AIPD – identificação, análise e medidas de mitigação dos riscos

A Avaliação de impacto sobre a proteção de dados, o AIPD, como está sendo popularizado após a entrada em vigor do RGPD, é um documento que deve, entre outras informações, conter um mapeamento e análise de riscos completa em relação ao processamento e tratamento dos dados, bem como uma descrição detalhada das medidas para prevenção e mitigação desses riscos.

A lógica segue na maioria dos aspetos qualquer estudo de mapeamento de riscos, mas possui foco nos dados e na forma com que são tratados. A inglesa ICO possui um modelo bastante objetivo para formulação do AIPD e, nele, encontra-se um resumo prático de como devem figurar os dados e informações referentes à analise dos riscos.

O mapeamento dos riscos

A classificação dos riscos pode variar de empresa a empresa, porém o modelo da ICO estipula alguns graus de análise que servem a praticamente qualquer propósito. Em um quadro, relacionamos os riscos associados aos dados e seus processamento e, para cada um deles, apontamos classificações em três outras colunas:

  1. Probabilidade do risco. Uma noção da possibilidade de que a ameaça venha a se concretizar. A ICO oferece a classificação entre REMOTA, POSSÍVEL e PROVÁVEL.
  2. Extensão dos danos. Uma vez deflagrada a ameaça, quais os danos potenciais? A ICO, desta vez, oferece a classificação entre MÍNIMOS, SIGNIFICATIVOS e SEVEROS.
  3. Potencial médio do risco. Uma leitura geral do quão representativo e preocupante é o risco relacionado. A ICO aqui sugere a classificação entre BAIXO, MÉDIO e ALTO.

Além dos riscos obviamente relacionados à informática e ao tratamento dos dados, como perda dos mesmos, roubo de identidades, corrupção de bases de dados e afins, recomenda-se pensar nos riscos como consequências diretas e não diretas de falhas e problemas relacionados ao processamento de dados. Por exemplo, a perda ou corrupção dos dados contábeis de uma empresa podem levar a atrasos na recolha de impostos ou pagamento de fornecedores, incorrendo em coimas e juros.

O tratamento dos riscos

Após relacionar todos os riscos possíveis, é preciso relacionar, descrever e categorizar as medidas para tratamento desses riscos. Em segurança da informação, diz “controlo” a medida para mitigação ou eliminação de um risco. A ICO oferece novamente uma tabela na qual relacionamos riscos em uma coluna, com classificações em três outras colunas para cada um deles.

  1. Efeito sobre o risco. Diz respeito ao resultado da medida sobre o risco, quando a mesma é levada a cabo com eficiência. Classifica-se entre ELIMINAÇÃO, REDUÇÃO ou ACEITAÇÃO.
  2. Risco residual. Mesmo após o tratamento, alguns riscos ainda permanecem em determinado grau. Quando isso ocorre, é preciso determinar se tal grau é PEQUENO, MÉDIO ou GRANDE.
  3. Medida aprovada. Finalmente, é preciso informar se a medida de controlo relacionada foi ou não aprovada pela direção, o que indica até que ponto pode ou não ser executada ou se necessita de autorizações ou aprovações antes que o seja.

Tomando como base as boas práticas em segurança da informação, é preciso prever nas medidas de tratamento dos riscos uma lógica que cumpra com toda uma sequência. Quando uma situação de risco se torna uma ameaça, procedimentos bem desenhados de segurança precisam ser postos em prática. Geralmente essas medidas de contenção possuem uma gradação, que começa com a prevenção, etapa na qual a ameaça ainda é evitada, terminando na avaliação e passando por diversas outras etapas.

  1. AMEAÇA >> Prevenção;
  2. INCIDENTE >> Detecção >> Contenção;
  3. DANO >> Correção;
  4. RECUPERAÇÃO >> Avaliação.

A primeira etapa de uma medida de contenção exige a identificação de possíveis ameaças, o que reflete o risco que essas ameaças geram caso se materializem. A ameaça é qualquer coisa que interrompa o funcionamento de um negócio baseado em informações, ou cause a ele prejuízos em termos de resultados. Dentro do ciclo anterior, isso significa necessariamente que, após a deflagração de uma ameaça e entrada em cena de uma medida de controlo prevista no AIPD, modificar-se-á, possivelmente, o próprio documento. Os resultados da medida de controlo e as consequências da ameaça deflagrada geram necessidades de atualização, tanto na descrição dos riscos quanto nas medidas adotadas para o seu tratamento.

Quer mais detalhes sobre como conduzir uma análise de riscos? É bom dar uma olhada então na ISO/IEC 27005, que trata mais profundamente do tema. As ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27003, por outro lado, falam mais sobre o planeamento, implementação e operação de controlos.

AIPD – necessidade do documento e descrição inicial

Uma AIPD é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos. As AIPD são instrumentos importantes em matéria de responsabilização, uma vez que ajudam os responsáveis pelo tratamento não apenas a cumprir os requisitos do RGPD, mas também a demonstrar que foram tomadas medidas adequadas para assegurar a conformidade com o regulamento. Por outras palavras, uma AIPD é um processo que visa estabelecer e demonstrar conformidade.

As diretrizes e orientações referentes ao AIPD começam desse modo e estendem-se por páginas intermináveis. Contudo, há quem busque um pouco mais de didática para elaborar essa avaliação. A Avaliação de Impacto sobre a Proteção de Dados é, talvez, um dos pontos que pode gerar coimas ou multas mais pesadas – cheio de detalhes e, ao mesmo tempo, um documento longe de ter modelos matematicamente precisos, terá de conter absolutamente tudo o que for possível, de modo a evitar que a fiscalização pública à base da interpretação literal venha a punir mesmo aquilo que parecer razoável.

Recomendações do ICO

A elaboração do AIPD segue algumas diretrizes, mas não é um documento totalmente padronizado. A depender da forma com que cada companhia trata seus dados, haverá necessidade de incluir ou não alguns aspetos no relatório. Embora a lei em si possua documentos que orientam a organização do AIPD, há modelos mais objetivos e eficientes para aqueles que estão a desenvolver sua primeira avaliação.

Um desses modelos é o do britânico Information Commissioner’s Office (ICO), um órgão independente especializado na divulgação de informações relativas à privacidade. O ICO possui um modelo de AIPD bastante direto e compreensível, orientado por passos.

Passo 1 – identificar a necessidade de um AIPD

Explicar de forma abrangente quais as metas do projeto e que tipo de processamento está envolvido. É útil, neste ponto, estabelecer relações com outros documentos que sejam pertinentes, como memorais de projeto, propostas e projetos de arquitetura de dados, entre outros. O documento do RGPD estabelece nove critérios que deverão nortear a identificação da necessidade de um AIPD:

  1. Bases de dados que efetuam a avaliação ou classificação de perfis com base em dados pessoais, como instituições bancárias que efetuem análises de crédito segundo perfis de clientes, por exemplo.
  2. Decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente de modo similar, ou seja, sistemas que efetuem tomadas de decisão de forma automática que possam levar a episódios de exclusão ou discriminação.
  3. Quando há o chamado “controlo sistemático”, ou seja, a monitorização ou controlo dos titulares dos dados em zonas acessíveis ao público, o que inclui uma rede social, por exemplo.
  4. Sempre que o processamento de dados inclua a manipulação de dados altamente sensíveis de natureza pessoal, como opiniões políticas ou mesmo antecedentes criminais.
  5. A existência de dados tratados em grande escala, um conceito que precisa de ser revisto conforme os termos do RGPD – por vezes, o número absoluto de pessoas simplesmente não é atributo bastante para avaliar tal item.
  6. Quando exista correspondência ou associação de dados que crie conjuntos de dados resultantes que excedam as expectativas iniciais do titular dos dados. Aqui o exemplo de sistemas de inteligência artificial, que produzam projeções ou previsões, aplica-se de forma direta.
  7. Quando haja a manipulação pelo controlador de dados pessoais de titulares de dados considerados sensíveis, como idosos, doentes, portadores de deficiências e quaisquer outros grupos que possam ser considerados incapazes de opor-se ou interferir na forma com que seus dados são processados.
  8. Quando haja a utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais, tais como combinar a utilização da impressão digital e do reconhecimento facial para melhorar o controlo do acesso físico.
  9. Quando o próprio tratamento impede os titulares dos dados de exercer um direito ou de utilizar um serviço ou um contrato. Aqui aplica-se novamente o exemplo do banco que utiliza dados pessoais para avaliação de crédito, decidindo se concede ou não acesso a crédito ou empréstimos ao titular dos dados.
Passo 2 – descrição minuciosa do processo

Tudo deve ser descrito em relação ao processamento e tratamento dos dados. O ICO divide esta parte do AIPD em quatro tópicos para facilitar sua compreensão e elaboração. Considerando um sistema de processamento e tratamento de dados, a descrição do AIPD deverá incluir.

Natureza do processamento

Descrição de como a empresa recolhe, utiliza, armazena e eventualmente apaga os dados. É preciso descrever de forma clara e minuciosa a origem e fonte de todos os dados que sejam manipulados. Nesta parte ainda, caso os dados sejam partilhados com qualquer outra pessoa ou entidade será preciso descrever também. Se possível ou necessário, os fluxos dos dados podem e devem ser demonstrados por meio de fluxogramas e gráficos estruturais. Finalmente, ainda na natureza do processo, deve-se citar tipos de tratamento que possam envolver alto risco para os titulares dos dados.

Escopo do processamento

Em seguida, será preciso elaborar mais sobre a natureza dos dados recolhidos e sobre a existência de categorias especiais ou legalmente sensíveis dentre os mesmos. Qual o volume de dados recolhido e com que frequência ocorre ou ocorrerá sua recolha? O escopo ainda precisa conter informações sobre o período de tempo em que os dados serão mantidos ou armazenados, assim como o número de indivíduos afetados e alcance geográfico da recolha.

Contexto do processamento

Qual o relacionamento da empresa com os indivíduos cujos dados são recolhidos? Quanto controlo tais indivíduos terão sobre seus dados e como esperam que a empresa que os processa utiliza-se dessas informações? O contexto ainda precisa citar a existência de possíveis grupos sensíveis ou vulneráveis dentre os titulares dos dados, incluindo crianças, além de relacionar quaisquer potenciais riscos que já estejam previstos na atividade de processamento que pretende conduzir.

O contexto ainda pode incluir avaliações e informações sobre possíveis preocupações de caráter público em relação ao processamento desses dados ou aos grupos de indivíduos envolvidos no processo, bem como relacionar possíveis certificações, homologações e códigos de conduta aos quais o controlador dos dados ou empresa esteja sujeito ou possua.

Propósito do processamento

Sob a égide da transparência, o controlador dos dados precisa ainda informar quais os objetivos que pretende a partir do processamento dos dados, assim como a forma com que espera que os titulares dos dados sejam afetados. Em outras palavras, a empresa precisa declarar de forma clara como beneficiará do projeto e que possíveis consequências, positivas ou negativas, espera que os titulares dos dados venham enfrentar.

Tópicos que devem constar de uma Política de Privacidade

Há imensos modelos e muitos advogados a trabalhar na redação de Políticas de Privacidade sob as novas regras do GDPR europeu. Em muitos casos, documentos juridicamente perfeitos, apesar de sua correção legal, falham em atender a um dos mais básicos requisitos da nova lei: a compreensão.

Sob a luz do GDPR europeu, a Política de Privacidade não deve seguir a lógica de antigos “disclaimers”. A norma surgiu exatamente como maneira de contornar problemas de consentimento existentes a partir da não leitura ou incompreensão por parte dos usuários dos termos legais e detalhes ocultados em enormes textos de termos e condições que a maioria dos serviços online submetiam aos seus clientes.

Antes de optar por modelos específicos ou contratar advogados para produzir documentos, é preciso compreender que a Política de Privacidade precisa ser um documento de fácil compreensão e, necessariamente, suficiente para responder às seguintes questões:

  • Quem recolhe e processa os dados dos usuários?
  • Quais são os dados recolhidos nessa circunstância?
  • Quais as bases legais para a recolha e processamento desses dados?
  • Serão os dados partilhados com terceiros?
  • Como os dados e informações são utilizados e para que fim?
  • Por quanto tempo os dados permanecem armazenados?
  • Quais são os direitos do usuário como titular dos dados submetidos?
  • Como os usuários podem realizar reclamações ou denúncias e como podem exercer seus direitos?