Artigo 71º – Relatórios

Artigo 71º

Relatórios

1. O Comité elabora um relatório anual sobre a proteção das pessoas singulares no que diz respeito ao tratamento na União e, quando for relevante, em países terceiros e organizações internacionais. O relatório é tornado público e enviado ao Parlamento Europeu, ao Conselho e à Comissão.

2. O relatório anual inclui uma análise da aplicação prática das diretrizes, recomendações e melhores práticas a que se refere o artigo 70º, nº 1, alínea l), bem como das decisões vinculativas a que se refere o artigo 65º.

Artigo 69º – Independência

Artigo 69º

Independência

1. O Comité é independente na prossecução das suas atribuições ou no exercício dos seus poderes, nos termos dos artigos 70º e 71º.

2. Sem prejuízo dos pedidos da Comissão referidos no artigo 70º, nº 1, alínea b), e nº 2, o Comité não solicita nem recebe instruções de outrem na prossecução das suas atribuições ou no exercício dos seus poderes.

AIPD – necessidade do documento e descrição inicial

Uma AIPD é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos. As AIPD são instrumentos importantes em matéria de responsabilização, uma vez que ajudam os responsáveis pelo tratamento não apenas a cumprir os requisitos do RGPD, mas também a demonstrar que foram tomadas medidas adequadas para assegurar a conformidade com o regulamento. Por outras palavras, uma AIPD é um processo que visa estabelecer e demonstrar conformidade.

As diretrizes e orientações referentes ao AIPD começam desse modo e estendem-se por páginas intermináveis. Contudo, há quem busque um pouco mais de didática para elaborar essa avaliação. A Avaliação de Impacto sobre a Proteção de Dados é, talvez, um dos pontos que pode gerar coimas ou multas mais pesadas – cheio de detalhes e, ao mesmo tempo, um documento longe de ter modelos matematicamente precisos, terá de conter absolutamente tudo o que for possível, de modo a evitar que a fiscalização pública à base da interpretação literal venha a punir mesmo aquilo que parecer razoável.

Recomendações do ICO

A elaboração do AIPD segue algumas diretrizes, mas não é um documento totalmente padronizado. A depender da forma com que cada companhia trata seus dados, haverá necessidade de incluir ou não alguns aspetos no relatório. Embora a lei em si possua documentos que orientam a organização do AIPD, há modelos mais objetivos e eficientes para aqueles que estão a desenvolver sua primeira avaliação.

Um desses modelos é o do britânico Information Commissioner’s Office (ICO), um órgão independente especializado na divulgação de informações relativas à privacidade. O ICO possui um modelo de AIPD bastante direto e compreensível, orientado por passos.

Passo 1 – identificar a necessidade de um AIPD

Explicar de forma abrangente quais as metas do projeto e que tipo de processamento está envolvido. É útil, neste ponto, estabelecer relações com outros documentos que sejam pertinentes, como memorais de projeto, propostas e projetos de arquitetura de dados, entre outros. O documento do RGPD estabelece nove critérios que deverão nortear a identificação da necessidade de um AIPD:

  1. Bases de dados que efetuam a avaliação ou classificação de perfis com base em dados pessoais, como instituições bancárias que efetuem análises de crédito segundo perfis de clientes, por exemplo.
  2. Decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente de modo similar, ou seja, sistemas que efetuem tomadas de decisão de forma automática que possam levar a episódios de exclusão ou discriminação.
  3. Quando há o chamado “controlo sistemático”, ou seja, a monitorização ou controlo dos titulares dos dados em zonas acessíveis ao público, o que inclui uma rede social, por exemplo.
  4. Sempre que o processamento de dados inclua a manipulação de dados altamente sensíveis de natureza pessoal, como opiniões políticas ou mesmo antecedentes criminais.
  5. A existência de dados tratados em grande escala, um conceito que precisa de ser revisto conforme os termos do RGPD – por vezes, o número absoluto de pessoas simplesmente não é atributo bastante para avaliar tal item.
  6. Quando exista correspondência ou associação de dados que crie conjuntos de dados resultantes que excedam as expectativas iniciais do titular dos dados. Aqui o exemplo de sistemas de inteligência artificial, que produzam projeções ou previsões, aplica-se de forma direta.
  7. Quando haja a manipulação pelo controlador de dados pessoais de titulares de dados considerados sensíveis, como idosos, doentes, portadores de deficiências e quaisquer outros grupos que possam ser considerados incapazes de opor-se ou interferir na forma com que seus dados são processados.
  8. Quando haja a utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais, tais como combinar a utilização da impressão digital e do reconhecimento facial para melhorar o controlo do acesso físico.
  9. Quando o próprio tratamento impede os titulares dos dados de exercer um direito ou de utilizar um serviço ou um contrato. Aqui aplica-se novamente o exemplo do banco que utiliza dados pessoais para avaliação de crédito, decidindo se concede ou não acesso a crédito ou empréstimos ao titular dos dados.
Passo 2 – descrição minuciosa do processo

Tudo deve ser descrito em relação ao processamento e tratamento dos dados. O ICO divide esta parte do AIPD em quatro tópicos para facilitar sua compreensão e elaboração. Considerando um sistema de processamento e tratamento de dados, a descrição do AIPD deverá incluir.

Natureza do processamento

Descrição de como a empresa recolhe, utiliza, armazena e eventualmente apaga os dados. É preciso descrever de forma clara e minuciosa a origem e fonte de todos os dados que sejam manipulados. Nesta parte ainda, caso os dados sejam partilhados com qualquer outra pessoa ou entidade será preciso descrever também. Se possível ou necessário, os fluxos dos dados podem e devem ser demonstrados por meio de fluxogramas e gráficos estruturais. Finalmente, ainda na natureza do processo, deve-se citar tipos de tratamento que possam envolver alto risco para os titulares dos dados.

Escopo do processamento

Em seguida, será preciso elaborar mais sobre a natureza dos dados recolhidos e sobre a existência de categorias especiais ou legalmente sensíveis dentre os mesmos. Qual o volume de dados recolhido e com que frequência ocorre ou ocorrerá sua recolha? O escopo ainda precisa conter informações sobre o período de tempo em que os dados serão mantidos ou armazenados, assim como o número de indivíduos afetados e alcance geográfico da recolha.

Contexto do processamento

Qual o relacionamento da empresa com os indivíduos cujos dados são recolhidos? Quanto controlo tais indivíduos terão sobre seus dados e como esperam que a empresa que os processa utiliza-se dessas informações? O contexto ainda precisa citar a existência de possíveis grupos sensíveis ou vulneráveis dentre os titulares dos dados, incluindo crianças, além de relacionar quaisquer potenciais riscos que já estejam previstos na atividade de processamento que pretende conduzir.

O contexto ainda pode incluir avaliações e informações sobre possíveis preocupações de caráter público em relação ao processamento desses dados ou aos grupos de indivíduos envolvidos no processo, bem como relacionar possíveis certificações, homologações e códigos de conduta aos quais o controlador dos dados ou empresa esteja sujeito ou possua.

Propósito do processamento

Sob a égide da transparência, o controlador dos dados precisa ainda informar quais os objetivos que pretende a partir do processamento dos dados, assim como a forma com que espera que os titulares dos dados sejam afetados. Em outras palavras, a empresa precisa declarar de forma clara como beneficiará do projeto e que possíveis consequências, positivas ou negativas, espera que os titulares dos dados venham enfrentar.

Artigo 25º – Proteção de dados desde a conceção e por defeito

Artigo 25º

Proteção de dados desde a conceção e por defeito

Leia nossas considerações em particular a respeito deste artigo do RGPD.

1. Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.

2. O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.

3. Pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas nos nºs 1 e 2 do presente artigo, um procedimento de certificação aprovado nos termos do artigo 42º.