Machine Translated by Google

ARTIGO 29 GRUPO DE TRABALHO DE PROTEÇÃO DE DADOS

17/PT

WP 248 rev.01

Diretrizes sobre Avaliação de Impacto na Proteção de Dados (DPIA) e determinar se o processamento

“provavelmente resultará em alto risco” para os fins do Regulamento 2016/679

Adotado em 4 de abril de 2017

Conforme revisto e adotado pela última vez em 4 de outubro de 2017

Este Grupo de Trabalho foi instituído ao abrigo do artigo 29.º da Directiva 95/46/CE. É um órgão consultivo europeu independente sobre proteção de dados
e privacidade. As suas atribuições estão descritas no artigo 30.º da Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE.

O secretariado é assegurado pela Direcção C (Direitos Fundamentais e Cidadania da União) da Comissão Europeia, Direcção-Geral da Justiça, B-1049
Bruxelas, Bélgica, Gabinete n.º MO-59 03/075.

Site: http://ec.europa.eu/justice/data-protection/index_en.htm
Machine Translated by Google

O GRUPO DE TRABALHO SOBRE A PROTEÇÃO DOS INDIVÍDUOS EM RELAÇÃO AO

PROCESSAMENTO DE DADOS PESSOAIS

instituída pela Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995,

Tendo em conta os artigos 29.º e 30.º,

Tendo em conta o seu Regimento,

ADOPTOU AS PRESENTES DIRETRIZES:

2
Machine Translated by Google

Índice

EU. INTRODUÇÃO................................................. .................................................. ....................................... 4

II. ÂMBITO DAS DIRETRIZES ............................................. .................................................. ....................... 4

III. DPIA: O REGULAMENTO EXPLICADO ............................................. .................................................. ......... 6

UMA. O QUE O DPIA ENDEREÇA ? UMA ÚNICA OPERAÇÃO DE PROCESSAMENTO OU UM CONJUNTO DE OPERAÇÕES DE PROCESSAMENTO SEMELHANTES........ 7

B. QUAIS OPERAÇÕES DE PROCESSAMENTO ESTÃO SUJEITAS A UM DPIA? ALÉM DAS EXCEÇÕES, ONDE “ SEJAM PROVÁVEIS

RESULTAR EM ALTO RISCO”................................................. .................................................. .............................................. 8

a) Quando o DPIA é obrigatório? Quando o processamento "provavelmente resultar em alto risco". ......................... 8

b) Quando não é necessário um DPIA? Quando o processamento não for "suscetível de resultar em alto risco", ou existir um DPIA

semelhante, ou tiver sido autorizado antes de maio de 2018, ou tiver base legal, ou estiver na lista de operações de processamento para

as quais um DPIA não é necessária ............................................. ......................... 12

C. E AS OPERAÇÕES DE PROCESSAMENTO JÁ EXISTENTES? DPIAS SÃO NECESSÁRIOS EM ALGUMAS CIRCUNSTÂNCIAS. .......... 13

D. COMO REALIZAR UM DPIA? ............................................. .................................................. ....................... 14

a) Em que momento deve ser realizado um DPIA? Antes do processamento. .......................................... 14

b) Quem está obrigado a realizar o DPIA? O controlador, com o DPO e processadores .............................. 14

c) Qual é a metodologia para realizar um DPIA? Metodologias diferentes, mas critérios comuns......... 15

d) Existe a obrigação de publicar o DPIA? Não, mas a publicação de um resumo pode fomentar a confiança, devendo o DPIA completo

ser comunicado à autoridade fiscalizadora em caso de consulta prévia ou se solicitado pelo

DPA.................. .................................................. .................................................. .............................. 18

E. QUANDO SE DEVE CONSULTAR A AUTORIDADE DE FISCALIZAÇÃO? QUANDO OS RISCOS RESIDUAL SÃO ALTOS........................... 18

4. CONCLUSÕES E RECOMENDAÇÕES............................................... ............................................. 19

ANEXO 1 – EXEMPLOS DE QUADROS DE DPIA EXISTENTES DA UE................................................. .................................. 21

ANEXO 2 – CRITÉRIOS PARA UM DPIA ACEITÁVEL........................................... .................................................. 22

3
Machine Translated by Google

EU. Introdução

O Regulamento 2016/6791 (GDPR) será aplicável a partir de 25 de maio de 2018. O artigo 35.º do RGPD introduz o
conceito de Avaliação do Impacto da Proteção de Dados (DPIA2 ), tal como a Diretiva 2016/6803 .

Um DPIA é um processo concebido para descrever o tratamento, avaliar a sua necessidade e proporcionalidade e
ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares resultantes do tratamento de dados
pessoais4 , avaliando-os e determinando as medidas para os resolver. Os DPIAs são ferramentas importantes para
a prestação de contas, pois ajudam os controladores não apenas a cumprir os requisitos do GDPR, mas também a
demonstrar que foram tomadas as medidas apropriadas para garantir o cumprimento do Regulamento (consulte
também o artigo 24)5 . Em outras palavras, um DPIA é um processo para construir e
demonstrar conformidade.

De acordo com o GDPR, o não cumprimento dos requisitos da DPIA pode levar a multas impostas pela autoridade
supervisora competente. Não realizar um DPIA quando o processamento estiver sujeito a um DPIA
(Artigo 35(1) e (3)-(4)), realizar uma DPIA de forma incorreta (Artigo 35(2) e (7) a (9)), ou não consultar a autoridade
supervisora competente quando necessário (artigo 36.º, n.º 3, alínea e)), pode resultar numa coima administrativa
até 10 milhões de euros, ou no caso de uma empresa, até 2 % do volume de negócios anual total mundial do
exercício anterior, consoante o que for mais elevado .

II. Escopo das Diretrizes

1
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção dos
pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e revoga a Diretiva
95/46/CE (Regulamento Geral de Proteção de Dados).
2
O termo “Avaliação de Impacto de Privacidade” (PIA) é frequentemente usado em outros contextos para se referir ao mesmo conceito.
3
Artigo 27.º da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das
pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de
prevenção, investigação, deteção ou persecução de infrações penais ou a execução de sanções penais, e sobre a livre circulação
desses dados, também afirma que é necessária uma avaliação do impacto na privacidade, pois “o tratamento é suscetível de
resultar em alto risco para os direitos e liberdades das pessoas físicas ”.
4
O GDPR não define formalmente o conceito de DPIA como tal, mas seu conteúdo
-
mínimo é especificado pelo Artigo 35(7) da seguinte forma:
o “(a) uma descrição sistemática das operações de tratamento previstas e as finalidades do tratamento, incluindo,
se for caso disso, o interesse legítimo prosseguido pelo responsável pelo tratamento;
o (b) uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação
aos fins;
o (c) uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados referidos no
parágrafo 1; e
o d) As medidas previstas para fazer face aos riscos, incluindo salvaguardas, medidas de segurança e mecanismos
para assegurar a proteção de dados pessoais e demonstrar o cumprimento do presente
Regulamento tendo em conta os direitos e interesses legítimos dos titulares dos dados e outras pessoas
interessadas”;
-
o seu significado e papel são clarificados no considerando 84 da seguinte forma: “A fim de reforçar o cumprimento do
presente regulamento quando as operações de tratamento possam resultar num elevado risco para os direitos e
liberdades das pessoas singulares, o responsável pelo tratamento deverá ser responsável pela de uma avaliação de
impacto na proteção de dados para avaliar, em particular, a origem, natureza, particularidade e gravidade desse risco”.
5
Ver também o considerando 84: “O resultado da avaliação deve ser tido em conta ao determinar as medidas adequadas a
tomar para demonstrar que o tratamento de dados pessoais está em conformidade com o presente regulamento”.

4
Machine Translated by Google

Estas Diretrizes levam em conta:

- Declaração 14/EN WP 2186 do Grupo de Trabalho para a Proteção de Dados (WP29) do artigo 29.º ;
- as Diretrizes WP29 sobre Data Protection Officer 16/EN WP 2437 ;
- o Parecer WP29 sobre a limitação de finalidade 13/EN WP 2038 ;
- normas internacionais9 .

De acordo com a abordagem baseada em risco incorporada pelo GDPR, a realização de um DPIA não é obrigatória para
todas as operações de processamento. A DPIA só é exigida quando o tratamento “pode resultar num risco elevado para
os direitos e liberdades das pessoas singulares” (artigo 35.º, n.º 1). A fim de assegurar uma interpretação coerente das
circunstâncias em que uma DPIA é obrigatória (artigo 35.º, n.º 3), as presentes orientações visam, em primeiro lugar,
clarificar esta noção e fornecer critérios para as listas a adotar pelas Autoridades de Proteção de Dados (APD) ao abrigo
Artigo 35.º, n.º 4.

De acordo com o Artigo 70(1)(e), o Conselho Europeu de Proteção de Dados (EDPB) poderá emitir diretrizes,
recomendações e melhores práticas para incentivar uma aplicação consistente do GDPR. O objetivo deste documento é
antecipar esse trabalho futuro do EDPB e, portanto, esclarecer as disposições relevantes do GDPR para ajudar os
controladores a cumprir a lei e fornecer segurança jurídica aos controladores que são obrigados a realizar um DPIA.

Estas Diretrizes também buscam promover o desenvolvimento de:

- uma lista comum da União Europeia de operações de processamento para as quais um DPIA é obrigatório
(Artigo 35(4));
- uma lista comum da UE de operações de tratamento para as quais não é necessária uma DPIA (artigo 35.º, n.º 5);
- critérios comuns sobre a metodologia para a realização de um DPIA (artigo 35.º, n.º 5);
- critérios comuns para especificar quando a autoridade supervisora deve ser consultada
(Artigo 36(1));
- recomendações, sempre que possível, com base na experiência adquirida nos Estados-Membros da UE.

6
Declaração WP29 14/EN WP 218 sobre o papel de uma abordagem baseada em risco para os quadros jurídicos de proteção de dados
aprovado em 30 de maio de 2014.

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion
recomendação/files/2014/wp218_en.pdf?wb48617274=72C54532
7
WP29 Guidelines on Data Protection Officer 16/PT WP 243 Adotado em 13 de dezembro de 2016.
http://ec.europa.eu/information_society/newsroom/image/document/2016-

51/wp243_en_40855.pdf?wb48617274=CD63BD9A
8
Parecer WP29 03/2013 sobre limitação de finalidade 13/PT WP 203Adotado em 2 de abril de 2013.

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion
recomendação/files/2013/wp203_en.pdf?wb48617274=39E0E409
9
por exemplo, ISO 31000:2009, Gerenciamento de risco — Princípios e diretrizes, Organização Internacional para Padronização (ISO); ISO/IEC
29134 (projeto), Tecnologia da informação – Técnicas de segurança – Avaliação do impacto na privacidade – Diretrizes, International Organization for
Standardization (ISO).

5
Machine Translated by Google

III. DPIA: o Regulamento explicado

O GDPR exige que os controladores implementem medidas apropriadas para garantir e poder demonstrar a
conformidade com o GDPR, levando em consideração, entre outros, “os riscos de probabilidade e gravidade variáveis
para os direitos e liberdades das pessoas físicas” (artigo 24 (1)) . A obrigação dos controladores de realizar uma DPIA
em determinadas circunstâncias deve ser entendida no contexto de sua obrigação geral de gerenciar adequadamente
os riscos10 apresentados pelo processamento de dados pessoais.

Um “risco” é um cenário que descreve um evento e suas consequências, estimados em termos de gravidade e
probabilidade. A “gestão de risco”, por outro lado, pode ser definida como as atividades coordenadas para dirigir e
controlar uma organização em relação ao risco.

O artigo 35.º refere-se a um provável risco elevado “para os direitos e liberdades dos indivíduos”. Conforme indicado
na Declaração do Grupo de Trabalho de Proteção de Dados do artigo 29.º sobre o papel de uma abordagem baseada
no risco nos quadros jurídicos de proteção de dados, a referência a “direitos e liberdades” dos titulares de dados diz
respeito principalmente aos direitos à proteção de dados e à privacidade, mas também pode envolvem outros direitos
fundamentais, como liberdade de expressão, liberdade de pensamento, liberdade de movimento, proibição de
discriminação, direito à liberdade, consciência e religião.

De acordo com a abordagem baseada em risco incorporada pelo GDPR, a realização de um DPIA não é obrigatória
para todas as operações de processamento. Em vez disso, uma DPIA só é exigida quando um tipo de processamento
for “suscetível de resultar em alto risco para os direitos e liberdades das pessoas físicas” (Artigo 35(1)). O simples fato
de as condições que determinam a obrigação de realizar DPIA não terem sido cumpridas não diminui, no entanto, a
obrigação geral dos controladores de implementar medidas para gerenciar adequadamente os riscos para os direitos e
liberdades dos titulares dos dados. Na prática, isto significa que os responsáveis pelo tratamento devem avaliar
continuamente os riscos criados pelas suas atividades de tratamento, a fim de identificar quando um tipo de tratamento
“pode resultar num elevado risco para os direitos e liberdades das pessoas singulares”.

10
Importa salientar que, para gerir os riscos para os direitos e liberdades das pessoas singulares, os riscos devem ser
identificados, analisados, estimados, avaliados, tratados (por exemplo, mitigados...) e revistos regularmente. Os
controladores não podem fugir de sua responsabilidade cobrindo riscos sob apólices de seguro.

6
Machine Translated by Google

A figura a seguir ilustra os princípios básicos relacionados ao DPIA no GDPR:

A. O que um DPIA endereça? Uma única operação de processamento ou um conjunto de

operações de processamento.

Um DPIA pode dizer respeito a uma única operação de processamento de dados. No entanto, o artigo 35.º, n.º 1, afirma que “uma
uma única avaliação pode abordar um conjunto de operações de processamento semelhantes que apresentam altos riscos semelhantes”.
O considerando 92 acrescenta que “há circunstâncias em que pode ser razoável e económico que o objeto de uma avaliação de impacto
na proteção de dados seja mais amplo do que um único projeto, por exemplo, quando as autoridades ou organismos públicos pretendem
estabelecer uma aplicação ou plataforma de tratamento comum ou onde vários controladores planejam introduzir uma aplicação comum
ou ambiente de processamento em um setor ou segmento da indústria ou para uma atividade horizontal amplamente utilizada”.

Um único DPIA pode ser usado para avaliar várias operações de processamento semelhantes em termos de natureza, escopo,
contexto, finalidade e riscos. Com efeito, as DPIA visam estudar sistematicamente novas situações que possam conduzir a elevados riscos
para os direitos e liberdades das pessoas singulares, não havendo necessidade de realizar uma DPIA nos casos (ou seja, operações de
tratamento realizadas num contexto específico e para um fim específico ) já estudados. Esse pode ser o caso em que tecnologia
semelhante é usada para coletar o mesmo tipo de dados para os mesmos propósitos. Por exemplo, um grupo de autoridades municipais
que estão montando um sistema de CFTV semelhante poderia realizar um único DPIA cobrindo o processamento por esses controladores
separados, ou um operador ferroviário (controlador único) poderia cobrir a vigilância por vídeo em todas as suas estações de trem com um
DPIA. Isso também pode ser aplicável a operações de processamento semelhantes implementadas por vários controladores de dados.
Nesses casos, um DPIA de referência deve ser compartilhado ou disponibilizado publicamente, as medidas descritas no DPIA devem ser
implementadas e uma justificativa

para a realização de um único DPIA deve ser fornecido.

Quando a operação de tratamento envolve controladores conjuntos, eles precisam definir com precisão suas respectivas obrigações. Seu
DPIA deve definir qual parte é responsável pelas várias medidas

7
Machine Translated by Google

concebidos para tratar riscos e proteger os direitos e liberdades dos titulares dos dados. Cada controlador de dados deve
expressar suas necessidades e compartilhar informações úteis sem comprometer segredos (por exemplo: proteção de
segredos comerciais, propriedade intelectual, informações comerciais confidenciais) ou divulgar
vulnerabilidades.

Um DPIA também pode ser útil para avaliar o impacto de proteção de dados de um produto de tecnologia, por
exemplo, um hardware ou software, onde é provável que seja usado por diferentes controladores de dados para realizar
diferentes operações de processamento. Obviamente, o controlador de dados que implanta o produto continua obrigado
a realizar seu próprio DPIA em relação à implementação específica, mas isso pode ser informado por um DPIA preparado
pelo fornecedor do produto, se apropriado. Um exemplo poderia ser o relacionamento entre fabricantes de medidores
inteligentes e empresas de serviços públicos. Cada fornecedor de produto ou processador deve compartilhar informações
úteis sem comprometer segredos nem levar a riscos de segurança ao divulgar vulnerabilidades.

B. Quais operações de processamento estão sujeitas a um DPIA? Salvo exceções, onde são “prováveis
de resultar em alto risco”.

Esta seção descreve quando um DPIA é obrigatório e quando não é necessário realizar um DPIA.

A menos que a operação de processamento satisfaça uma exceção (III.Ba), uma DPIA deve ser realizada quando
uma operação de processamento for “suscetível de resultar em alto risco” (III.Bb).

a) Quando o DPIA é obrigatório? Quando o processamento "provavelmente resultar em alto risco".

O GDPR não exige a realização de um DPIA para cada operação de processamento que possa resultar em riscos para
os direitos e liberdades das pessoas físicas. A realização de um DPIA só é obrigatória quando o processamento “possível
resultar em alto risco para os direitos e liberdades das pessoas físicas”
(artigo 35.º, n.º 1, ilustrado pelo artigo 35.º, n.º 3, e complementado pelo artigo 35.º, n.º 4). É particularmente relevante
quando uma nova tecnologia de processamento de dados está sendo introduzida11 .

Nos casos em que não está claro se um DPIA é necessário, o WP29 recomenda que um DPIA seja realizado, pois um
DPIA é uma ferramenta útil para ajudar os controladores a cumprir a lei de proteção de dados.

Embora um DPIA possa ser exigido em outras circunstâncias, o Artigo 35(3) fornece alguns exemplos quando uma
operação de processamento “provavelmente resultará em altos riscos”:
- “(a) uma avaliação sistemática e abrangente dos aspectos pessoais relativos às pessoas singulares que se baseie
no tratamento automatizado, incluindo a definição de perfis, e em que se baseiem decisões que produzam
efeitos jurídicos sobre a pessoa singular ou que afetem significativamente de forma semelhante12 ;

-
(b) Tratamento em grande escala de categorias especiais de dados referidas no artigo 9.º, n.º 1, ou de dados
pessoais relativos a condenações penais e infrações referidas no artigo 1013.º ; ou
-
(c) um monitoramento sistemático de uma área de acesso público em grande escala”.

11
Ver os considerandos 89, 91 e o artigo 35.º, n.ºs 1 e 3, para mais exemplos.
12
Ver considerando 71: “em especial analisar ou prever aspetos relativos ao desempenho no trabalho, situação económica,
saúde, preferências ou interesses pessoais, fiabilidade ou comportamento, localização ou deslocações, a fim de criar ou utilizar
perfis pessoais”.
13
Ver considerando 75: “no caso de tratamento de dados pessoais que revelem a origem racial ou étnica, opiniões políticas,
religião ou convicções filosóficas, filiação sindical e o tratamento de dados genéticos, dados relativos à saúde ou dados relativos à
vida sexual ou condenações penais e delitos ou medidas de segurança relacionadas”.

8
Machine Translated by Google

Como indicam as palavras “em particular” na frase introdutória do artigo 35.º, n.º 3, do RGPD, trata-se de uma lista não
exaustiva. Pode haver operações de processamento de “alto risco” que não são capturadas por esta lista, mas ainda
apresentam riscos igualmente altos. Essas operações de processamento também devem estar sujeitas a DPIAs. Por esse
motivo, os critérios desenvolvidos abaixo às vezes vão além de uma simples explicação do que deve ser entendido pelos
três exemplos fornecidos no Artigo 35(3) GDPR.

A fim de fornecer um conjunto mais concreto de operações de tratamento que requerem um DPIA devido ao seu alto risco
inerente, tendo em conta os elementos específicos do artigo 35.º, n.º 1 e do artigo 35.º, n.º 3, alíneas a) a c), a lista a ser
adotado em nível nacional nos termos do artigo 35(4) e considerandos 71, 75 e 91, e outras referências do GDPR para
operações de processamento “prováveis de resultar em alto risco” 14, os nove critérios a seguir devem ser considerados.

1. Avaliação ou pontuação, incluindo definição de perfis e previsão, especialmente de “aspectos relativos ao

desempenho do titular dos dados no trabalho, situação económica, saúde, preferências ou interesses pessoais,
fiabilidade ou comportamento, localização ou movimentos” (considerandos 71 e 91). Exemplos disso podem
incluir uma instituição financeira que analisa seus clientes com base em um banco de dados de referência de
crédito ou contra um banco de dados de combate à lavagem de dinheiro e financiamento ao terrorismo (AML/
CTF) ou fraude, ou uma empresa de biotecnologia que oferece testes genéticos diretamente aos consumidores
para para avaliar e prever os riscos de doença/saúde, ou uma empresa construindo perfis comportamentais ou
de marketing com base no uso ou navegação em seu site.
2. Tomada de decisão automatizada com efeito jurídico significativo ou similar: tratamento que visa tomar decisões
sobre titulares de dados que produzam “efeitos jurídicos sobre a pessoa singular” ou que “afete significativamente
a pessoa singular de forma semelhante” (artigo 35.º, n.º 3, alínea a) ). Por exemplo, o processamento pode levar
à exclusão ou discriminação de indivíduos. O processamento com pouco ou nenhum efeito sobre os indivíduos
não corresponde a esse critério específico. Mais explicações sobre essas noções serão fornecidas nas próximas
diretrizes do WP29 sobre criação de perfis.
3. Monitoramento sistemático: processamento usado para observar, monitorar ou controlar os titulares dos dados,
incluindo dados coletados por meio de redes ou “um monitoramento sistemático de uma área acessível ao público”
(Artigo 35.º, n.º 3, alínea c))15 . Esse tipo de monitoramento é um critério porque os dados pessoais podem ser
coletados em circunstâncias em que os titulares dos dados podem não estar cientes de quem está coletando
seus dados e como eles serão usados. Além disso, pode ser impossível que os indivíduos evitem estar sujeitos
a tal processamento em espaços públicos (ou publicamente acessíveis).
4. Dados sensíveis ou dados de natureza altamente pessoal: isso inclui categorias especiais de dados pessoais,
conforme definido no artigo 9 (por exemplo, informações sobre opiniões políticas de indivíduos), bem como
dados pessoais relacionados a condenações ou infrações penais, conforme definido no artigo 10. Um exemplo
seria um hospital geral que mantém os registros médicos dos pacientes ou um investigador particular que
mantém os detalhes dos infratores. Além dessas disposições do GDPR, algumas categorias de dados podem
ser consideradas como aumentando o possível risco aos direitos e liberdades

14
Ver, por exemplo, considerandos 75, 76, 92, 116.
15
O WP29 interpreta “sistemático” como significando um ou mais dos seguintes (consulte as Diretrizes do WP29 sobre Dados
Protection Officer 16/PT WP 243): ocorrendo
-
de acordo com um sistema;
- pré-arranjado, organizado ou metódico;
- ocorrendo como parte de um plano geral de coleta de dados;
-
realizado como parte de uma estratégia.
O WP29 interpreta “área de acesso público” como qualquer lugar aberto a qualquer membro do público, por exemplo, uma praça, um shopping
center, uma rua, um mercado, uma estação de trem ou uma biblioteca pública.

9
Machine Translated by Google

de indivíduos. Esses dados pessoais são considerados sensíveis (como este termo é comumente entendido) porque estão
vinculados a atividades domésticas e privadas (como comunicações eletrônicas cuja confidencialidade deve ser protegida),
ou porque impactam o exercício de um direito fundamental (como localização dados cuja recolha põe em causa a liberdade
de circulação) ou porque a sua violação envolve claramente impactos graves na vida quotidiana do titular dos dados (como
dados financeiros que possam ser utilizados para fraude de pagamento). A este respeito, pode ser relevante se os dados
já foram disponibilizados publicamente pelo titular dos dados ou por terceiros. O fato de os dados pessoais estarem
disponíveis ao público pode ser considerado um fator na avaliação se os dados deveriam ser usados para determinados
fins. Este critério também pode incluir dados como documentos pessoais, e-mails, diários, notas de e-readers equipados
com recursos de anotações e informações muito pessoais contidas em aplicativos de registro de vida.

5. Dados processados em grande escala: o GDPR não define o que constitui grande escala, embora o considerando 91 forneça
algumas orientações. De qualquer forma, o WP29 recomenda que os seguintes fatores, em particular, sejam considerados
ao determinar se o processamento é realizado em grande escala16:

uma. o número de titulares de dados em causa, quer em número específico, quer em proporção da população
relevante;
b. o volume de dados e/ou o intervalo de diferentes itens de dados sendo processados;
c. a duração ou permanência da atividade de processamento de dados;
d. a extensão geográfica da atividade de processamento.
6. Correspondência ou combinação de conjuntos de dados, por exemplo, originários de dois ou mais processamentos de dados
operações realizadas para diferentes finalidades e/ou por diferentes controladores de dados de uma forma que exceda as
expectativas razoáveis do titular dos dados17 .
7. Dados relativos a titulares de dados vulneráveis (considerando 75): o tratamento deste tipo de dados é um critério devido ao
aumento do desequilíbrio de poder entre os titulares dos dados e o responsável pelo tratamento, o que significa que os
indivíduos podem não conseguir consentir ou opor-se facilmente , o tratamento dos seus dados, ou exercer os seus
direitos. Os titulares de dados vulneráveis podem incluir crianças (podem ser considerados como incapazes de se opor ou
consentir, consciente e conscientemente, no tratamento dos seus dados), funcionários, segmentos mais vulneráveis da
população que necessitam de proteção especial (pessoas
pacientes,
mentalmente
etc.), e emdoentes,
qualquerrequerentes
caso em quedepossa
asilo ou
seroidentificado
idosos, um
desequilíbrio na relação entre a posição do titular dos dados e do responsável pelo tratamento.

8. Uso inovador ou aplicação de novas soluções tecnológicas ou organizacionais, como combinar o uso de impressão digital e
reconhecimento facial para melhorar o controle de acesso físico, etc. O GDPR deixa claro (Artigo 35(1) e considerandos
89 e 91) que o uso de uma nova tecnologia, definida “de acordo com o estado de conhecimento tecnológico
alcançado” (considerando 91), pode desencadear a necessidade de realizar um DPIA. Isso porque o uso de tal tecnologia
pode envolver novas formas de coleta e uso de dados, possivelmente com alto risco aos direitos e liberdades dos
indivíduos. De fato, as consequências pessoais e sociais da implantação de uma nova tecnologia podem ser desconhecidas.
Um DPIA ajudará o controlador de dados a entender e tratar esses riscos. Por exemplo, certos aplicativos de “Internet das
Coisas” podem ter um impacto significativo na vida diária e na privacidade dos indivíduos; e, portanto, exigem um DPIA.

16
Consulte as Diretrizes WP29 sobre Data Protection Officer 16/EN WP 243.
17
Consulte a explicação no WP29 Parecer sobre a limitação de finalidade 13/EN WP 203, p.24.

10
Machine Translated by Google

9. Quando o tratamento por si só “impedir que os titulares dos dados exerçam um direito ou utilizem um serviço ou um contrato” (artigo

22.º e considerando 91). Isso inclui operações de processamento que visam permitir, modificar ou recusar o acesso dos titulares

de dados a um serviço ou a celebração de um contrato. Um exemplo disso é quando um banco examina seus clientes em um

banco de dados de referência de crédito para decidir se deve oferecer um empréstimo a eles.

Na maioria dos casos, um controlador de dados pode considerar que um processamento que atenda a dois critérios exigiria a realização de

um DPIA. Em geral, o WP29 considera que quanto mais critérios forem atendidos pelo processamento, maior será a probabilidade de

apresentar um alto risco para os direitos e liberdades dos titulares de dados e, portanto, exigir um DPIA, independentemente das medidas

que o controlador preveja adotar.

No entanto, em alguns casos, um controlador de dados pode considerar que um processamento que atenda apenas a um desses

critérios requer um DPIA.

Os exemplos a seguir ilustram como os critérios devem ser usados para avaliar se uma determinada operação de processamento requer um

DPIA:

DPIA

Exemplos de processamento Possíveis critérios relevantes provável que

seja necessário?

- Dados sensíveis ou dados de caráter altamente pessoal

Um hospital que processa os dados genéticos e de saúde de natureza.

seus pacientes (sistema de informação hospitalar). - Dados relativos a titulares de dados vulneráveis.

- Dados processados em grande escala.

O uso de um sistema de câmeras para monitorar o

- Acompanhamento sistemático.
comportamento de condução em rodovias. O controlador prevê usar
- Uso inovador ou aplicação de soluções tecnológicas ou
um sistema de análise de vídeo inteligente para destacar os carros e
organizacionais.
reconhecer automaticamente as placas.

Uma empresa monitorando sistematicamente seus

- Acompanhamento sistemático.
atividades dos funcionários, incluindo o monitoramento da estação
- Dados relativos a titulares de dados vulneráveis.
de trabalho dos funcionários, atividade na internet, etc.

- Avaliação ou pontuação.

- Dados processados em grande escala.

A coleta de dados públicos de mídia social para
- Correspondência ou combinação de conjuntos de dados. Sim
gerando perfis.
- Dados sensíveis ou dados de caráter altamente pessoal
natureza:

- Avaliação ou pontuação.

- Tomada de decisão automatizada com efeito significativo legal

ou similar.
Uma instituição que cria um banco de dados de classificação de crédito
- Impede que o titular dos dados exerça um direito ou utilize um
ou fraude em nível nacional.
serviço ou um contrato.

- Dados sensíveis ou dados de caráter altamente pessoal

natureza:

- Dados sensíveis.
Armazenamento para fins de arquivamento de pseudonimizados
- Dados relativos a titulares de dados vulneráveis.
dados pessoais sensíveis relativos a sujeitos de dados vulneráveis
- Impede que os titulares dos dados exerçam um direito ou
de projetos de pesquisa ou ensaios clínicos
utilizem um serviço ou um contrato.

11
Machine Translated by Google

DPIA

Exemplos de processamento Possíveis critérios relevantes provável que

seja necessário?

Um processamento de “dados pessoais de pacientes ou clientes - Dados sensíveis ou dados de caráter altamente pessoal

por um médico individual, outro profissional de saúde ou natureza.

advogado” (considerando 91). - Dados relativos a titulares de dados vulneráveis.

Uma revista online que usa uma lista de discussão para enviar um
- Dados processados em grande escala. Não
resumo diário genérico para seus assinantes.

Um site de comércio eletrônico que exibe anúncios de peças de

carros antigos envolvendo perfis limitados com base em itens - Avaliação ou pontuação.

visualizados ou comprados em seu próprio site.

Por outro lado, uma operação de tratamento pode corresponder aos casos acima mencionados e ainda ser considerada pelo

responsável pelo tratamento como não “suscetível de resultar em alto risco”. Nesses casos, o responsável pelo tratamento deve

justificar e documentar as razões para não realizar uma DPIA e incluir/registar as opiniões do responsável pela proteção de dados.

Além disso, como parte do princípio de responsabilidade, todo controlador de dados “deverá manter um registro das atividades de

processamento sob sua responsabilidade” , incluindo, entre outros, os propósitos do processamento, uma descrição das categorias de dados

e destinatários dos dados e “sempre que possível, uma descrição geral das medidas de segurança técnicas e organizacionais referidas no

artigo 32.º, n.º 1” (artigo 30.º, n.º 1) e devem avaliar se é provável um risco elevado, mesmo que, em última análise, decidam não realizar uma

DPIA.

Nota: as autoridades de supervisão são obrigadas a estabelecer, tornar pública e comunicar uma lista das operações de tratamento que

requerem um DPIA ao Conselho Europeu de Proteção de Dados (EDPB) (artigo . Os critérios estabelecidos acima podem ajudar as
18
35(4)) autoridades de supervisão a constituir tal lista, com mais

conteúdo específico adicionado a tempo, se apropriado. Por exemplo, o tratamento de qualquer tipo de dados biométricos ou de crianças

também pode ser considerado relevante para o desenvolvimento de uma lista nos termos do artigo 35.º, n.º 4.

b) Quando não é necessário um DPIA? Quando o processamento não for "suscetível de resultar em alto risco", ou existir
um DPIA semelhante, ou tiver sido autorizado antes de maio de 2018, ou tiver base legal, ou estiver na lista de
operações de processamento para as quais um DPIA não é necessária.

O WP29 considera que um DPIA não é necessário nos seguintes casos:

- quando o processamento não for "suscetível de resultar em alto risco para os direitos e liberdades de
pessoas singulares" (artigo 35.º, n.º 1);

- quando a natureza, escopo, contexto e finalidades do processamento forem muito semelhantes ao processamento para o
qual o DPIA foi realizado. Nesses casos, os resultados da DPIA para processamento semelhante podem ser usados (Artigo

35(1)19);

18
Nesse contexto, “a autoridade de controlo competente deve aplicar o mecanismo de coerência a que se refere o artigo 63.º sempre que essas
listas envolvam atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados ou com a monitorização do seu
comportamento em vários Estados-Membros, ou possa afetar substancialmente a livre circulação de dados pessoais na União” (artigo 35.º, n.º 6).

19
”Uma única avaliação pode abordar um conjunto de operações de processamento semelhantes que apresentam altos riscos semelhantes”.

12
Machine Translated by Google

- quando as operações de tratamento tiverem sido verificadas por uma autoridade de controlo antes de maio de
2018 em condições específicas que não sofreram alterações20 (ver III.C);
- quando uma operação de tratamento, nos termos das alíneas c) ou e) do artigo 6.º, n.º 1, tiver uma base
jurídica na legislação da UE ou de um Estado-Membro, quando a lei regular a operação de tratamento
específica e quando uma DPIA já tiver sido transportada como parte do estabelecimento dessa base
jurídica (artigo 35.º, n.º 10)21, exceto se um Estado-Membro tiver declarado que é necessário realizar
atividades de tratamento prévio de DPIA;
- quando o tratamento estiver incluído na lista facultativa (estabelecida pela autoridade de controlo) de
operações de tratamento para as quais não é exigida DPIA (artigo 35.º, n.º 5). Essa lista pode conter
atividades de tratamento que cumpram as condições especificadas por esta autoridade, nomeadamente
através de orientações, decisões ou autorizações específicas, regras de conformidade, etc. (por exemplo,
em França, autorizações, isenções, regras simplificadas, pacotes de conformidade…).
Nesses casos, e sujeito a reavaliação pela autoridade de controlo competente, não é exigida uma DPIA, mas
apenas se o tratamento se enquadrar estritamente no âmbito do procedimento pertinente
mencionado na lista e continua a cumprir integralmente todos os requisitos relevantes do RGPD.

C. E as operações de processamento já existentes? DPIAs são necessários em algumas circunstâncias.

O requisito de realização de um DPIA aplica-se a operações de tratamento existentes suscetíveis de resultarem

num elevado risco para os direitos e liberdades das pessoas singulares e para as quais tenha havido alteração
dos riscos, tendo em conta a natureza, âmbito, contexto e finalidades do processamento.

Não é necessária uma DPIA para as operações de tratamento que tenham sido verificadas por uma autoridade de
controlo ou pelo responsável pela proteção de dados, em conformidade com o artigo 20.º da Diretiva 95/46/CE, e que
sejam efetuadas de forma inalterada desde a verificação prévia . Com efeito, "as decisões da Comissão adoptadas e
as autorizações das autoridades de controlo com base na Directiva 95/46/ CE mantêm-se em vigor até serem alteradas,
substituídas ou revogadas" (considerando 171).

Por outro lado, isso significa que qualquer processamento de dados cujas condições de implementação (âmbito,
finalidade, dados pessoais coletados, identidade dos controladores ou destinatários de dados, período de retenção de
dados, medidas técnicas e organizacionais, etc.) autoridade supervisora ou o oficial de proteção de dados e que
possam resultar em alto risco devem estar sujeitos a um DPIA.

Além disso, uma DPIA pode ser exigida após uma alteração dos riscos resultantes das operações de tratamento22 ,
por exemplo, porque uma nova tecnologia entrou em uso ou porque os dados pessoais são

20
"Decisões da Comissão adotadas e autorizações pelas autoridades de supervisão com base na Diretiva 95/46/ CE
permanecem em vigor até serem alteradas, substituídas ou revogadas" (considerando 171).
21
Quando um DPIA é realizado na fase de elaboração da legislação que fornece uma base legal para um processamento, é provável que exija uma
revisão antes da entrada em operação, pois a legislação adotada pode diferir da proposta em aspectos que afetam a privacidade e questões de proteção
de dados. Além disso, pode não haver detalhes técnicos suficientes disponíveis sobre o processamento real no momento da adoção da legislação, mesmo
que acompanhado de um DPIA. Nesses casos, ainda pode ser necessário realizar um DPIA específico antes de realizar as atividades de processamento
propriamente ditas.

22
Em termos de contexto, os dados coletados, finalidades, funcionalidades, dados pessoais processados, destinatários, combinações de dados, riscos
(ativos de suporte, fontes de risco, impactos potenciais, ameaças, etc.), medidas de segurança e transferências internacionais.

13
Machine Translated by Google

sendo usado para uma finalidade diferente. As operações de processamento de dados podem evoluir rapidamente
e novas vulnerabilidades podem surgir. Portanto, deve-se notar que a revisão de um DPIA não é apenas útil para a
melhoria contínua, mas também fundamental para manter o nível de proteção de dados em um ambiente em
mudança ao longo do tempo. Um DPIA também pode se tornar necessário porque o contexto organizacional ou
social para a atividade de processamento mudou, por exemplo, porque os efeitos de certas decisões automatizadas
se tornaram mais significativos ou novas categorias de titulares de dados se tornaram vulneráveis à discriminação.
Cada um desses exemplos pode ser um elemento que leva a uma alteração do risco resultante da atividade de
processamento em questão.

Por outro lado, certas mudanças também podem diminuir o risco. Por exemplo, uma operação de processamento
pode evoluir para que as decisões não sejam mais automatizadas ou se uma atividade de monitoramento não for
mais sistemática. Nesse caso, a revisão da análise de risco feita pode mostrar que a realização de um DPIA não é
mais necessária.

Por uma questão de boa prática, um DPIA deve ser continuamente revisado e reavaliado regularmente.
Portanto, mesmo que um DPIA não seja exigido em 25 de maio de 2018, será necessário, no momento apropriado,
que o controlador conduza tal DPIA como parte de suas obrigações gerais de responsabilidade.

D. Como realizar um DPIA?

a) Em que momento deve ser realizado um DPIA? Antes do processamento.

A DPIA deve ser realizada “antes do tratamento” (artigos 35.º, n.º 1 e 35.º, n.º 10, considerandos 90 e 93)23.
Isto é consistente com os princípios de proteção de dados desde a conceção e por defeito (artigo 25.º
e considerando 78). O DPIA deve ser visto como uma ferramenta de auxílio à tomada de decisão sobre o
processamento.

O DPIA deve ser iniciado o mais cedo possível no projeto da operação de processamento, mesmo que algumas das
operações de processamento ainda sejam desconhecidas. A atualização do DPIA ao longo do projeto de ciclo de
vida garantirá que a proteção de dados e a privacidade sejam consideradas e incentivará a criação de soluções que
promovam a conformidade. Também pode ser necessário repetir etapas individuais da avaliação à medida que o
processo de desenvolvimento avança porque a seleção de certas medidas técnicas ou organizacionais pode afetar
a gravidade ou a probabilidade dos riscos apresentados pelo processamento.

O fato de que o DPIA pode precisar ser atualizado uma vez que o processamento tenha realmente iniciado não é
um motivo válido para adiar ou não realizar um DPIA. O DPIA é um processo contínuo, especialmente quando uma
operação de processamento é dinâmica e sujeita a mudanças contínuas. A realização de um DPIA é um processo
contínuo, não um exercício único.

b) Quem está obrigado a realizar o DPIA? O controlador, com o DPO e processadores.

O responsável pelo tratamento é responsável por garantir que o DPIA seja realizado (artigo 35.º, n.º 2). A
execução do DPIA pode ser feita por outra pessoa, dentro ou fora da organização, mas o controlador permanece
responsável por essa tarefa.

23
Excepto quando se trate de um tratamento já existente que tenha sido previamente verificado pela Autoridade de Supervisão, em
caso em que o DPIA deve ser realizado antes de sofrer alterações significativas.

14
Machine Translated by Google

O responsável pelo tratamento também deve consultar o Responsável pela Proteção de Dados (DPO), quando designado
(artigo 35.º, n.º 2) e esse aconselhamento e as decisões tomadas pelo responsável pelo tratamento devem ser documentados no
DPIA. O DPO também deve monitorar o desempenho do DPIA (Artigo 39(1)(c)). Mais orientações são fornecidas nas Diretrizes
WP29 sobre Data Protection Officer 16/EN WP 243.

Se o processamento for total ou parcialmente realizado por um processador de dados, o processador deve auxiliar o controlador
na execução do DPIA e fornecer todas as informações necessárias (em conformidade com o Artigo 28(3)(f)).

O responsável pelo tratamento deve “obter os pontos de vista dos titulares dos dados ou dos seus representantes” (artigo
35.º, n.º 9), “quando apropriado”. O WP29 considera que:
- esses pontos de vista podem ser procurados através de uma variedade de meios, dependendo do contexto (por exemplo, um
estudo genérico relacionado com a finalidade e os meios da operação de tratamento, uma pergunta aos representantes
do pessoal, ou inquéritos habituais enviados aos futuros clientes do responsável pelo tratamento) garantindo que o
responsável pelo tratamento tem uma base legal para o tratamento de quaisquer dados pessoais envolvidos na procura
de tais opiniões. Embora se deva notar que o consentimento para o tratamento não é obviamente uma forma de obter os
pontos de vista dos titulares dos dados;
-
se a decisão final do controlador de dados for diferente das opiniões dos titulares dos dados, suas razões para prosseguir
ou não devem ser documentadas;
- o responsável pelo tratamento deve também documentar a sua justificação para não solicitar os pontos de vista dos titulares
dos dados, se decidir que tal não é adequado, por exemplo, se isso comprometer a confidencialidade dos planos de
negócios das empresas, ou se for desproporcionado ou impraticável.

Finalmente, é uma boa prática definir e documentar outras funções e responsabilidades específicas, dependendo da política interna,
processos e regras, por exemplo:
- onde unidades de negócios específicas podem propor a realização de um DPIA, essas unidades devem fornecer informações
ao DPIA e devem estar envolvidas no processo de validação do DPIA;
- se for caso disso, recomenda-se a consulta de peritos independentes de diferentes profissões24 (advogados, peritos
informáticos, peritos em segurança, sociólogos, éticos, etc.).
- as funções e responsabilidades dos subcontratantes devem ser contratualmente definidas; e o DPIA deve ser realizado com
a ajuda do processador, levando em consideração a natureza do processamento e as informações disponíveis para o
processador (Artigo 28(3)(f));
- o Chief Information Security Officer (CISO), se nomeado, bem como o DPO, podem sugerir que o controlador realize um
DPIA em uma operação de processamento específica, e deve ajudar as partes interessadas na metodologia, ajudar a
avaliar a qualidade do avaliação de risco
e se o risco residual é aceitável, e desenvolver conhecimentos específicos para o contexto do controlador de dados;

- o Chief Information Security Officer (CISO), se nomeado, e/ou o departamento de TI, deve prestar assistência ao controlador,
podendo propor a realização de um DPIA em uma operação de processamento específica, dependendo das necessidades
de segurança ou operacionais.

c) Qual é a metodologia para realizar um DPIA? Metodologias diferentes, mas comuns

critério.

24
Recomendações para uma estrutura de avaliação de impacto de privacidade para a União Europeia, Entregável D3:
http://www.piafproject.eu/ref/PIAF_D3_final.pdf.

15
Machine Translated by Google

O GDPR estabelece as características mínimas de um DPIA (Artigo 35(7) e considerandos 84 e 90):

- “uma descrição das operações de tratamento previstas e as finalidades do tratamento”;
- “uma avaliação da necessidade e proporcionalidade do tratamento”;
- “uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados”;
- “as medidas previstas para:
o “lidar com os riscos”;
o “demonstrar o cumprimento do presente regulamento”.

A figura a seguir ilustra o processo iterativo genérico para realizar um DPIA25:

O cumprimento de um código de conduta (artigo 40.º) deve ser tido em conta (artigo 35.º, n.º 8) ao avaliar o
impacto de uma operação de tratamento de dados. Isso pode ser útil para demonstrar que as medidas
adequadas foram escolhidas ou implementadas, desde que o código de conduta seja adequado à operação de
processamento. Certificações, selos e marcas com o objetivo de demonstrar a conformidade com o GDPR de
operações de processamento por controladores e processadores (artigo 42), bem como as Regras Corporativas
Vinculativas (BCR), também devem ser levadas em consideração.

25
Deve-se sublinhar que o processo descrito aqui é iterativo: na prática, é provável que cada uma das etapas seja
revisitada várias vezes antes que o DPIA possa ser concluído.

16
Machine Translated by Google

Todos os requisitos relevantes estabelecidos no GDPR fornecem uma estrutura ampla e genérica para projetar e executar um
DPIA. A implementação prática de um DPIA dependerá dos requisitos estabelecidos no GDPR, que podem ser complementados
com orientações práticas mais detalhadas. A implementação do DPIA é, portanto, escalável. Isso significa que mesmo um
pequeno controlador de dados pode projetar e implementar um DPIA adequado para suas operações de processamento.

O considerando 90 do GDPR descreve vários componentes do DPIA que se sobrepõem a componentes bem definidos de
gerenciamento de risco (por exemplo, ISO 3100026). Em termos de gestão de risco, um DPIA visa “gerir riscos” para os direitos
e liberdades das pessoas singulares, utilizando os seguintes processos, através de:
- estabelecer o contexto: “tendo em conta a natureza, âmbito, contexto e finalidades do tratamento e as fontes do risco”;

- avaliar os riscos: “avaliar a probabilidade e gravidade particulares do alto risco”;

- tratar os riscos: “mitigando esse risco” e “garantindo a proteção dos dados pessoais”, e
“demonstrando o cumprimento do presente regulamento”.

Nota: a DPIA ao abrigo do RGPD é uma ferramenta de gestão de riscos para os direitos dos titulares dos dados e, portanto,
assume a sua perspetiva, como é o caso em determinados domínios (por exemplo, segurança social). Por outro lado, a gestão de
risco em outros campos (por exemplo, segurança da informação) é focada na organização.

O GDPR fornece aos controladores de dados flexibilidade para determinar a estrutura e a forma precisas do DPIA para permitir
que isso se ajuste às práticas de trabalho existentes. Existem vários processos estabelecidos na UE e em todo o mundo que têm
em conta os componentes descritos no considerando 90. No entanto, qualquer que seja a sua forma, um DPIA deve ser uma
avaliação genuína dos riscos, permitindo aos responsáveis pelo tratamento tomar medidas para os resolver.

Diferentes metodologias (consulte o Anexo 1 para exemplos de proteção de dados e metodologias de avaliação de impacto na
privacidade) podem ser usadas para auxiliar na implementação dos requisitos básicos estabelecidos no GDPR. A fim de permitir
a existência destas diferentes abordagens, permitindo ao mesmo tempo que os controladores cumpram
com o GDPR, critérios comuns foram identificados (ver Anexo 2). Esclarecem os requisitos básicos do regulamento, mas dão
margem suficiente para diferentes formas de implementação.
Esses critérios podem ser usados para mostrar que uma determinada metodologia DPIA atende aos padrões exigidos pelo GDPR.
Cabe ao controlador de dados escolher uma metodologia, mas essa metodologia deve estar em conformidade com os
critérios previstos no Anexo 2.

O WP29 incentiva o desenvolvimento de estruturas de DPIA específicas do setor. Isso ocorre porque eles podem se basear em
conhecimento setorial específico, o que significa que o DPIA pode abordar as especificidades de um tipo específico de operação
de processamento (por exemplo: tipos específicos de dados, ativos corporativos, impactos potenciais, ameaças, medidas). Isso
significa que o DPIA pode abordar os problemas que surgem em um determinado setor econômico, ou ao usar tecnologias
específicas ou realizar tipos específicos de operação de processamento.

Por último, sempre que necessário, “o responsável pelo tratamento deve proceder a uma revisão para avaliar se o tratamento é
efetuado em conformidade com a avaliação do impacto na proteção de dados, pelo menos quando se verifique uma alteração do
risco representado pela operação de tratamento” (artigo 35.º, n.º 11, 27) .

26
Processos de gestão de risco: comunicação e consulta, estabelecendo o contexto, avaliação de risco, tratamento de risco,
monitoramento e revisão (ver termos e definições e índice, na prévia da ISO 31000: https://www.iso.org/obp/ ui/
#iso:std:iso:31000:ed-1:v1:en).
27
O artigo 35.º, n.º 10, exclui explicitamente apenas a aplicação dos n.ºs 1 a 7 do artigo 35.º.

17
Machine Translated by Google

d) Existe a obrigação de publicar o DPIA? Não, mas a publicação de um resumo pode fomentar a
confiança, e o DPIA completo deve ser comunicado à autoridade supervisora em caso de consulta
prévia ou se solicitado pelo DPA.

A publicação de um DPIA não é uma exigência legal do GDPR, é decisão do controlador fazê-lo.
No entanto, os controladores devem considerar a publicação de pelo menos partes, como um resumo ou uma
conclusão de seu DPIA.

O objetivo de tal processo seria ajudar a fomentar a confiança nas operações de processamento do controlador e
demonstrar responsabilidade e transparência. É uma prática particularmente boa publicar um DPIA onde membros do
público são afetados pela operação de processamento. Este poderia ser particularmente o caso quando uma autoridade
pública realiza uma DPIA.

O DPIA publicado não precisa conter a avaliação completa, especialmente quando o DPIA pode apresentar informações
específicas sobre riscos de segurança para o controlador de dados ou revelar segredos comerciais ou informações
comercialmente sensíveis. Nestas circunstâncias, a versão publicada pode consistir apenas em um resumo das
principais conclusões do DPIA, ou mesmo apenas uma declaração de que um DPIA foi realizado
Fora.

Além disso, sempre que um DPIA revele riscos residuais elevados, o responsável pelo tratamento dos dados deverá
consultar previamente a autoridade de controlo para o tratamento (artigo 36.º, n.º 1). Como parte disso, o DPIA deve
ser fornecido integralmente (Artigo 36(3)(e)). A autoridade supervisora pode fornecer seu conselho28 ,
e não comprometerá segredos comerciais nem revelará vulnerabilidades de segurança, sujeito aos princípios aplicáveis
em cada Estado Membro sobre acesso público a documentos oficiais.

E. Quando a autoridade supervisora deve ser consultada? Quando os riscos residuais são altos.

Conforme explicado acima:

- é exigida uma DPIA quando uma operação de tratamento “é suscetível de resultar num elevado risco para os
direitos e liberdades das pessoas singulares” (artigo 35.º, n.º 1, ver III.Ba). Como exemplo, o processamento
de dados de saúde em grande escala é considerado como suscetível de resultar em alto risco e requer um DPIA;
- então, é responsabilidade do controlador de dados avaliar os riscos para os direitos e liberdades dos titulares
dos dados e identificar as medidas29 previstas para reduzir esses riscos a um nível aceitável e demonstrar a
conformidade com o GDPR (Artigo 35(7) , ver III.Cc). Um exemplo poderia ser, para o armazenamento de
dados pessoais em computadores portáteis, a utilização de medidas de segurança técnicas e organizacionais
adequadas (criptografia completa do disco eficaz, gestão robusta de chaves,
controle de acesso apropriado, backups seguros, etc.) além das políticas existentes (aviso, consentimento,
direito de acesso, direito de objeção, etc.).

No exemplo do laptop acima, se os riscos forem considerados suficientemente reduzidos pelo controlador de dados e
após a leitura do artigo 36.º, n.º 1, e considerandos 84 e 94, o processamento pode prosseguir sem consulta à
autoridade supervisora. É nos casos em que os riscos identificados não podem ser suficientemente abordados pelo
responsável pelo tratamento (ou seja, os riscos residuais permanecem elevados) que o responsável pelo tratamento
deve consultar a autoridade de controlo.

28
O aconselhamento por escrito ao responsável pelo tratamento só é necessário quando a autoridade supervisora considerar que o

o tratamento pretendido não está em conformidade com o regulamento previsto no artigo 36.º, n.º 2.
29
Incluindo tendo em conta as orientações existentes da EDPB e das autoridades de supervisão e tendo em conta as

o estado da técnica e os custos de implementação previstos no artigo 35.º, n.º 1.

18
Machine Translated by Google

Um exemplo de um risco residual elevado inaceitável inclui os casos em que os titulares dos dados podem encontrar
consequências significativas, ou mesmo irreversíveis, que não podem ultrapassar (por exemplo: um acesso ilegítimo aos
dados que conduz a uma ameaça à vida dos titulares dos dados, um demissão, um risco financeiro) e/ou quando parece óbvio
que o risco irá ocorrer (por exemplo: por não ser capaz de reduzir o número de pessoas que acessam os dados por causa de
seus modos de compartilhamento, uso ou distribuição, ou quando uma vulnerabilidade bem conhecida não é remendado).

Sempre que o responsável pelo tratamento não consiga encontrar medidas suficientes para reduzir os riscos para um

nível aceitável (ou seja, os riscos residuais ainda são altos), consulta à autoridade supervisora
é necessário30 .

Além disso, o responsável pelo tratamento terá de consultar a autoridade de controlo sempre que a legislação do Estado-
Membro exigir que os responsáveis pelo tratamento consultem e/ou obtenham autorização prévia da autoridade de controlo
em relação ao tratamento por um responsável pelo tratamento para o desempenho de uma tarefa realizada pelo responsável
pelo tratamento no interesse público, incluindo o tratamento relacionado com a proteção social e a saúde pública (artigo 36.º, n.º 5).

No entanto, deve ser declarado que, independentemente de a consulta ao supervisor ser necessária ou não com base no nível
de risco residual, as obrigações de manter um registro do DPIA e atualizar o DPIA oportunamente permanecem.

4. Conclusões e Recomendações

Os DPIAs são uma maneira útil para os controladores de dados implementarem sistemas de processamento de dados que
estejam em conformidade com o GDPR e podem ser obrigatórios para alguns tipos de operações de processamento. Eles são
escaláveis e podem assumir diferentes formas, mas o GDPR define os requisitos básicos de um DPIA eficaz. Os controladores
de dados devem ver a realização de um DPIA como uma atividade útil e positiva que auxilia na conformidade legal.

O artigo 24.º, n.º 1, estabelece a responsabilidade básica do responsável pelo tratamento em termos de cumprimento do
RGPD: “tendo em conta a natureza, âmbito, contexto e finalidades do tratamento, bem como os riscos de probabilidade e
gravidade variáveis para os direitos e liberdades de pessoas singulares, o responsável pelo tratamento deve aplicar as medidas
técnicas e organizativas adequadas para assegurar e poder demonstrar que o tratamento é efetuado em conformidade com o
presente regulamento. Essas medidas devem ser revistas e atualizadas sempre que necessário”.

O DPIA é uma parte fundamental do cumprimento do Regulamento onde o processamento de dados de alto risco está
planejado ou está ocorrendo. Isso significa que os controladores de dados devem usar os critérios estabelecidos neste
documento para determinar se uma DPIA deve ou não ser realizada. A política interna do controlador de dados pode estender
essa lista além dos requisitos legais do GDPR. Isso deve resultar em maior confiança dos titulares de dados e outros
controladores de dados.

Quando estiver previsto um tratamento de alto risco provável, o responsável pelo tratamento deve:

- escolha uma metodologia DPIA (exemplos dados no Anexo 1) que satisfaça os critérios do Anexo 2, ou especifique e
implemente um processo sistemático de DPIA que:

30
Nota: “pseudonimização e encriptação de dados pessoais” (assim como minimização de dados, mecanismos de
fiscalização, etc.) não são necessariamente medidas adequadas. São apenas exemplos. As medidas adequadas
dependem do contexto e dos riscos específicos das operações de tratamento.

19
Machine Translated by Google

o está em conformidade com os critérios do Anexo 2;

o está integrado ao projeto, desenvolvimento, mudança, risco e revisão operacional existentes
processos de acordo com processos internos, contexto e cultura;
o envolve as partes interessadas apropriadas e define claramente suas responsabilidades (controlador, DPO,
titulares de dados ou seus representantes, negócios, serviços técnicos, processadores, responsável pela
segurança da informação, etc.);
- fornecer o relatório DPIA à autoridade supervisora competente quando necessário;
- consultar a autoridade supervisora quando não tiver determinado medidas suficientes para
mitigar os altos riscos;
- revisar periodicamente o DPIA e o processamento por ele avaliado, pelo menos quando houver alteração do risco
do processamento da operação;
- documentar as decisões tomadas.

20
Machine Translated by Google

Anexo 1 - Exemplos de estruturas de DPIA da UE existentes

O GDPR não especifica qual processo DPIA deve ser seguido, mas permite que os controladores de dados introduzam
uma estrutura que complemente suas práticas de trabalho existentes, desde que leve em consideração os componentes
descritos no Artigo 35(7). Essa estrutura pode ser personalizada para o controlador de dados ou comum em um setor
específico. Estruturas publicadas anteriormente desenvolvidas por DPAs da UE e estruturas específicas do setor da UE
incluem (mas não estão limitadas a):

Exemplos de quadros genéricos da UE:

- DE: Modelo Padrão de Proteção de Dados, V.1.0 – Versão de avaliação, 201631 .
https://www.datenschutzzentrum.de/uploads/SDM-Methodology_V1_EN1.pdf
- ES: Guia para uma Avaliação de Impacto na Proteção de Dados Pessoais (EIPD),
Agência Espanhola de Proteção de Dados (AGPD), 2014.
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Gui
a_EIPD.pdf
- EN: Avaliação de Impacto de Privacidade (PIA), Comissão Nacional de Computação e Liberdades
(CNIL), 2015.
https://www.cnil.fr/fr/node/15798
- Reino Unido: Conduzindo o código de prática de avaliações de impacto na privacidade, Information Commissioner's
Escritório (ICO), 2014.
https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf

Exemplos de quadros setoriais da UE:

- Estrutura de avaliação de impacto de privacidade e proteção de dados para aplicativos RFID32 .
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion recomendação/
files/2011/wp180_annex_en.pdf
- Modelo de avaliação de impacto de proteção de dados para sistemas de Smart Grid e Smart Metering33
http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf

Um padrão internacional também fornecerá diretrizes para metodologias usadas para realizar um DPIA (ISO/IEC 2913434).

31
Reconhecido por unanimidade e afirmativamente (sob abstenção da Baviera) pela 92. Conferência da
Autoridades independentes de proteção de dados do Bund e dos Länder em Kuehlungsborn de 9 a 10 de novembro de 2016.
32 Veja também :

- Recomendação da Comissão de 12 de maio de 2009 sobre a implementação da privacidade e proteção de dados

princípios em aplicações suportadas por identificação por radiofrequência.
https://ec.europa.eu/digital-single-market/en/news/commission-recommendation-12-may-2009-
princípios de privacidade de implementação e proteção de dados
- Parecer 9/2011 sobre a proposta revisada da indústria para uma avaliação de impacto de privacidade e proteção de dados
Framework para aplicações RFID.
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion recomendação/
files/2011/wp180_en.pdf
33
Ver também o Parecer 07/2013 sobre o modelo de avaliação do impacto na proteção de dados para redes inteligentes e sistemas
de medição inteligentes («modelo DPIA») elaborado pelo Grupo de peritos 2 do grupo de trabalho para redes inteligentes da Comissão.
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion
recomendação/files/2013/wp209_en.pdf
34
ISO/IEC 29134 (projeto), Tecnologia da informação – Técnicas de segurança – Avaliação de impacto de privacidade –
Diretrizes, Organização Internacional para Padronização (ISO).

21
Machine Translated by Google

Anexo 2 - Critérios para um DPIA aceitável

O WP29 propõe os seguintes critérios que os controladores de dados podem usar para avaliar se um
DPIA, ou uma metodologia para realizar um DPIA, é suficientemente abrangente para cumprir com o
GDPR:

ÿ é fornecida uma descrição sistemática do tratamento (artigo 35.º, n.º 7, alínea a)):
ÿ natureza, âmbito, contexto e finalidades do tratamento são tidos em conta (considerando
90);
ÿ dados pessoais, destinatários e período para o qual os dados pessoais serão armazenados são
gravado;
ÿ é fornecida uma descrição funcional da operação de processamento;
ÿ os ativos dos quais dependem os dados pessoais (hardware, software, redes, pessoas, papel ou
canais de transmissão de papel) são identificados;
ÿ é tido em conta o cumprimento dos códigos de conduta aprovados (artigo 35.º, n.º 8);
ÿ necessidade e proporcionalidade são avaliadas (artigo 35.º, n.º 7, alínea b)):
ÿ são determinadas as medidas previstas para dar cumprimento ao regulamento (artigo 35.º, n.º 7, alínea d)
e considerando 90), tendo em conta:
ÿ medidas que contribuam para a proporcionalidade e a necessidade do
processamento com base em:
ÿ finalidade(s) especificada(s), explícita(s) e legítima(s) (Artigo 5(1)(b));
ÿ legalidade do tratamento (artigo 6º);
ÿ adequado, relevante e limitado aos dados necessários (artigo
5(1)(c));
ÿ duração de armazenamento limitada (artigo 5.º, n.º 1, alínea e));
ÿ medidas que contribuem para os direitos dos titulares dos dados:
ÿ informações prestadas ao titular dos dados (artigos 12.º, 13.º e 14.º);
ÿ direito de acesso e portabilidade dos dados (artigos 15.º e 20.º);
ÿ direito à retificação e ao apagamento (artigos 16, 17 e 19);
ÿ direito de oposição e de restrição do tratamento (artigos 18.º, 19.º e 21.º);
ÿ relações com processadores (Artigo 28);
ÿ salvaguardas em torno da(s) transferência(s) internacional(is) (Capítulo V);
ÿ consulta prévia (Artigo 36).
ÿ são geridos os riscos para os direitos e liberdades dos titulares dos dados (artigo 35.º, n.º 7, alínea c)):
ÿ A origem, natureza, particularidade e gravidade dos riscos são apreciadas (cf. considerando 84) ou, mais
especificamente, para cada risco (acesso ilegítimo, modificação indesejada e desaparecimento de dados)
na perspectiva dos titulares dos dados:
ÿ são tidas em conta as fontes de risco (considerando 90);
ÿ impactos potenciais aos direitos e liberdades dos titulares de dados são identificados em caso de
eventos incluindo acesso ilegítimo, modificação indesejada e desaparecimento de dados;

ÿ são identificadas ameaças que podem levar a acesso ilegítimo, modificação indesejada e
desaparecimento de dados;
ÿ probabilidade e gravidade são estimadas (considerando 90);
ÿ são determinadas as medidas previstas para tratar esses riscos (artigo 35.º, n.º 7, alínea d), e considerando
90);
ÿ as partes interessadas estão envolvidas:
ÿ é solicitado o parecer do DPO (artigo 35.º, n.º 2);
ÿ são solicitadas as opiniões dos titulares dos dados ou dos seus representantes, se for caso disso
(Artigo 35.º, n.º 9).

22