
  4. Sempre que o processamento de dados inclua a manipulação de dados altamente sensíveis de natureza pessoal, como opiniões políticas ou mesmo antecedentes criminais.
  5. A existência de dados tratados em grande escala, um conceito que precisa de ser revisto conforme os termos do RGPD – por vezes, o número absoluto de pessoas simplesmente não é atributo bastante para avaliar tal item.
  6. Quando exista correspondência ou associação de dados que crie conjuntos de dados resultantes que excedam as expectativas iniciais do titular dos dados. Aqui o exemplo de sistemas de inteligência artificial, que produzam projeções ou previsões, aplica-se de forma direta.
  7. Quando haja a manipulação pelo controlador de dados pessoais de titulares de dados considerados sensíveis, como idosos, doentes, portadores de deficiências e quaisquer outros grupos que possam ser considerados incapazes de opor-se ou interferir na forma com que seus dados são processados.
  8. Quando haja a utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais, tais como combinar a utilização da impressão digital e do reconhecimento facial para melhorar o controlo do acesso físico.
  9. Quando o próprio tratamento impede os titulares dos dados de exercer um direito ou de utilizar um serviço ou um contrato. Aqui aplica-se novamente o exemplo do banco que utiliza dados pessoais para avaliação de crédito, decidindo se concede ou não acesso a crédito ou empréstimos ao titular dos dados.
Passo 2 – descrição minuciosa do processo

Tudo deve ser descrito em relação ao processamento e tratamento dos dados. O ICO divide esta parte do AIPD em quatro tópicos para facilitar sua compreensão e elaboração. Considerando um sistema de processamento e tratamento de dados, a descrição do AIPD deverá incluir.

Natureza do processamento

Descrição de como a empresa recolhe, utiliza, armazena e eventualmente apaga os dados. É preciso descrever de forma clara e minuciosa a origem e fonte de todos os dados que sejam manipulados. Nesta parte ainda, caso os dados sejam partilhados com qualquer outra pessoa ou entidade será preciso descrever também. Se possível ou necessário, os fluxos dos dados podem e devem ser demonstrados por meio de fluxogramas e gráficos estruturais. Finalmente, ainda na natureza do processo, deve-se citar tipos de tratamento que possam envolver alto risco para os titulares dos dados.

Escopo do processamento

Em seguida, será preciso elaborar mais sobre a natureza dos dados recolhidos e sobre a existência de categorias especiais ou legalmente sensíveis dentre os mesmos. Qual o volume de dados recolhido e com que frequência ocorre ou ocorrerá sua recolha? O escopo ainda precisa conter informações sobre o período de tempo em que os dados serão mantidos ou armazenados, assim como o número de indivíduos afetados e alcance geográfico da recolha.

Contexto do processamento

Qual o relacionamento da empresa com os indivíduos cujos dados são recolhidos? Quanto controlo tais indivíduos terão sobre seus dados e como esperam que a empresa que os processa utiliza-se dessas informações? O contexto ainda precisa citar a existência de possíveis grupos sensíveis ou vulneráveis dentre os titulares dos dados, incluindo crianças, além de relacionar quaisquer potenciais riscos que já estejam previstos na atividade de processamento que pretende conduzir.

O contexto ainda pode incluir avaliações e informações sobre possíveis preocupações de caráter público em relação ao processamento desses dados ou aos grupos de indivíduos envolvidos no processo, bem como relacionar possíveis certificações, homologações e códigos de conduta aos quais o controlador dos dados ou empresa esteja sujeito ou possua.

Propósito do processamento

Sob a égide da transparência, o controlador dos dados precisa ainda informar quais os objetivos que pretende a partir do processamento dos dados, assim como a forma com que espera que os titulares dos dados sejam afetados. Em outras palavras, a empresa precisa declarar de forma clara como beneficiará do projeto e que possíveis consequências, positivas ou negativas, espera que os titulares dos dados venham enfrentar.

Artigo 4º – Definições

Artigo 4º

Definições

Para efeitos do presente regulamento, entende-se por:

1) «Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

2) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

3) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

4) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

5) «Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

6) «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

7) «Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;

8) «Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

9) «Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;

10) «Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

11) «Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

12) «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

13) «Dados genéticos», os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;

14) «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

15) «Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

16) «Estabelecimento principal»:

a) No que se refere a um responsável pelo tratamento com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União, a menos que as decisões sobre as finalidades e os meios de tratamento dos dados pessoais sejam tomadas noutro estabelecimento do responsável pelo tratamento na União e este último estabelecimento tenha competência para mandar executar tais decisões, sendo neste caso o estabelecimento que tiver tomado as referidas decisões considerado estabelecimento principal;

b) No que se refere a um subcontratante com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União ou, caso o subcontratante não tenha administração central na União, o estabelecimento do subcontratante na União onde são exercidas as principais atividades de tratamento no contexto das atividades de um estabelecimento do subcontratante, na medida em que se encontre sujeito a obrigações específicas nos termos do presente regulamento;

17) «Representante», uma pessoa singular ou coletiva estabelecida na União que, designada por escrito pelo responsável pelo tratamento ou subcontratante, nos termos do artigo 27.o, representa o responsável pelo tratamento ou o subcontratante no que se refere às suas obrigações respetivas nos termos do presente regulamento;

18) «Empresa», uma pessoa singular ou coletiva que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo as sociedades ou associações que exercem regularmente uma atividade económica;

19) «Grupo empresarial», um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;

20) «Regras vinculativas aplicáveis às empresas», as regras internas de proteção de dados pessoais aplicadas por um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro para as transferências ou conjuntos de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo empresarial ou de um grupo de empresas envolvidas numa atividade económica conjunta;

21) «Autoridade de controlo», uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51º;

22) «Autoridade de controlo interessada», uma autoridade de controlo afetada pelo tratamento de dados pessoais pelo facto de:

a) O responsável pelo tratamento ou o subcontratante estar estabelecido no território do Estado-Membro dessa autoridade de controlo;

b) Os titulares de dados que residem no Estado-Membro dessa autoridade de controlo serem substancialmente afetados, ou suscetíveis de o ser, pelo tratamento dos dados; ou

c) Ter sido apresentada uma reclamação junto dessa autoridade de controlo;

23) «Tratamento transfronteiriço»:

a) O tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro; ou

b) O tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou é suscetível de afetar substancialmente, titulares de dados em mais do que um Estados-Membro;

24) «Objeção pertinente e fundamentada», uma objeção a um projeto de decisão que visa determinar se há violação do presente regulamento ou se a ação prevista relativamente ao responsável pelo tratamento ou ao subcontratante está em conformidade com o presente regulamento, demonstrando claramente a gravidade dos riscos que advêm do projeto de decisão para os direitos e liberdades fundamentais dos titulares dos dados e, eventualmente, para a livre circulação de dados pessoais no território da União;

25) «Serviços da sociedade da informação», um serviço definido no artigo 1º, nº 1, alínea b), da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho (1);

26) «Organização internacional», uma organização e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza.

Artigo 31º – Cooperação com a autoridade de controlo

Artigo 31º

Cooperação com a autoridade de controlo

O responsável pelo tratamento e o subcontratante e, sendo caso disso, os seus representantes cooperam com a autoridade de controlo, a pedido desta, na prossecução das suas atribuições.

Tópicos que devem constar de uma Política de Privacidade

Há imensos modelos e muitos advogados a trabalhar na redação de Políticas de Privacidade sob as novas regras do GDPR europeu. Em muitos casos, documentos juridicamente perfeitos, apesar de sua correção legal, falham em atender a um dos mais básicos requisitos da nova lei: a compreensão.

Sob a luz do GDPR europeu, a Política de Privacidade não deve seguir a lógica de antigos “disclaimers”. A norma surgiu exatamente como maneira de contornar problemas de consentimento existentes a partir da não leitura ou incompreensão por parte dos usuários dos termos legais e detalhes ocultados em enormes textos de termos e condições que a maioria dos serviços online submetiam aos seus clientes.

Antes de optar por modelos específicos ou contratar advogados para produzir documentos, é preciso compreender que a Política de Privacidade precisa ser um documento de fácil compreensão e, necessariamente, suficiente para responder às seguintes questões:

  • Quem recolhe e processa os dados dos usuários?
  • Quais são os dados recolhidos nessa circunstância?
  • Quais as bases legais para a recolha e processamento desses dados?
  • Serão os dados partilhados com terceiros?
  • Como os dados e informações são utilizados e para que fim?
  • Por quanto tempo os dados permanecem armazenados?
  • Quais são os direitos do usuário como titular dos dados submetidos?
  • Como os usuários podem realizar reclamações ou denúncias e como podem exercer seus direitos?