20 de junho de 2019 Direito, Governança de TI, Segurança

A necessidade jurídica e técnica de Avaliar o Impacto à proteção de dados (AIPD/DPIA) nos setores da Saúde e Financeiro

Com a vigência da Regulação geral de proteção de dados Europeia a partir de 25 de maio de 2018 e a iminência da Lei Geral de Proteção de Dados Brasileira, que começará a surtir efeitos em agosto de 2020, muitas entidades estão se preparando em ambos os territórios para se adequar à nova realidade, a fim de evitar as severas sanções impostas e seguir às tendências mundiais de conformidade.

Algumas entidades estão mais suscetíveis ao risco do que outras, tais como aquelas relacionadas à saúde e à atividade de referência ao crédito, visto que captam os dados da camada mais sensível de pessoas físicas.

Conheça sobre a lei Geral de Proteção de dados  através de uma breve vídeo Aula (06 minutos).

1. PRINCÍPIOS NORTEADORES DA ATIVIDADE DE TRATAMENTO DE DADOS PESSOAIS

As legislações citadas acima apresentam princípios norteadores da atividade que envolve tratamento de dados pessoais, dos quais dois merecem destaque nessa oportunidade, quais sejam:

  • Princípio de Proteção de dados “by design” ou proteção de dados desde a concepção e;
  • Proteção de Dados por padrão ou by default.

O primeiro princípio determina que o controlador e/ou qualquer pessoa que processe dados pessoais antecipe e evite eventos invasivos de privacidade, antes que ocorram. O segundo princípio busca fornecer o máximo grau de privacidade, automaticamente, em qualquer sistema ou prática, devendo ser incorporada às atividades de maneira padrão, a fim de otimizar todos procedimentos de maneira uniforme.

O princípio da privacidade desde a concepção foi idealizado por Ann Cavoukian (2011), a qual aduziu que Privacidade “by design” promove a visão de que o futuro da privacidade não pode ser assegurado apenas pelo cumprimento de estruturas regulatórias; em vez disso, a garantia da privacidade deve idealmente se tornar o modo de operação padrão de uma organização.

Esse princípio exige que o controlador/ pessoa que processe dados pessoais antecipe e evite eventos invasivos de privacidade através de Avaliação de Impacto sobre a Proteção de Dados (AIPDou Data Protection Impact Assessment (DPIA).

A figura seguinte ilustra a aplicabilidade dos princípios básicos relacionados com a AIPD no RGPD:

Fonte: (GRUPO DE TRABALHO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, 2017).

Fonte: (GRUPO DE TRABALHO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS, 2017).

A previsão dessa exigência se encontra no Artigo 35 da RGPD/GDPR, o qual aduz que sempre que um tipo de processamento, em especial utilizando novas tecnologias, e tendo em conta a natureza, âmbito, contexto e finalidades do processamento, possa resultar num risco elevado para os direitos e liberdades das pessoas singulares, o controlador do processamento, procederá com uma avaliação do impacto das operações de processamento previstas na proteção de dados pessoais. Uma única avaliação pode abordar um conjunto de operações de processamento semelhantes que apresentam riscos elevados semelhantes. (Parlamento Europeu, 2016).

2.  AS ATIVIDADES DE SAÚDE E FINANCEIRAS E O CARÁTER FUNDAMENTAL DA AVALIAÇÃO DE IMPACTO DE PROTEÇÃO DE DADOS PESSOAIS (AIPD)

As atividades de saúde e relacionadas ao crédito cumprem os requisitos para serem consideradas de risco elevado para os direitos e liberdades das pessoas individuais.

Ao considerar, a título de exemplo, a gravidade da violação de dados genéticos, dados sobre enfermidades (tais como as de natureza sexual), bem como relativas às condições hereditárias, entre outras, resta claro o poder de influenciar negativamente à vida de um indivíduo de maneira geral, seja em relação ao trabalho e/ou convívio social, tornando a afirmativa do parágrafo anterior justificada. Da mesma forma ocorre com os dados captados para proteção ao crédito, que em caso de violação podem comprometer a vida financeira do individuo e seus compromissos perante a sociedade.

A AIPD é uma avaliação sistemática e exaustiva dos aspectos pessoais relativos às pessoas físicas, baseada no processamento automatizado, incluindo a definição de perfis em que se baseiam as decisões que produzem efeitos jurídicos em relação à pessoa singular, ou afetam igualmente de forma significativa a pessoa singular, segundo o Parlamento Europeu (2016).

 Deve ser avaliado o processamento em larga escala de categorias especiais de dados referidas no Artigo 9 da RGPD (dados sensíveis. Exemplo: relativos à saúde ao crédito), assim como aqueles suscetíveis a um acompanhamento sistemático de uma área de acesso público em grande escala, conforme o aduz o Parlamento Europeu (2016).

A figura abaixo demonstra a estrutura de uma AIPD:

Fonte: (EXIN Privacy & Data - Leo Besemer, 2018)

Fonte: (EXIN Privacy & Data – Leo Besemer, 2018)

2.1. O MOMENTO CERTO PARA APLICAÇÃO DA AIPD

É importante que a AIPD seja realizada previamente ao processamento dos dados pessoais, considerando os princípios, do processamento dos dados pessoais com privacidade “by design” e por padrão. Portanto, a avaliação deve ter seu início antecipado em relação à operação de processamento, mesmo que ainda não definidas.

Em alguns casos a AIPD deverá ser atualizada durante o todo o período operacional. Veja o exemplo: Um hospital/clinica capta dados pessoais de um paciente para uma entidade de saúde, que manterá os dados armazenados até o fim do tratamento ou após determinado espaço de tempo a partir do fim, de acordo com a necessidade. Poderá ser necessário captar novos dados em caso de reincidência de uma enfermidade ou em casos de novas funcionalidades de algum procedimento ou tratamento, aplicativo, sistema interno do estabelecimento, tornando necessário a atualização periódica da verificação de impacto sob os dados pessoais.

Diante dessa situação, os novos dados a serem captados e as inovações/ funcionalidades, gerarão procedimentos e atualizações de sistema, criando novos riscos e possibilidades, tornando fundamental nova avaliação, periódica, uma vez que esse fato pode ocorrer com mais de um paciente, em diferentes momentos ou simultaneamente, deixando a captação e tratamento de dados extremamente dinâmica, por natureza da operação.

 A mesma máxima vale para as instituições financeiras, que a cada operação, novos produtos de investimento e serviços que oferecem ao seu consumidor, em regra, passa a necessitar de mais dados ou modificar os antigos para as novas funcionalidades, para proteção ao crédito e manutenção da operação. Logo, nova analise se faz necessária, periodicamente.

3.  AS VANTAGENS PRÁTICAS DA APLICAÇÃO PERIÓDICA DA AVALIAÇÃO DE IMPACTO DE PROTEÇÃO DE DADOS PESSOAIS (AIPD) – CRITÉRIOS MÍNIMOS A SEREM OBSERVADOS

Essa avaliação propiciará a criação de soluções de conformidade, tanto antes do início do tratamento (essencial), quanto após o tratamento (recomendado/fundamental a depender da natureza da operação), devido ao dinamismo das atividades citadas, dentre outras.

Logo, uma vez que os projetos avançam, novas necessidades surgem, juntamente com medidas técnicas ou organizacionais que influenciam na gravidade dos riscos do processamento, conforme exemplificado acima, tornando a avaliação um procedimento de necessidade contínua.

É vantagem competitiva a condução de uma AIPD, posto que propicia prevenção de inconvenientes ao documentar a conformidade, a qual poderá resguardar a entidade em caso de requisição/ auditoria/ avaliação por parte da autoridade de dados e dos próprios titulares dos dados. Além disso, a constante avaliação permite:

  • evitar mudanças dispendiosas nos processos, redesenho de sistemas ou encerramento de projetos;
  • reduzir as consequências da supervisão e fiscalização;
  • melhorar a qualidade dos dados;
  • melhorar a prestação de serviços;
  • melhorar a tomada de decisão;
  • aumentar a conscientização sobre privacidade em uma organização;
  • melhorar a viabilidade do projeto • melhorar a comunicação em relação à privacidade e proteção de dados pessoais;
  • reforçar a confiança dos titulares de dados na forma como os dados pessoais são processados e a privacidade é respeitada. (EXIN Privacy & Data – Leo Besemer, 2018).

Ademais, a legislação estabelece critérios mínimos que devem ser observados ao produzir a referida avaliação, quais sejam:

  • Uma descrição das operações de processamento previstas e as finalidades do processamento;
  • Uma avaliação da necessidade e proporcionalidade do processamento;
  • Uma avaliação dos riscos para os direitos e liberdades dos titulares de dados;
  • As medidas previstas para: o abordar os riscos o demonstrar o cumprimento do presente regulamento (EXIN Privacy & Data – Leo Besemer, 2018).

4. CONCLUSÃO:

As AIPD são uma forma útil de os responsáveis pelo tratamento de dados aplicarem sistemas de tratamento de dados que estejam em conformidade com o RGPD, podendo ser obrigatórias para alguns tipos de operações de tratamento (quando podem expor a risco elevado o titular dos dados). São dimensionáveis e podem assumir diferentes formas, mas o RGPD define os requisitos básicos para uma AIPD eficaz, conforme acima exposto. Os responsáveis pelo tratamento de dados devem encarar a realização de uma AIPD como uma atividade útil e positiva que ajuda à conformidade jurídica, conforme aconselha o Grupo de Trabalho do Artigo 29 (2017).

Portanto, as atividades de saúde e relativas ao crédito estando cientes dessa ferramenta e do compromisso em relação à privacidade dos dados, do qual não é possível se eximir, quanto mais cedo adotarem os procedimentos indicados, menor será o risco de violação de dados para os titulares e para a própria operação/entidade, podendo retirar desse compromisso uma vantagem competitiva e confiabilidade junto aos usuários face aos demais players do mercado.

Caso tenha alguma dúvida, curiosidade e/ou interesse em saber mais, sinta-se livre para me contatar.

Espero que o conteúdo tenha sido útil!

Um abraço  e sucesso!

5. BIBLIOGRAFIA

ARTICLE 29 DATA PROTECTION WORKING PARTY. (2016, Dezembro 13). Guidelines for identifying a controller or processor’s lead supervisory authority. Retrieved from https://www.linkedin.com/redir/general-malware-page?url=ec%2eeuropa%2eeu: https://www.linkedin.com/redir/general-malware-page?url=http%3A%2F%2Fec%2eeuropa%2eeu%2Finformation_society%2Fnewsroom%2Fimage%2Fdocument%2F2016-51%2Fwp244_en_40857%2epdf

Cavoukian, A. (2011, Janeiro). Privacy by Design, The 7 Foundational Principles. Retrieved from www.ipc.on.ca: https://iab.org/wp-content/IAB-uploads/2011/03/fred_carter.pdf

EXIN Privacy & Data – Leo Besemer. (2018). Protection Foundation. Retrieved from EXIN Privacy & Data: https://embed.exin.totalservices.io/exin/download/exin_exam_module/2072/dam_download/1?language=pt-br

GRUPO DE TRABALHO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS. (2017, Abril 04). www.cnpd.pt. Retrieved from Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679: https://www.cnpd.pt/bin/rgpd/docs/wp248rev.01_pt.pdf

Parlamento Europeu. (2016, Abril 27). REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO. Retrieved from cncs.gov.pt: https://www.cncs.gov.pt/content/files/regulamento_ue_2016-679_-_protecao_de_dados.pdf

Yuri Ladeia

Mais artigos deste autor »

Yuri Ladeia é Advogado, atua/estuda os temas de Proteção de Dados, Direito Tributário e Direito do Consumidor. É presidente da comissão de Direito Tributário e Proteção de Dados da OAB 197 ª subseção da OAB/MG, Membro de Núcleo de Estudos Tributários da PUC Minas e possui canal no YouTube chamado Entender Direito, no qual trata sobre os temas de sua atuação acadêmica/profissional.

CONTEÚDOS RELACIONADOS

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!