Machine Translated by Google

direito da computação e revisão de segurança 34 (2018) 279–288

Disponível online em www.sciencedirect.com

ScienceDirect

www.compseconline.com/publications/prodclaw.htm

Compreendendo a noção de risco no General

Regulamento de Proteção de Dados

Rafael Gellert *
Instituto de Direito, Tecnologia e Sociedade de Tilburg (TILT), Universidade de Tilburg, Holanda

ABSTRATO

Palavras-chave: O objetivo desta contribuição é compreender a noção de risco tal como está consagrada no Regulamento Geral de
Risco Proteção de Dados (RGPD), com particular no art. 35 que prevê a obrigação de realizar avaliações de impacto na
GDPR proteção de dados (DPIAs), a primeira ferramenta de gestão de risco a ser consagrada na legislação de proteção de

Proteção de dados e impacto na privacidade dados da UE e que, portanto, contém uma série de elementos-chave para compreender a noção. A adoção dessa
Assessments abordagem baseada em risco não ocorreu sem uma série de debates e controvérsias, principalmente sobre o alcance
e o significado da abordagem baseada em risco. No entanto, o que permaneceu atualizado fora do debate é a própria
noção de risco, que sustenta toda a abordagem baseada em risco. A contribuição usa as noções de risco e análise de
risco como ferramentas para descrever e entender o risco no GDPR. Uma das principais conclusões é que o risco do
GDPR é sobre “risco de conformidade” (ou seja, quanto menor a conformidade, maiores as consequências sobre os
direitos dos titulares dos dados). Essa postura está em contradição direta com várias posições que defendem uma
separação entre questões de conformidade e risco. Esta contribuição vê, em vez disso, questões de conformidade e
risco para os direitos e liberdades dos titulares de dados como profundamente interconectados. A conclusão usará
essas discussões como base para abordar o debate de longa data sobre as diferenças entre avaliações de impacto na
privacidade (PIAs) e DPIAs. Eles também alertarão para o fato de que, em última análise, a forma como o risco é
definido no GDPR é um tanto irrelevante: o que mais importa é a metodologia usada e o tipo de risco em ação.

© 2017 Raphaël Gellert. Publicado por Elsevier Ltd. Todos os direitos reservados.

avaliações (DPIAs) – a primeira ferramenta de gestão de risco a ser

1. Introdução
O objetivo desta contribuição é compreender a noção de risco tal
como está consagrada no Regulamento Geral de Proteção de Dados
(RGPD).1 Dá particular atenção ao art. 35 na medida em que prevê a
obrigação de realizar impacto na proteção de dados
consagrada na lei de proteção de dados da UE – e, portanto, contém
uma série de elementos-chave para compreender a noção.
A noção de risco é cada vez mais importante no GDPR, entre
outros, porque incorpora uma abordagem chamada baseada em risco.
A adoção dessa abordagem baseada em risco não ocorreu sem uma
série de debates e controvérsias,2 notadamente

* Instituto de Direito, Tecnologia e Sociedade de Tilburg (TILT), Universidade de Tilburg, Holanda.

Endereço de e-mail: rgellert@uvt.nl.
1
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de
dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento geral de proteção de dados), [2016], JO L 119/1.

2
Ver (Conselho da União Europeia, 2013); e (DigitalEurope, 2013, p. 1): “A abordagem baseada no risco como meio de melhorar os dados
regulamento de proteção foi amplamente debatido no Conselho”. https://doi.org/
10.1016/j.clsr.2017.12.003 0267-3649/© 2017 Raphaël Gellert. Publicado por
Elsevier Ltd. Todos os direitos reservados.
Machine Translated by Google
280 direito da computação e revisão de segurança 34 (2018) 279–288
sobre o escopo e o significado da abordagem baseada em risco.3 O
O próprio Grupo de Trabalho do Artigo 29º se pronunciou sobre o debate,
esclarecendo o escopo da abordagem baseada em risco (Art. 29 WP,
2013b, 2014) e, mais recentemente, com Diretrizes revisadas sobre
DPIAs (Art. 29 WP, 2017).
No entanto, o que ficou até agora fora do debate é a própria
noção de risco em si, que sustenta toda a
abordagem.
A incerteza em torno do significado do risco no
O GDPR é provavelmente melhor sintetizado pelo Art. 35 em si. Arte. 35(1)
dispõe que:
“Onde um tipo de processamento (. . .) pode resultar em alto risco
aos direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve,
antes do processamento, faça uma avaliação do impacto (. . .)
sobre a proteção de dados pessoais.”4
Como se pode ver, parece haver uma contradição em relação a qual é o
objeto da avaliação de impacto em primeiro lugar.
O que deve ser avaliado? O provável alto risco para os direitos e liberdades
do titular dos dados, ou o impacto na proteção de
dados pessoais?5 E como é que ambos parecem estar ligados na definição
de uma avaliação de impacto?
Essa falta de clareza em torno da noção de risco também pode
ser visível em várias metodologias de avaliação de impacto
que serão examinados ao longo do presente trabalho, e que
mobilizar noções divergentes de risco.
Para tanto, começa por definir a noção de risco, de
análise de risco (como o processo para usar concretamente a noção de
risco), e seus respectivos elementos constitutivos. Estes irão em
por sua vez, ser utilizados como ferramentas de descrição da noção de risco
consagrada no RGPD.
De particular importância, é o fato de que o risco é composto
de um evento e suas consequências. Esta propriedade de risco
será fundamental para lançar alguma luz sobre a noção de GDPR
risco. Ao enquadrar o risco como composto por um evento e suas
consequências, pode-se entender o risco do GDPR como sendo sobre
“risco de conformidade”, sendo a falta de conformidade o “evento”,
e os riscos para os direitos e liberdades dos titulares dos dados
a consequência (ou seja, quanto menor a conformidade, maior a
consequências sobre os direitos dos titulares dos dados). Essa postura é
em contradição direta com uma série de metodologias DPIA
bem como o art. 29 documentos WP,6 que defendem uma separação estrita
entre questões de conformidade e risco: cálculos de risco
só pode vir em cima das obrigações de conformidade cumpridas. Será
argumentam a favor da integração da conformidade dentro do processo de
avaliação de risco (ou seja, a conformidade já é uma questão de
risco) prestando atenção aos outros objetivos do
abordagem (proteção escalável no solo), e pelo fato
que os demais elementos de risco contidos no art. 35 GDPR
(nomeadamente os chamados critérios de risco) também parecem apontar para este
solução.7
3
Sobre essas discussões, ver (Gellert, 2016; Macenaite, 2017).
4 10
Destaque do autor.
5 11
Para uma linha de raciocínio semelhante, ver (Quelle, 2015, sec. 2.5).
6 Esses documentos serão discutidos infra, veja outros (Art. 29 WP,
2014; Arte. 29 WP, 2017).
7 13
Sobre os objetivos da abordagem baseada em risco, ver infra,
seção 3.3.2.
A conclusão usará essas discussões como base para
abordar o debate de longa data sobre as diferenças entre
avaliações de impacto na privacidade (PIAs) e DPIAs. Eles também vão
advertir contra o fato de que, em última análise, a forma como o risco é definido
no GDPR é um tanto irrelevante: o que mais importa é a
metodologia utilizada e o tipo de risco que nela atua.
2. Definição de risco e do seu constitutivo
elementos
2.1. Definição de risco
Em poucas palavras, pode-se argumentar que o risco pode ter dois significados
– um vernacular e outro mais técnico. No
No sentido vernáculo, risco é usualmente referido como perigo futuro, possível,
ou seja, como “um perigo eventual que pode ser previsto
apenas até certo ponto” (Godard et al., 2002, p. 12). No entanto, em um
sentido técnico, o risco pode ser visto como uma noção dupla. Isso é
usado para a tomada de decisão com base na avaliação de futuros
eventos. Seus elementos constitutivos são duas operações distintas, mas
unidas: a previsão de eventos futuros (tanto negativos quanto positivos)
e tomar decisões com base nisso.8 Pode-se, portanto, argumentar que
'qualquer decisão relativa ao risco envolve duas
e ainda elementos inseparáveis: os fatos objetivos e uma visão subjetiva sobre
a conveniência do que deve ser obtido, ou
perder, pela decisão'.9
2.2. Risco e análise de risco
No entanto, o risco continua a ser uma noção abstrata que precisa de
metodologias, modelos e processos que implementem concretamente
isso.10 Este é o papel da análise de risco (também às vezes referida
como gestão de risco).11 Espelhando a dimensão dupla
de risco, a análise de risco é composta por duas etapas: avaliação de risco e
gestão de risco. A avaliação de risco mede a
nível de risco (em termos de probabilidade e gravidade), enquanto o ponto
de gestão de risco é decidir se deve ou não tomar o
risco.12 A decisão ao nível da gestão de risco é normalmente acompanhada
de medidas que visam reduzir o nível de risco:
às vezes o nível de risco é muito alto, mas pode ser reduzido a
um nível aceitável. Essas medidas podem ser chamadas de riscos
redução, controle de risco, resposta ao risco ou, mais geralmente, risco
medidas de mitigação.13 É comumente aceito que é impossível reduzir os
riscos a um nível zero.14 Portanto, todo o ponto
8
(Bernstein, 1996, p. 3). Sobre o fato de que um risco pode se referir tanto a
eventos positivos e negativos ocorrendo, veja (Douglas e Wildavsky,
1983).
9
(Bernstein, 1996, p. 100). Observe que a ISO define risco como o
“efeito da incerteza sobre os objetivos” (2009, p. 1). Ver também a definição
dada pelo art. 29 WP e definindo risco como “um cenário
descrevendo um evento e suas consequências, estimadas em termos de
gravidade e probabilidade” (Art. 29 WP, 2017, p. 6).
(Poder, 2007, p. 12).
Não deve ser confundido com a etapa de gerenciamento de risco como tal, consulte
aqui abaixo.
12
(Warner, 1992, p. 5).
(ISO, 2009, p. 6).
14
Ver, por exemplo, (Gellert, 2015, p. 15).
Machine Translated by Google
direito da computação e revisão de segurança 34 (2018) 279–288
da etapa de gerenciamento de risco é determinar se o nível
de risco é suficientemente baixo para que possa ser tomado.
De acordo com essas definições, a Organização Internacional para
Padronização (ISO) em suas Diretrizes de 2009 sobre riscos
a gestão faz a distinção básica entre a avaliação dos riscos e a sua gestão
(2009, p. 4). No entanto, e
crucialmente, ele divide a etapa de avaliação de risco em uma série de
subetapas: os critérios de risco, a identificação do risco e a
etapa de avaliação de risco.
• A etapa de critérios de risco é a etapa que contém os critérios para
determinar se um evento pode ser considerado um risco, ou
em outras palavras, a etapa que contém “os termos de referência contra
os quais a significância de um risco é avaliada”
(ISO, 2009, p. 5). Estes incluem os tipos de consequências negativas
(também conhecidas como danos, ver infra) a serem levadas em consideração .
conta, danos a quem, como medir o nível de risco,
o que é um risco, como identificá-lo, o que conta como fator de risco,
etc. (ISO, 2009, p. 17).15,16
• A etapa de identificação de risco está intimamente ligada à etapa de critérios
de risco. Pode ser definido como o “processo de encontrar,
reconhecer e descrever riscos” (ISO, 2009, p. 5). Em outros
palavras, consiste em comparar as características do
evento em causa com os estabelecidos nos critérios de risco, e
que determinará se o evento é suficientemente arriscado
ser considerado um risco.
• Por fim, se um evento for considerado de risco, deve passar por uma
avaliação para determinar seu nível em termos de probabilidade e
gravidade (ou magnitude) (ISO, 2009, pp. 5–6, 18).
• Após sua avaliação, o risco será então gerenciado.
Ou seja, será avaliado em termos de seus custos e benefícios. Haverá
uma decisão sobre se deve ou não tomá-lo,
eventualmente com recurso a medidas de mitigação de risco (ISO,
2009, pág. 6).
2.3. Os elementos constitutivos do risco
As linhas anteriores forneceram uma definição de risco, e de
as diferentes etapas da análise de risco, que é o processo necessário para
usar o risco. No entanto, para mapear e
entender a noção de risco no GDPR, um último elemento é
necessários, a saber, os elementos constitutivos do próprio risco.
Uma maneira útil de apreender esses elementos constitutivos é
atendendo à definição fornecida pelo artigo 29.º
Parte (Art. 29 WP), em suas diretrizes revisadas recentemente publicadas
sobre avaliações de impacto na proteção de dados (DPIAs). De acordo,
risco pode ser definido como “um cenário que descreve um evento e
suas consequências, estimadas em termos de gravidade e probabilidade” (Art.
29 WP, 2017, p. 6). Nesse momento da análise, um
já podemos colocar muita ênfase na distinção entre
o evento como tal e suas consequências. É aquele que é principalmente
15
Ver também (Wright e Raab, 2014b; Wright et al., 2014a, p. 28;
Wright et al., 2015, p. 50).
16
Como se verá infra, a noção de danos não é explicitamente definida
no GDPR, e a presente contribuição tentará avançar um
interpretação possível. Deve-se notar que a questão do que
constitui um dano tem sido discutido há muito tempo na literatura de
gerenciamento de risco (ver, por exemplo, Sparrow, 2008), bem como na privacidade
literatura (Perri 6, 1998; Böröcz, 2016; Calo, 2011; Trilateral Research
e Consultoria, 2013; Wright e Raab, 2014b).
281
negligenciado no debate sobre DPIAs, e será crucial na
entender a maneira como o GDPR desdobra sua
compreensão do risco. Esta definição é consistente com aquela
fornecido pela ISO, que também abraça esta distinção
entre eventos e consequências, estabelecendo que “o risco é
muitas vezes caracterizado por referência a eventos potenciais (2.17)
e consequências (2.18), ou uma combinação destes” (ISO, 2009,
pág. 1).
Além disso, também fornece os elementos constitutivos da
o que é exatamente um risco.
• O primeiro elemento é o evento, que a ISO define como
“ocorrência ou mudança de um conjunto particular de circunstâncias”
(2009, pág. 4). Pode ou não acontecer, e tem um número
de consequências positivas e negativas.
• O segundo elemento são as consequências, que são precisamente o
“resultado de um evento” (ISO, 2009, p. 5), quando tal
impactos são negativos, eles podem ser chamados de danos, e
quando são positivos, podem ser referidos como benefícios.
• O terceiro elemento são os fatores de risco. Estes determinam
se e como o risco se materializará (ou seja, probabilidade), bem como a
gravidade do risco. A ISO os define
como “elementos que, sozinhos ou combinados, têm o potencial intrínseco
de gerar risco” (ISO, 2009, p. 4).
Como se vê, esses três elementos constitutivos estão em consonância
com o art. 29 definição de WP. As próximas páginas utilizarão os elementos
constitutivos do risco e da análise de risco como forma de mapear
e entender a noção de risco conforme consagrada no GDPR.
3. Usando os elementos constitutivos do risco como
ferramenta de descrição para o risco GDPR
3.1. Acontecimentos e consequências: Dois elementos constitutivos
de risco como forma de resolver a ambiguidade do art. 35, e o
surgimento da noção de um “risco de conformidade”
Voltando à definição de risco no GDPR, a definição de risco fornecida acima
pode ser de alguma ajuda?
Como lembrete, o art. 35(1) dispõe que:
“Onde um tipo de processamento (. . .) pode resultar em alto risco
aos direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve,
antes do processamento, faça uma avaliação do impacto (. . .)
sobre a proteção de dados pessoais.”17
Em vez de ver uma ambiguidade e uma contradição (ou seja, riscos
aos direitos e liberdades ou impactos na proteção de dados pessoais), pode-
se argumentar que essa definição realmente vem
como confirmação da definição de risco aqui apresentada,
sendo um cenário que inclui um evento e suas consequências. este
é assim, porque assim como o risco, o GDPR também parece combinar
dois elementos distintos na sua definição de risco. A seguir
questão então é, desde que esta suposição esteja correta, o que
elemento do art. 35 definição é o evento, e qual
é a consequência?
17
Destaque do autor.
Machine Translated by Google

282 direito da computação e revisão de segurança 34 (2018) 279–288

Em sua “declaração sobre o papel de uma abordagem baseada em risco em dados
marcos legais de proteção”, o art. 29 WP fornece algumas indicações. Refere-
se a riscos, “que estão relacionados a potenciais
impacto negativo nos direitos, liberdades e interesses do titular dos dados” (Art.
29 WP, 2014, p. 4). Segue argumentando que esses
No entanto, como será demonstrado, pode encontrar respaldo na
O próprio GDPR, em pelo menos uma metodologia DPIA, bem como na
lógica da própria abordagem baseada no risco. A contribuição será
portanto, examine essas opiniões divergentes, antes de justificar
sua postura.

direitos e liberdades não dizem respeito apenas ao direito à privacidade, mas

incluem outros direitos fundamentais, como “liberdade de expressão,
3.2. A favor da separação clara
liberdade de pensamento, liberdade de movimento, proibição de
discriminação, direito à liberdade, consciência e religião” (art.
3.2.1. A Arte de 2014. 29 Declaração do WP sobre o papel de uma
29 WP, 2014, p. 4). Isso também foi confirmado na revisão revisada do Grupo
abordagem baseada em risco nas estruturas legais de proteção de dados e o
Diretrizes sobre avaliações de impacto na proteção de dados, que argumentam
debate entre abordagens baseadas em risco e baseadas em direitos como o
que um DPIA é “uma ferramenta para gerenciar os riscos aos direitos dos
base para uma separação clara
os titulares dos dados” (Art. 29 WP, 2017, p. 17).
Na declaração, o Grupo do Grupo de Trabalho não assume uma posição clara
Uma interpretação possível, portanto, é que o risco para o
posição metodológica sobre se devem ser separados ou integrados em um
direitos e liberdades dos titulares dos dados são impactos negativos
cálculo de risco único, mas não
sobre esses direitos fundamentais, ou seja, violação desses direitos
afirmam que os controladores de dados devem “sempre ser responsáveis pelo
fundamentais. Isso significa que as operações de processamento de dados
cumprimento das obrigações de proteção de dados” (Art.
pode ter consequências que potencialmente violam uma ampla
29 WP, 2014, p. 3). Assim, a abordagem baseada em risco não pode ser usada
gama de liberdades fundamentais. Este é provavelmente o caminho
que estes vários art. 29 documentos WP devem ser inter como uma desculpa para ignorar certas obrigações de conformidade e
portanto, para diminuir o nível de proteção de dados.
fingido. O que ainda não está claro, no entanto, é se o art. 29
Esta posição forte do Grupo de Trabalho deve ser compreendida no quadro
WP está se referindo a um significado vernacular de risco (riscos simplesmente
do debate entre os
como consequências negativas futuras), ou como definição técnica
abordagens baseadas em direitos, e mais em particular como resposta a uma
de risco. Nesse caso, o que conta como o evento e o que conta
série de abordagens baseadas em risco que colocariam
como as consequências?
o foco da proteção somente quando os danos surgiram ou são
A presente contribuição apresenta a seguinte hipótese.
suscetível a. Pode-se argumentar que o debate sobre uma base de risco
Voltando à definição do art. 35.1, o “alto risco para o
abordagem na lei de proteção de dados da UE começou com um estudo
direitos e liberdades” seria a consequência. A “proteção de dados pessoais”
Gabinete do Comissário de Informação do Reino Unido (ICO) comissionado para
seria então o “evento” em jogo (que
RAND EUROPE em 2009 tendo em vista a próxima revisão
leva a essas consequências). Em outras palavras, quando o pessoal
da Diretiva 95/46/CE (ver Robinson et al., 2009). Em poucas palavras, este
dados não estão adequadamente protegidos, ou seja, quando as disposições e
relatório criticou, entre outros, a discrepância
obrigações de proteção de dados não são cumpridas, tais
existente entre as obrigações de proteção de dados e o
evento leva à violação potencial de todos os titulares dos dados
danos sofridos pelos titulares dos dados, pelo que defendeu
direitos fundamentais afectados pela referida operação de tratamento. este
para o uso do risco como forma de determinar quais operações de tratamento
A interpretação também aborda a questão mencionada na nota de rodapé 15
de dados são as mais prejudiciais e qual o nível de
sobre a dificuldade de definição de dano. Deste ponto de vista,
proteção deve ser adotada como resultado (ver, por exemplo, Robinson
um dano é a violação de um direito fundamental decorrente de
et al., 2009, pág. 27).20 Outro número de partes interessadas argumentou
o tratamento de dados, bem como a implicação material e moral deste último.18
a favor de uma abordagem semelhante.21 Baseando o nível de proteção
oferecido nos danos potenciais criados pelo processamento
Nesse sentido, pode-se falar em um chamado “compliance
de dados tem sido visto como um questionamento da abordagem tradicional,
risco” no coração do GDPR, ou seja, as chances de que um determinado
chamada de abordagem baseada em direitos.
operação de processamento não estará em conformidade com o GDPR, ao contrário
a uma noção de risco centrada na violação dos dados premissa na medida em que pretende que, como direito fundamental da
da UE,22 o direito à proteção de dados deve ser aplicado independentemente
direitos e liberdades dos projetos. Assim, quanto menor a conformidade ou
do nível de risco e, portanto, prever uma
quanto maior o “evento de não conformidade”, maior o risco (ver nacular) (ou
nível de cumprimento, ou conforme o art. 29 colocou, um “mínimo
seja, consequência ou dano) para os titulares dos dados
e nível de proteção inegociável para todos os indivíduos” (Art.
direitos fundamentais.
29 WP, 1998, p. 2).23
Esta análise da noção de risco no GDPR – articulando a questão da
Na sua declaração sobre o papel de uma abordagem baseada no risco, a
conformidade e consequências nos dados
Arte. 29 WP assumiu uma posição clara a favor da natureza baseada em
direitos fundamentais dos sujeitos dentro de um único cálculo de risco é de lege
direitos do direito da UE à proteção de dados pessoais. Isto
ferenda na medida em que não parece ser suportado
argumentou que “a abordagem baseada no risco está sendo cada vez mais
por uma série de metodologias DPIA, nem pelo Art. 29 WP
Diretrizes sobre DPIAs, que defendem uma separação estrita.19
20
Para uma análise semelhante do relatório RAND, ver (Macenaite, 2017).
21
Ver, por exemplo, (Cate e Mayer-Schönberger, 2013; DigitalEurope, 2013;
18
Por exemplo, se um processamento de dados me discrimina, o dano Fórum Econômico Mundial, 2014).
22
é, portanto, a violação do meu direito que não deve ser discriminada, assim Após a entrada em vigor da Carta dos Direitos Fundamentais da UE (ver
como a dimensão moral (humilhação, González Fuster, 2014).
23
estigmatização) e a material (perda de moradia ou de oportunidade de Para uma discussão mais aprofundada sobre as diferenças e semelhanças
trabalho, por exemplo). entre abordagens baseadas em direitos e baseadas em risco, ver,
19 Veja aqui abaixo. (Gellert, 2016).
Machine Translated by Google

direito da computação e revisão de segurança 34 (2018) 279–288 283

Fig. 1 – Abordagem de compliance usando um PIA.

apresentado erroneamente como uma alternativa aos direitos e princípios de
proteção de dados bem estabelecidos” (Art. 29 WP, 2014, p. 2).
Esta exigência de fornecer um nível uniforme de conformidade,
consistente com a natureza baseada em direitos da proteção de dados, foi
tomada como um argumento a favor de uma separação estrita entre questões
de conformidade e questões de risco. Ou seja, que a conformidade total
(legal) com o GDPR sempre deve ocorrer, e os cálculos de risco devem vir
apenas em cima disso. Parece que esta declaração do Grupo de Trabalho
influenciou várias metodologias de DPIA.
3.2.3. Bieker et ai.
Outra metodologia que faz uma clara distinção é a desenvolvida por Bieker
et al. (2016). Esta metodologia baseia-se explicitamente no art. 29 declaração
de WP para justificar a distinção. Argumenta que “o Grupo de Trabalho
enfatizou que, em relação aos requisitos legais, o cumprimento não poderia
ser opcional e que nenhum poder discricionário poderia ser concedido à
organização em nenhuma circunstância. Essas demandas podem ser vistas
como requisitos mínimos” (Bieker et al., 2016, p. 22). Essa metodologia faz
duas coisas. Primeiro, em vez de “evento” ou “evento temido” refere-se a
“objetivos de proteção” (Bieker et al., 2016, p. 29).

Em segundo lugar, identifica três desses objetivos de proteção: não

3.2.2. A metodologia CNIL, 2015
vinculação, transparência e capacidade de intervenção. Estes são os três
Primeiramente, é interessante observar que a metodologia CNIL
eventos temidos, cuja violação leva a danos.
defende a mesma definição de risco, fazendo a distinção entre um
Como pode ser visto tanto na metodologia da CNIL quanto nesta,
evento e suas consequências. Ele define um risco como um cenário
encontrar eventos alternativos não é tarefa fácil. Enquanto a CNIL adotou
que descreve como as fontes de risco (ou seja, fatores de risco de
uma solução descartando qualquer vínculo com questões legais (ie, limitando-
acordo com a presente contribuição) podem permitir que eventos
a à segurança dos dados), o Bieker et al. metodologia reconhece que seus
temidos ocorram “gerando assim impactos na privacidade dos titulares dos dados”
(CNIL, 2015, p. 6). eventos “podem ser deduzidos de dispositivos legais no GDPR” (Bieker et
Em segundo lugar, essa metodologia adota uma distinção clara entre al., 2016, p. 30). Nesse sentido, pode-se perguntar qual a utilidade de adotar
questões legais, de conformidade e a avaliação dos riscos aos direitos e eventos tão intimamente relacionados ao compliance, e se a distinção entre
liberdades dos titulares dos dados. Isso fica bem claro na p. 7º, onde a compliance legal e esses eventos não é artificial.
metodologia faz a distinção entre “respeito pelos princípios legais de proteção
da privacidade”24 e entre “gestão dos riscos relacionados com a segurança
dos dados pessoais e com impacto na privacidade dos titulares dos dados”
3.2.4. Arte. 29 Diretrizes DPIA revisadas do WP Em
suas diretrizes revisadas (Art. 29 WP, 2017), o art. 29 WP não pretende se
(CNIL, 2015, p. 7) (vide Figura 1 abaixo).
aprofundar nesse debate. Seu objetivo é esclarecer os requisitos decorrentes
Assim, se a conformidade como “evento” for descartada, há a necessidade
do art. 35 no que diz respeito ao desempenho dos DPIAs. No entanto, porque
de um evento alternativo (ou evento temido segundo a terminologia da CNIL). as duas questões estão tão intrinsecamente ligadas, acaba por se posicionar,
Como fica claro nas linhas anteriores, tal evento está relacionado a riscos de
pelo menos implicitamente.
segurança. A CNIL identifica três desses eventos: “acesso ilegítimo a dados
pessoais; alteração indesejada de dados pessoais; e desaparecimento de
Em primeiro lugar, em seu Anexo 2 esclarece o significado do art. 35.7(b)
dados pessoais” (CNIL, 2015, p. 14). As consequências desses eventos são
exigindo que a necessidade e a proporcionalidade de uma operação de
impactos sobre os direitos fundamentais dos titulares dos dados (CNIL,
processamento sejam avaliadas. Seguindo este Anexo, isso equivale a uma
2015, p. 14).
verificação de conformidade total (Art. 29 WP, 2017, p. 22). Em segundo
Note-se que a primeira metodologia CNIL de 2012 não separou
lugar, e conforme indicado, afirma que a noção de risco se aplica aos direitos
claramente entre conformidade e análise de risco (cf. infra). Pode-se levantar
e liberdades dos titulares de dados afetados por um processamento de dados (art.
a hipótese de que essa metodologia atualizada é consequência direta do art.
29 WP, 2017, pág. 17). Ainda, o mesmo Anexo também esclarece que tal
29 Posição do WP. No entanto, também pode ser criticado por utilizar os risco deve ser entendido em um sentido técnico, uma vez que se refere ao
riscos de segurança como eventos temidos, tornando-se apenas uma
mesmo evento que a metodologia do CNIL de 2015 (ou seja, “acesso
metodologia de segurança de dados. Mostra, em todo caso, que as
ilegítimo; modificação indesejada; desaparecimento de dados)
metodologias de avaliação de impacto se baseiam em uma noção técnica de
(Art. 29 WP, 2017, p. 22). Está, portanto, em linha com a sua declaração de
risco e, portanto, na díade evento temido – dano/consequência.
2014 e com a separação clara entre questões de compliance e risco.

24
De uma forma muito tradicional, esses princípios incluem “propósito
3.3. A favor do “risco de conformidade”
específico, explícito e legítimo; dados adequados, relevantes e não
excessivos; informações claras e completas aos titulares dos dados;
período de retenção limitado; o direito de oposição, acesso, retificação e As linhas a seguir discutirão por que faz sentido integrar questões de
eliminação, etc.” (CNIL, 2015, p. 7). conformidade ao processo de análise de risco.
Machine Translated by Google
284 direito da computação e revisão de segurança 34 (2018) 279–288
3.3.1. Argumentos a favor podem ser encontrados na
mesma afirmação do art. 29 WP: “Proteção no terreno”
como o principal objetivo da abordagem baseada em risco
Como foi salientado, o art. 29 Declaração do WP de 2014 sobre
o papel de uma abordagem baseada em risco claramente favorece a separação
entre questões de conformidade e risco. Ainda, este mesmo
afirmação parece contraditória na medida em que também contém argumentos
a favor da solução oposta.25
Além do uso de ferramentas de análise de risco que capturam o
consequências das operações de processamento de dados, que foi
foco da discussão até aqui, deve-se observar que o
A abordagem baseada no risco persegue vários objetivos adicionais. Um dos
objetivos autodeclarados do
abordagem é fornecer alguns “reais”, práticos, “no terreno”
proteção, ao invés de abordar o compliance como uma mera
exercício de marcação.26 Isso ficou muito claro em vários Art.
29 documentos WP emitidos antes do início da reforma
processo.27 Também foi explicitamente repetido pelo Grupo de Trabalho
na sua declaração de 27 de fevereiro de 2013 sobre “as discussões atuais
sobre o pacote de reforma da proteção de dados” e
reenfatizou o fato de que “a conformidade nunca deve ser um exercício de
marcação de caixa, mas deve realmente ser sobre garantir que
os dados pessoais estão suficientemente protegidos” (Art. 29 WP, 2013b, pp.
2-3). Pode-se argumentar que tal proteção prática equivale a
usando medidas organizacionais e técnicas adicionais para o
fim do cumprimento. Isto é, por exemplo, muito claro de acordo com
Considerando 78 GDPR, que afirma que “as técnicas e
devem ser tomadas medidas organizativas para assegurar o cumprimento dos
requisitos do presente regulamento.”
Seguindo essa linha de raciocínio, pode-se argumentar que
dos objetivos da abordagem baseada em risco é fornecer uma proteção
“prática”, “no terreno”, que a abordagem usual
ao cumprimento é incapaz de pagar. Isso implicaria duas coisas.
Primeiro, a abordagem baseada em risco é, de fato, sobre conformidade em
em primeiro lugar, uma vez que é concebido como um meio de “cumprir melhor”.
Em segundo lugar, e como segue logicamente, isso significaria que as questões
de conformidade estão bem integradas no cálculo de risco.
Pode-se argumentar que as metodologias de avaliação de impacto
revisadas na seção anterior ecoam de alguma forma uma
entendimento tradicional de compliance, que é enquadrado como
uma questão de "sim ou não": as obrigações do GDPR são cumpridas
com ou não. E uma avaliação de impacto dos riscos para os dados
direitos e liberdades dos sujeitos só podem ocorrer uma vez que tais
ocorreu o cumprimento.
Esse entendimento tradicional de compliance parece ser
em desacordo com a lógica do risco, que é muito mais granular.
Conforme indicado na seção sobre risco e análise de risco, todo o
ponto de avaliação de impacto é gerenciar riscos. O ponto de
tal etapa de gerenciamento é determinar quanto risco se está
25
Deve-se notar que em uma contribuição recente, Quelle
mobilizou uma análise semelhante da noção de risco no GDPR como
sendo sobre conformidade. Curiosamente, ela mobiliza os mesmos
argumentos apresentados a seguir, ver (Quelle, 2017). Macenaita também
parece sugerir que a abordagem baseada no risco finalmente adotada em
o GDPR é sobre compliance, veja (Macenaite, 2017).
26 A expressão proteção “no terreno” é inspirada diretamente
por (Bamberger e Mulligan, 2015).
27
Ver, por exemplo, (Art. 29 WP, 2010; Art. 29 WP & Grupo de Trabalho sobre Polícia
e Justiça, 2009).
pronto para tomar. Nesse sentido, é menos uma questão de “sim ou não”,
do que uma questão de “quanto”. O risco é, portanto, escalável e
granular por definição.
Deste ponto de vista, é difícil ver como a conformidade
e risco podem ser conciliados, e como o primeiro pode ser integrado no
segundo. Ainda assim, a resposta pode ser encontrada no
mesmo art. 29 Declaração WP. Defende que “princípios fundamentais aplicáveis
aos controladores (ou seja, legitimidade,
minimização. . .) deve permanecer o mesmo, qualquer que seja o escopo
de tratamento e os riscos para os titulares dos dados. No entanto, (. . .)
eles são inerentemente escaláveis” (Art. 29 WP, 2014, p. 3). Conforme indicado
supra, é geralmente aceite que a proporcionalidade
princípio está subjacente a uma série de medidas essenciais de proteção de dados
mecanismos, daí a sua escalabilidade. Na mesma linha, o
O Grupo de Trabalho argumentou que “todos os controladores devem agir em
conformidade com a lei, embora isso possa ser feito de forma escalável.
maneira” (Art. 29 WP, 2013b, Art. 29 WP, 2013b, p. 3). Por exemplo, quanta
minimização é necessária para cumprir
com o requisito de minimização de dados? O fato de a conformidade ser
inerentemente escalável a deixa muito mais alinhada com
a noção de risco do que outros enquadramentos permitem.
A escalabilidade que parece estar no centro tanto da conformidade quanto
do risco também permite entender outro objetivo
da abordagem baseada em risco, ou seja, fornecer aos controladores de dados
maior flexibilidade e escalabilidade com o uso de seus
recursos utilizados para fins de compliance.28 É nesse sentido
que se possa compreender o argumento do art. 29 WP a seguir, a abordagem
baseada em risco é simplesmente uma maneira de escalar
e calibrar as obrigações de conformidade.29
Para concluir o argumento, pode-se ver que os objetivos
da abordagem baseada no risco são transformados em primeiro lugar
para melhorar a conformidade, o que sugere que conformidade e risco não
devem ser estritamente separados e, portanto, devem
ser integrado. A chave para pensar essa integração está na
noção de escalabilidade. Considerando que o risco é uma noção escalável por
definição, também é mostrado que o compliance sempre foi mais
escalável do que o admitido. Além disso, a ligação entre uma conformidade
escalável e os riscos para os direitos dos titulares dos dados e
liberdades também parece bastante lógico. Por exemplo, não
minimizar os dados pode resultar em violações dos direitos fundamentais do
titular dos dados. O mesmo acontece se os dados forem
processados para outros fins incompatíveis. Por uma questão de
fato, em sua opinião sobre o princípio da limitação da finalidade, o art.
29 WP fez a ligação entre a violação do referido princípio e os danos aos
titulares dos dados que isso pode causar (Art.
29 WP, 2013a) Assim, quanto menor a conformidade, maior a
potenciais violações dos direitos fundamentais dos titulares dos dados.
Inversamente, assim como um baixo nível de conformidade sinaliza o provável
violação dos direitos e liberdades do titular dos dados, garantindo, por sua vez,
que os direitos e liberdades não sejam violados
pela operação de processamento contribuindo para níveis mais elevados de
conformidade. Isso mostra bem o tipo prático de proteção buscado
pela abordagem baseada no risco. Aliás, é assim que o art.
28 Isso é particularmente claro, por exemplo, no art. 29 WP Parecer
no princípio da responsabilidade, que vê os DPIAs como um elemento-chave
para fornecer essa flexibilidade, precisamente porque é baseado em risco, ver
(Art. 29 WP, 2010, para. 54).
29 “A escalabilidade das obrigações legais baseadas no risco aborda os
mecanismos de compliance” (Art. 29 WP, 2014, p. 2).
Machine Translated by Google
direito da computação e revisão de segurança 34 (2018) 279–288
35.1 pode ser interpretado: um risco alto provável sinaliza um nível de
conformidade muito baixa. Em suma, a própria lógica da abordagem baseada
no risco, como forma de melhorar a conformidade, parece também
para favorecer a solução integrando conformidade e consequências em um
único cálculo de risco.30
3.3.2. Um exemplo: A metodologia CNIL 2012
Para apoiar a presente reivindicação de integração da conformidade no
processo de análise de risco, pode-se encontrar suporte em
a metodologia anterior CNIL 2012 (CNIL, 2012b).
Nesta metodologia, o CNIL assenta claramente num “risco de conformidade”,
na medida em que o evento que origina o impacto negativo
sobre os direitos fundamentais dos titulares dos dados consiste na
“indisponibilidade de processos legais”, ou seja, o incumprimento
requisitos legais (CNIL, 2012b, p. 6). Também passa a dizer que
“tais eventos teriam impactos na privacidade dos titulares dos dados, identidade
humana, direitos humanos ou liberdades civis” (ou seja, “direitos
e liberdades) (CNIL, 2012b, p. 6), confirmando assim a presente
análise.
Essa metodologia também é um bom exemplo de por que a abordagem
baseada em risco leva a uma proteção “prática” e por que tal
a proteção é, por definição, escalável.31 Conformidade de enquadramento como
o evento significa que seu advento e gravidade dependem
uma série de fatores de risco. Em termos de fatores de risco para a
probabilidade toma-se o caso do treinamento de funcionários: os menos treinados
os funcionários, maior a probabilidade de que a não conformidade
ocorrerá (CNIL, 2012a, pp. 40–43). Assim, treinar os funcionários
é uma medida organizacional, que leva à conformidade. Dentro
para abordar a gravidade do “evento de não conformidade”,
o CNIL sugere diferentes tipos de medidas. Alguns deles
pertencem ao entendimento usual de conformidade, como
minimizando a quantidade de dados processados e a retenção
períodos dos mesmos, informando os titulares dos dados; etc. (CNIL, 2012a, sec.
1), enquanto outros dizem respeito ao impacto nos direitos fundamentais dos
titulares dos dados (ou seja, os danos), por exemplo, estabelecer uma crise
unidade de resposta (CNIL, 2012a, p. 36). Como se pode ver, a conformidade
é granular, pois seu nível sempre dependerá da existência de
fatores de risco e as medidas usadas para enfrentá-los. Mais longe
tal conformidade escalável é alcançada precisamente por medidas
"no chão".
3.3.3. O próprio GDPR como a favor do risco de conformidade
Uma linha final de argumentos a favor da integração da conformidade
dentro do processo de análise de risco pode realmente ser encontrado no
O próprio GDPR em duas contas.
Em primeiro lugar, vários considerandos salientam que os mecanismos
baseados no risco são, antes de mais, dirigidos para alcançar –
superior – níveis de conformidade. É o caso do considerando 84,
que prevê que os DPIAs são instrumentos concebidos para
“reforçar o cumprimento do presente regulamento”, sugerindo assim
que o papel da abordagem baseada em risco é abordar questões
de cumprimento. O considerando 78 é talvez o mais explícito no que diz respeito
30
Para ser claro: o risco não é como tal “a solução” para a proteção em
no terreno: tal solução dependerá das medidas concretas de mitigação
de riscos que os controladores de dados venham a adotar.
31 E, portanto, dependendo de uma “proteção prática”. Como um
aliás, o CNIL fornece uma grelha onde distingue
entre as medidas “tradicionais” de conformidade e as
e técnicos (CNIL, 2012a, pp. 82–3).
285
a articulação entre os riscos para os direitos dos titulares dos dados
e liberdades e conformidade está em causa. Ele fornece que
“A proteção dos direitos e liberdades das pessoas naturais
exigir que medidas técnicas e organizacionais apropriadas sejam tomadas
[para] garantir que os requisitos de
presente regulamento sejam cumpridos.” Esta frase defende perfeitamente a
lógica do argumento aqui apresentado: abordar os riscos
aos direitos e liberdades dos titulares dos dados influencia diretamente
o nível de cumprimento. Isso mostra bem que a conformidade é uma
elemento integrante do exercício de análise de risco.32
Segundo – e como será discutido abaixo, todo o risco
os factores aí consagrados dizem respeito ao cumprimento, implicando
implicitamente que faz parte do cálculo do risco.
4. Descrição do risco GDPR por meio de risco
análise: Critérios de risco relativos apenas a
observância?
4.1. O papel do art. 35
Pode-se argumentar que todo o ponto do art. 35 é fornecer
critérios sobre quando as DPIAs devem ser realizadas. Em outras palavras,
e usando a terminologia da ISO, fornece critérios de risco,
que o responsável pelo tratamento deve identificar e, com base nisso,
determinar se eles devem realizar um DPIA ou não. Em seu
Diretrizes DPIA revisadas, o Art. 29 WP adotou um
posição. Seção B das Diretrizes (Art. 29 WP, 2017, pp. 8–13)
é explicitamente dedicado a determinar as circunstâncias sob
qual um DPIA deve ser realizado. Assim, um DPIA
ser realizada apenas em casos de operações de processamento que são
suscetível de resultar em um alto risco para os direitos do titular dos dados e
liberdades.
Assim, e seguindo a definição operativa de risco,
as próximas linhas mostrarão que o art. 35, bem como uma série de
Os considerandos do GDPR contêm critérios para determinar o que conta como
um alto risco (ou seja, elemento de critério de risco). Esses diferentes critérios
de risco serão descritos e vinculados aos elementos constitutivos
do risco (ou seja, evento, fator de risco, consequência). Mais particularmente,
será mostrado que existem muito poucos critérios de risco
sobre os riscos para os direitos e liberdades dos titulares dos dados. A maioria
deles diz respeito às propriedades do processamento
operação e pode, portanto, ser mais naturalmente ligado a questões de
conformidade. O fato de os critérios de risco do GDPR pertencerem
principalmente ao compliance são vistos como mais um ponto a favor da
o presente argumento para incluir a conformidade dentro do risco
Cálculo.
4.2. Descrição do GDPR e do art. 35 através da lente de
a definição operativa de risco e de sua
elementos
Arte. 35.1 já contém algumas informações sobre critérios de risco relacionados
a fatores de risco. Refere-se ao uso de novas tecnologias,
e de uma forma geral também se refere à natureza, escopo, contexto,
e finalidades do processamento. Estes últimos elementos podem ser
32
Para considerandos adicionais que fazem a ligação com a conformidade, um
pode ver os considerandos: 80, 81, 82.
Machine Translated by Google

286 direito da computação e revisão de segurança 34 (2018) 279–288

considerados como fatores de risco na medida em que determinarão quão
provável e/ou grave é o risco.
A próxima disposição importante do art. 35 é o art. 35.3, que, conforme
confirmado pelo art. 29 WP, contém uma lista indicativa de critérios de risco
(ver Art. 29 WP, 2017, pp. 8–13).
Arte. 35.3(a) contém vários critérios para fatores de risco.
Alguns dizem respeito ao tipo de operação de processamento (uma avaliação
sistemática e extensiva de aspectos pessoais com base no processamento
automatizado). Contém ainda um critério de risco para a consequência, quando
as operações de tratamento produzam efeitos jurídicos que “afetem
significativamente” o titular dos dados.
Arte. 35.3(b) contém critérios de risco relativos a outro fator de risco,
relativos ao tipo de dados utilizados, nomeadamente dados sensíveis como os
referidos no art. 9.1, bem como o art. 10 GDPR.33 Finalmente, art. 35.3(c)
contém outro critério relativo a um fator de risco também pertinente ao tipo de
operação de processamento, a saber, o monitoramento sistemático de
uma área de acesso público em grande escala.
monitoramento de uma área de acesso público em grande escala usando
dispositivos óptico-eletrônicos).
Em resumo, com exceção do considerando 75 e de uma linha do art.
35.3(a), que contém critérios de risco relativos aos riscos reais aos direitos e
liberdades dos titulares de dados (ou seja, danos que consistem em violações
destes), todos os outros critérios de risco contidos no GDPR estão relacionados
a questões de conformidade. dá peso adicional à presente análise, vendo a
conformidade no centro da noção de risco operacionalizada pelo GDPR.
5. Conclusões: A noção de risco no
GDPR, a diferença entre PIAs e DPIAs e a
relevância dos presentes achados
5.1. Usando o risco como um dispositivo descritivo

Esta contribuição tentou mapear a noção de risco tal como está consagrada
no RGPD.
Resumindo, pode-se argumentar que o art. 35 contém os seguintes
Utilizou-se os elementos constitutivos de risco e análise de risco como
fatores de risco. A maioria deles está relacionada ao evento (ou seja, tipo de
ferramenta descritiva. De particular importância é o fato mais negligenciado de
operação de processamento): tipo de processamento; nova tecnologia e; tipo
que o risco é composto não apenas de impactos (ou consequências, também
de dados. Dependendo da metodologia específica de análise de risco, esses
conhecidos como danos quando são negativos), mas também de eventos.
são fatores que levarão a maiores chances e/ou gravidade do evento. Apenas
Essa dupla composição de risco é usada para analisar a noção de risco no
uma diz respeito às consequências: efeitos jurídicos que “afectam
GDPR e discutir a maneira como várias metodologias DPIA avaliaram esse
significativamente” o titular dos dados.
risco GDPR. Mais particularmente, discutiu duas abordagens diferentes para
Procurando critérios de risco adicionais, pode-se
atenção aos considerandos do GDPR. definir o risco GDPR. Um mantém os problemas de conformidade fora do
processo de análise de risco. Tal abordagem encontra respaldo em várias
O considerando 75 reveste-se de particular importância. Ele contém vários
metodologias DPIA e em alguns Art. 29 Documentos do WP e suas Diretrizes
critérios de risco relativos às consequências. Refere-se ao “tratamento de
DPIA 2017. A outra abordagem, defendida na presente contribuição, defende
dados que pode levar a danos físicos, materiais ou não materiais”. Esses
que o compliance deve ser integrado diretamente no processo de análise de
danos materiais e morais incluem discriminação, roubo ou fraude de identidade,
risco (como o “evento”), na medida em que é a única maneira possível de
perdas financeiras, danos à reputação, perda de confidencialidade, reversão
alcançar uma série de objetivos adicionais associados à análise de risco
não autorizada de pseudonimização ou qualquer outra desvantagem econômica
baseada em risco. abordagem (protecção no terreno e escalabilidade das
ou social significativa. Em seguida, ensaia critérios de risco relativos aos
obrigações de cumprimento).
fatores de risco relacionados ao tipo de dados processados.34 Fornece critérios
relativos ao fator de risco relacionado aos tipos de titulares de dados35 e
termina com critérios de risco relativos ao fator de risco relacionado à escala
De fato, o uso desses elementos constitutivos duplos de risco (ou seja,
do processamento operação (quantidade de dados e quantidade de titulares
evento e consequências) também pode lançar alguma luz sobre outro debate
de dados).
– a saber, sobre a distinção entre avaliações de impacto de privacidade (PIAs)
e dados proteção (DPIA).
O considerando 89 reitera a utilização de novas tecnologias como um risco
critérios relativos aos fatores de risco.
Note-se também que o considerando 90 fala de “fontes de risco

fontes” em vez de fatores de risco. Isso pode ser explicado tendo em mente
que alguns distinguem fontes de risco de fatores de risco.
Segundo a CNIL, a fonte de risco conduz a riscos porque é a fonte dos fatores
de risco enquanto tais (CNIL, 2012b, p. 7).
Finalmente, pode-se observar também o considerando 91, que especifica
ainda os critérios contidos no art. 35. (por exemplo, sistemática
33
Ou seja, categorias especiais de dados e dados relativos a crimes criminais
vitórias e ofensas.
34
Dados que “revelem a origem racial ou étnica, opiniões políticas, convicções
religiosas ou filosóficas, filiação sindical e o tratamento de dados genéticos,
dados relativos à saúde ou dados relativos à vida sexual ou condenações
criminais e delitos ou medidas de segurança conexas”
35 “Pessoas físicas vulneráveis, em particular de crianças”.
5.2. A distinção entre PIAs e DPIAs: Uma simples escolha
de objeto de risco?
Essas reflexões sobre o significado de risco no GDPR também podem ajudar
a lançar alguma luz sobre outro debate, a saber, aquele entre PIAs e DPIAs.
Certos atores do debate argumentaram a favor de avaliações de impacto de
privacidade (PIAs) em vez de DPIAs (Clarke, 2011; Wright, 2012). Eles
argumentam que o “termo 'avaliação de impacto de proteção de dados', [é] um
termo de escopo mais limitado do que uma 'avaliação de impacto de
privacidade'” (Wright, 2012, p. 57).
Influenciados pela tradição anglo-saxônica, que muitas vezes vê a proteção
de dados como um tipo de privacidade, como privacidade de informações (por
exemplo, Westin, 1967), eles argumentam que um DPIA, como consequência,
abordaria apenas questões de conformidade de proteção de dados como um
subconjunto de privacidade, deixando assim de lado preocupações mais
amplas – privacidade. Wright, por exemplo, argumentou que um impacto
Machine Translated by Google
direito da computação e revisão de segurança 34 (2018) 279–288
avaliação deve abordar pelo menos cinco “aspectos” de privacidade
(privacidade de informações pessoais, privacidade da pessoa, privacidade
comportamento pessoal, privacidade das comunicações pessoais,
e privacidade de pensamentos e sentimentos) (Wright, 2012, p. 57).36
Da mesma forma, Clarke argumentou que “Uma avaliação de impacto de
privacidade de dados é um estudo dos impactos de um projeto apenas no
privacidade de dados pessoais, enquanto um PIA considera todas as dimensões
de privacidade” (Clarke, 2011, p. 112).37
A presente contribuição tem outra perspectiva sobre este
debate e argumenta que, além das diferenças nas tradições legais (ou seja,
proteção de dados baseada na UE versus mais privacidade de dados anglo-
saxônica), a presente discussão de risco e sua
elementos constitutivos ajuda a lançar uma nova luz sobre o debate.
Como é evidente pelas citações acima, os proponentes do PIA situam o
conflito no nível dos impactos (ou
consequências ou danos): enquanto um PIA abordaria o
impactos em todos os tipos de privacidade, um DPIA abordaria apenas os
impactos na privacidade/proteção de dados, ou seja, impactos em – falta
de – conformidade com as regras de proteção de dados.38 Tendo em mente
a noção de risco como constituído de ambos os eventos e suas
consequências/impactos, pode-se observar que o que isso significa
na prática é localizar os problemas de conformidade no nível de
consequências.39 Fazer isso reduziria, assim, o escopo do
avaliação de impacto, uma vez que, ao contrário da presente análise,
exclui a possibilidade de incluir as violações do
espectro mais amplo de direitos fundamentais (ou seja, danos) dentro
o cálculo do risco. Em suma, a presente análise mostra que
a distinção entre PIAs e DPIAs não precisa necessariamente
ser enquadrado em termos de “tradições”, mas sim em termos de definições de
risco. De fato, este artigo identifica três
definições de risco (ou abordagens para DPIA), que equivalem a
três formas diferentes de articular o cumprimento dos danos (entendidos em
termos de violação de direitos fundamentais).
A primeira separa claramente o cumprimento e a avaliação de impactos em
termos de direitos fundamentais, em um esforço
respeitar o art. 29 pontos do WP no contexto do debate
abordagens baseadas em risco e baseadas em direitos (ou seja, a
uso do risco não pode levar a níveis desiguais de proteção).
A segunda, em parte devido a uma abordagem “anglo-saxônica”,
argumenta que os DPIAs localizam problemas de conformidade dentro da parte
de “consequências” do risco (em oposição à parte de consequência),
tornando assim os DPIAs de fato menos protetores do que os PIAs, uma vez que
este movimento exclui a possibilidade de levar em conta os danos
que vão além dos problemas de falta de conformidade. No entanto, pode-se
salientar que tal PIA é surpreendentemente semelhante ao primeiro
abordagem aqui identificada acima. Aliás, se um
é entender corretamente um PIA “anglo-saxão”, todos os tipos
de privacidade afetada por uma operação de processamento estão localizados no
36
Em sentido semelhante, ver também (Wright e Raab, 2014b).
37
Em um sentido semelhante, Clarke também argumentou que os DPIAs são “no máximo
uma mera Avaliação de Conformidade Legal e, na pior das hipóteses, uma
mera Avaliação de Conformidade Estatutária”, consulte http://www.rogerclarke.com/
SOS/IA-1401.html.
38
Ver, por exemplo, (Wright, 2012, p. 57): “O objetivo de uma PIA é identificar
e resolver impactos na privacidade”. Para uma discussão sobre a relevância
de ter avaliações de impacto com um escopo ainda mais amplo, veja também
(Raab e Wright, 2012).
39
Ao contrário da presente análise, que os situa no
nível do “evento”.
287
nível de consequências/impactos. No entanto, isso é exatamente o que o primeiro
abordagem faz na medida em que também localiza todos os direitos afetados
e liberdades ao nível das consequências/impactos. Nisso
sentido, avaliar os impactos em todos os tipos de privacidade é extremamente
semelhante a avaliar os riscos para todos os direitos e
liberdades afetadas por uma operação de processamento. Além disso, tal
O PIA é ainda mais semelhante a essa primeira compreensão do risco
na medida em que também separa claramente o cumprimento do
avaliação impactante. Como Wright coloca, “um PIA deve incluir
uma verificação de conformidade, mas deve ir além” (Wright, 2012,
pág. 57). Nesse sentido, tanto o PIA quanto a primeira abordagem ao DPIA
distinguir claramente entre questões de conformidade e risco. Elas
primeiro avaliar o cumprimento e, em seguida, proceder a uma avaliação dos
impactos sobre todos os direitos fundamentais
afetados (ou todas as dimensões de privacidade afetadas). A partir desta
perspectiva, vê-se muito pouca diferença entre um PIA “anglo-saxão” e o DPIA
conforme fornecido pelo GDPR.
Terceiro, a última abordagem é a apresentada no presente
contribuição. Assim como o PIA anglo-saxão e o primeiro DPIA da UE
abordagem, também localiza os direitos dos titulares de dados afetados e
liberdades ao nível das consequências. No entanto, e contrariamente a estas
duas abordagens integra também o compliance
no exercício de avaliação de impacto, ao nível dos “eventos”.
5.3. É a compreensão da noção de risco GDPR
relevantes para a realização de DPIAs?
Com base na presente descrição “baseada no risco”, pode-se
argumentam que muitos elementos constitutivos da noção de risco são
consagrado no RGPD. Ele contém o evento, as consequências e vários critérios
de risco relacionados aos fatores de risco.
No entanto, também está faltando uma série de elementos. Primeiro, ele
Pode-se argumentar que os critérios do fator de risco visam apenas a gravidade
do risco, mas não necessariamente sua probabilidade. Segundo, é
contém muito poucos critérios sobre as consequências (ou
prejudica). Isso significa que deixa a porta muito aberta, pois
como esses “riscos para os direitos e liberdades dos titulares dos dados” serão
calculados na prática. Este nível de discrição é
de acordo com o fato de que o GDPR é absolutamente omisso quanto a
a escolha da metodologia DPIA. Embora o considerando 90 exija o uso de um
método objetivo, o GDPR é omisso sobre
como realizar o exercício de análise de risco (ou seja, avaliação de risco e
gerenciamento de risco). A arte. 29 WP argumentou em um
veia semelhante em suas Diretrizes revisadas, afirmando que os controladores
de dados devem ter a opção de avaliação de impacto
metodologia em nome de uma certa flexibilidade (Art. 29 WP,
2017, pág. 17).40 Isso significa que o fator chave que determina a
tipo e nível de proteção proporcionado pela abordagem baseada em risco será
a noção de risco mobilizada na avaliação de impacto
metodologias, algo que na verdade é independente de
o RGPD. Assim, até certo ponto, a forma como o risco é definido e
entendido no GDPR é praticamente irrelevante.
40
Observe que a Comissão de Privacidade Belga emitiu alguns rascunhos
Diretrizes sobre DPIAs, e também defendeu a flexibilidade em relação
a escolha da metodologia, desde que conduza a um
e proteção credível de dados pessoais, consulte https://www
.privacycommission.be/sites/privacycommission/files/documents/
CO-AR-2016-004_FR.pdf.
Machine Translated by Google
288 direito da computação e revisão de segurança 34 (2018) 279–288
Reconhecimentos
A seção 3.3.1 é parcialmente baseada em pesquisa realizada
para o doutorado do autor, defendida em junho de 2017 na Vrije
Universiteit Brussel, e intitulada “Entendendo a abordagem
baseada em risco para proteção de dados: uma análise das
ligações entre lei, regulamentação e risco". Um rascunho anterior
deste documento foi apresentado na conferência PLSC Europe
realizada no âmbito da conferência “TILTing Perspectives 2017:
'Regulating a connect world'”. O autor deseja agradecer aos
participantes, bem como aos dois revisores anônimos por seus
úteis comentários, sugestões e observações críticas. Todos os
erros remanescentes são de responsabilidade exclusiva do autor.
BIBLIOGRAFIA
Arte. 29 WP. (1998). Opinião 1/98 Plataforma para preferências de privacidade (P3P)
e o Open Profiling Standard (OPS).
Arte. 29 WP. (2010). Parecer 3/2010 sobre o princípio da responsabilização.
Arte. 29 WP. (2013a). Parecer 03/2013 sobre limitação de finalidade.
Arte. 29 WP. (2013b). Declaração do Grupo de Trabalho sobre as discussões
em curso sobre o pacote de reforma da proteção de dados.
Arte. 29 WP. (2014). Declaração sobre o papel de uma abordagem baseada em risco em
marcos legais de proteção de dados.
Arte. 29 WP. (2017). Diretrizes revisadas sobre Avaliação de Impacto na Proteção de
Dados (DPIA) e determinando se o processamento “provavelmente resultará em
alto risco” para os fins do Regulamento 2016/679.
Arte. 29 WP & Grupo de Trabalho sobre Polícia e Justiça. (2009). O Futuro da
Privacidade: Contribuição conjunta para a Consulta da Comissão Europeia
sobre o quadro jurídico do direito fundamental à proteção de dados pessoais.
Bamberger KA, Mulligan DK. Privacidade no terreno: impulsionando o
comportamento corporativo nos Estados Unidos e na Europa.
Cambridge, Mass: The MIT Press; 2015.
Bernstein PL. Contra os Deuses – a notável história do risco.
Nova York: John Wiley & Sons, Inc; 1996.
Bieker F, Friedewald M, Hansen M, Obersteller H, Rost M. (2016).
Um processo para avaliação de impacto de proteção de dados sob o
regulamento geral europeu de proteção de dados. Em Tecnologias e Políticas de
Privacidade: 4º Fórum Anual de Privacidade, APF 2016 Frankfurt/Main, Alemanha,
7–8 de setembro de 2016, Anais (Vol. 3, pp. 1–226). https://doi.org/10.1007/978
-3-319-06749-0.
Böröcz I. Risco ao direito à proteção de dados pessoais: uma análise pelas
lentes de Hermagoras. Lei de Proteção de Dados da Eur Rev
2016;2(4):467–80. http://dx.doi.org/10.21552/EDPL/2016/4/6 .
Calo MR. Os limites do dano à privacidade. Lei Indiana J
2011;86:1131–62.
Cate FH, Mayer-Schönberger V. Uso de dados e impacto global
oficina; 2013. Disponível em: http://archive.news.indiana.edu/releases/iu/
2013/12/data-use-and-impact.shtml .
Clarke R. Uma avaliação de documentos de orientação de avaliação de impacto de
privacidade . Lei Privada de Dados Int 2011;1(2):111–20.
CNIL. (2012a). Medidas para o Tratamento do Risco de Privacidade.
CNIL. (2012b). Metodologia para gerenciamento de riscos de privacidade: como
implementar a Lei de Proteção de Dados.
CNIL. (2015). Avaliação de Impacto de Privacidade (PIA): Metodologia (como
realizar uma PIA). https://www.cnil.fr/sites/default/files/typo/document/CNIL-
PIA-1-Methodology.pdf .
Conselho da União Européia. (2013). Nota sobre a proposta de
Regulamento do Parlamento Europeu e do Conselho sobre a
proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados ( Regulamento Geral de Proteção de
Dados): 2012/0011 (COD).
DigitalEurope. (2013). Comentários da DigitalEurope sobre a Base de Risco
Abordagem.
Douglas M, Wildavsky A. Risco e cultura: um ensaio sobre a seleção de
perigos tecnológicos e ambientais.
Berkeley, Los Angeles, Londres: University of California Press; 1983.
Gellert R. Proteção de dados: uma regulação de risco? Entre o risco
gestão de tudo e a alternativa de precaução.
Lei Privada de Dados Int 2015;5(1):3–19.
Gellert R. Sempre gerenciamos riscos na lei de proteção de dados: entendendo as
semelhanças e diferenças entre as abordagens baseadas em direitos e baseadas
em risco para proteção de dados.
Lei de Proteção de Dados da Eur Rev 2016;4(2):481–92.
Godard O, Henry C, Lagadec P, Michel-Kerjan E. Traité des nouveaux
risques. Paris: Gallimard; 2002.
González Fuster G. A emergência da proteção de dados pessoais como um direito
fundamental da UE. Dordrecht: Springer; 2014.
ISO. (2009). ISO: 31000 Gestão de riscos – Princípios e diretrizes.
Macenaite M. A “Riscoificação” da Proteção de Dados Europeia
Lei através de uma mudança dupla. Eur J Risk Regul 2017;8(3):506– 40. http://
dx.doi.org/10.1017/err.2017.40.
Perri 6. O futuro da privacidade. In: Vida privada e políticas públicas, vol. 1.
Londres: Demonstrações; 1998.
Power M. Incerteza organizada: projetando um mundo de gerenciamento de
risco. Oxford: Oxford University Press; 2007.
Quelle C. 2015). A avaliação do impacto da proteção de dados: o que pode contribuir
para a proteção de dados? http://arno.uvt.nl/show.cgi?fid
=139503.
Quelle C. A “revolução do risco” na lei de proteção de dados da UE: nós
não pode ter nosso bolo e comê-lo também. In: Leenes R, van Brakel R, Gutwirth
S, De Hert P, editores. Proteção de dados e privacidade: a era das máquinas
inteligentes. Editora Hart; 2017 Disponível em: https://ssrn.com/abstract=3000382.
Raab CD, Wright D. Vigilância: estendendo os limites da avaliação do impacto na
privacidade. In: Wright D, De Hert P, editores. Avaliação do impacto na
privacidade . Dordrecht: Springer; 2012. pág. 363-83.
Robinson N, Graux H, Botterman M, Valeri L. 2009). Revisão da Diretiva Europeia de
Proteção de Dados. Relatório Técnico da Rand Europa .
Pardal MK. O caráter dos danos. Cambridge, Reino Unido: Cambridge
Jornal universitário; 2008.
Pesquisa e Consultoria Trilateral. (2013). Impacto na privacidade
avaliação e gestão de risco – relatório para o Gabinete do Comissário de
Informação.
Warner F. Introdução. In: The Royal Society, editor. Risco:
análise, percepção e gestão – um relatório de um grupo de estudos da
sociedade real. Londres: The Royal Society; 1992. pág. 1-12.
Westin A. 1967). Privacidade e Liberdade. Nova York: Atheneum.
Fórum Econômico Mundial. (2014). Repensando os dados pessoais: uma nova
lente para fortalecer a confiança. Disponível em : http://www3.weforum.org/
docs/WEF_RethinkingPersonalData_ANewLens_Report_2014.pdf .
Wright D. O estado da arte em avaliação de impacto de privacidade.
Comput Law Secur Rev 2012;28(1):54–61. https://dx.doi.org/ 10.1016/
j.clsr.2011.11.007.
Wright D, Raab C. Princípios de privacidade, riscos e danos. Int Rev Law Comput
Tech 2014b;28(3):1–22.
Wright D, Kroener I, Lagazio M, Friedewald M, Hallinan D,
Langheinrich M, et ai. (2014a). Avaliação de Impacto de Vigilância
Manual.
Wright D, Friedewald M, Gellert R. Desenvolvendo e testando um
metodologia de avaliação do impacto da vigilância. Lei Privada de Dados Int
2015;5(1):40–53.