Escolar Documentos
Profissional Documentos
Cultura Documentos
ScienceDirect
www.compseconline.com/publications/prodclaw.htm
Rafael Gellert *
Instituto de Direito, Tecnologia e Sociedade de Tilburg (TILT), Universidade de Tilburg, Holanda
ABSTRATO
Palavras-chave: O objetivo desta contribuição é compreender a noção de risco tal como está consagrada no Regulamento Geral de
Risco Proteção de Dados (RGPD), com particular no art. 35 que prevê a obrigação de realizar avaliações de impacto na
GDPR proteção de dados (DPIAs), a primeira ferramenta de gestão de risco a ser consagrada na legislação de proteção de
Proteção de dados e impacto na privacidade dados da UE e que, portanto, contém uma série de elementos-chave para compreender a noção. A adoção dessa
Assessments abordagem baseada em risco não ocorreu sem uma série de debates e controvérsias, principalmente sobre o alcance
e o significado da abordagem baseada em risco. No entanto, o que permaneceu atualizado fora do debate é a própria
noção de risco, que sustenta toda a abordagem baseada em risco. A contribuição usa as noções de risco e análise de
risco como ferramentas para descrever e entender o risco no GDPR. Uma das principais conclusões é que o risco do
GDPR é sobre “risco de conformidade” (ou seja, quanto menor a conformidade, maiores as consequências sobre os
direitos dos titulares dos dados). Essa postura está em contradição direta com várias posições que defendem uma
separação entre questões de conformidade e risco. Esta contribuição vê, em vez disso, questões de conformidade e
risco para os direitos e liberdades dos titulares de dados como profundamente interconectados. A conclusão usará
essas discussões como base para abordar o debate de longa data sobre as diferenças entre avaliações de impacto na
privacidade (PIAs) e DPIAs. Eles também alertarão para o fato de que, em última análise, a forma como o risco é
definido no GDPR é um tanto irrelevante: o que mais importa é a metodologia usada e o tipo de risco em ação.
© 2017 Raphaël Gellert. Publicado por Elsevier Ltd. Todos os direitos reservados.
2
Ver (Conselho da União Europeia, 2013); e (DigitalEurope, 2013, p. 1): “A abordagem baseada no risco como meio de melhorar os dados
regulamento de proteção foi amplamente debatido no Conselho”. https://doi.org/
10.1016/j.clsr.2017.12.003 0267-3649/© 2017 Raphaël Gellert. Publicado por
Elsevier Ltd. Todos os direitos reservados.
Machine Translated by Google
sobre o escopo e o significado da abordagem baseada em risco.3 O A conclusão usará essas discussões como base para
O próprio Grupo de Trabalho do Artigo 29º se pronunciou sobre o debate, abordar o debate de longa data sobre as diferenças entre
esclarecendo o escopo da abordagem baseada em risco (Art. 29 WP, avaliações de impacto na privacidade (PIAs) e DPIAs. Eles também vão
2013b, 2014) e, mais recentemente, com Diretrizes revisadas sobre advertir contra o fato de que, em última análise, a forma como o risco é definido
DPIAs (Art. 29 WP, 2017). no GDPR é um tanto irrelevante: o que mais importa é a
No entanto, o que ficou até agora fora do debate é a própria metodologia utilizada e o tipo de risco que nela atua.
noção de risco em si, que sustenta toda a
abordagem.
A incerteza em torno do significado do risco no
O GDPR é provavelmente melhor sintetizado pelo Art. 35 em si. Arte. 35(1) 2. Definição de risco e do seu constitutivo
dispõe que: elementos
“Onde um tipo de processamento (. . .) pode resultar em alto risco 2.1. Definição de risco
aos direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve,
antes do processamento, faça uma avaliação do impacto (. . .) Em poucas palavras, pode-se argumentar que o risco pode ter dois significados
sobre a proteção de dados pessoais.”4 – um vernacular e outro mais técnico. No
No sentido vernáculo, risco é usualmente referido como perigo futuro, possível,
Como se pode ver, parece haver uma contradição em relação a qual é o ou seja, como “um perigo eventual que pode ser previsto
objeto da avaliação de impacto em primeiro lugar. apenas até certo ponto” (Godard et al., 2002, p. 12). No entanto, em um
O que deve ser avaliado? O provável alto risco para os direitos e liberdades sentido técnico, o risco pode ser visto como uma noção dupla. Isso é
do titular dos dados, ou o impacto na proteção de usado para a tomada de decisão com base na avaliação de futuros
dados pessoais?5 E como é que ambos parecem estar ligados na definição eventos. Seus elementos constitutivos são duas operações distintas, mas
de uma avaliação de impacto? unidas: a previsão de eventos futuros (tanto negativos quanto positivos)
Essa falta de clareza em torno da noção de risco também pode e tomar decisões com base nisso.8 Pode-se, portanto, argumentar que
ser visível em várias metodologias de avaliação de impacto 'qualquer decisão relativa ao risco envolve duas
que serão examinados ao longo do presente trabalho, e que e ainda elementos inseparáveis: os fatos objetivos e uma visão subjetiva sobre
mobilizar noções divergentes de risco. a conveniência do que deve ser obtido, ou
Para tanto, começa por definir a noção de risco, de perder, pela decisão'.9
análise de risco (como o processo para usar concretamente a noção de
risco), e seus respectivos elementos constitutivos. Estes irão em
2.2. Risco e análise de risco
por sua vez, ser utilizados como ferramentas de descrição da noção de risco
consagrada no RGPD.
No entanto, o risco continua a ser uma noção abstrata que precisa de
De particular importância, é o fato de que o risco é composto
metodologias, modelos e processos que implementem concretamente
de um evento e suas consequências. Esta propriedade de risco
isso.10 Este é o papel da análise de risco (também às vezes referida
será fundamental para lançar alguma luz sobre a noção de GDPR
como gestão de risco).11 Espelhando a dimensão dupla
risco. Ao enquadrar o risco como composto por um evento e suas
de risco, a análise de risco é composta por duas etapas: avaliação de risco e
consequências, pode-se entender o risco do GDPR como sendo sobre
gestão de risco. A avaliação de risco mede a
“risco de conformidade”, sendo a falta de conformidade o “evento”,
nível de risco (em termos de probabilidade e gravidade), enquanto o ponto
e os riscos para os direitos e liberdades dos titulares dos dados
de gestão de risco é decidir se deve ou não tomar o
a consequência (ou seja, quanto menor a conformidade, maior a
risco.12 A decisão ao nível da gestão de risco é normalmente acompanhada
consequências sobre os direitos dos titulares dos dados). Essa postura é
de medidas que visam reduzir o nível de risco:
em contradição direta com uma série de metodologias DPIA
às vezes o nível de risco é muito alto, mas pode ser reduzido a
bem como o art. 29 documentos WP,6 que defendem uma separação estrita
um nível aceitável. Essas medidas podem ser chamadas de riscos
entre questões de conformidade e risco: cálculos de risco
redução, controle de risco, resposta ao risco ou, mais geralmente, risco
só pode vir em cima das obrigações de conformidade cumpridas. Será
medidas de mitigação.13 É comumente aceito que é impossível reduzir os
argumentam a favor da integração da conformidade dentro do processo de
riscos a um nível zero.14 Portanto, todo o ponto
avaliação de risco (ou seja, a conformidade já é uma questão de
risco) prestando atenção aos outros objetivos do
8
(Bernstein, 1996, p. 3). Sobre o fato de que um risco pode se referir tanto a
abordagem (proteção escalável no solo), e pelo fato
que os demais elementos de risco contidos no art. 35 GDPR
eventos positivos e negativos ocorrendo, veja (Douglas e Wildavsky,
1983).
(nomeadamente os chamados critérios de risco) também parecem apontar para este 9
(Bernstein, 1996, p. 100). Observe que a ISO define risco como o
solução.7
“efeito da incerteza sobre os objetivos” (2009, p. 1). Ver também a definição
dada pelo art. 29 WP e definindo risco como “um cenário
descrevendo um evento e suas consequências, estimadas em termos de
3
Sobre essas discussões, ver (Gellert, 2016; Macenaite, 2017). gravidade e probabilidade” (Art. 29 WP, 2017, p. 6).
4 10
Destaque do autor. (Poder, 2007, p. 12).
5 11
Para uma linha de raciocínio semelhante, ver (Quelle, 2015, sec. 2.5). Não deve ser confundido com a etapa de gerenciamento de risco como tal, consulte
6 Esses documentos serão discutidos infra, veja outros (Art. 29 WP, aqui abaixo.
12
2014; Arte. 29 WP, 2017). (Warner, 1992, p. 5).
7 13
Sobre os objetivos da abordagem baseada em risco, ver infra, (ISO, 2009, p. 6).
seção 3.3.2. 14
Ver, por exemplo, (Gellert, 2015, p. 15).
Machine Translated by Google
da etapa de gerenciamento de risco é determinar se o nível negligenciado no debate sobre DPIAs, e será crucial na
de risco é suficientemente baixo para que possa ser tomado. entender a maneira como o GDPR desdobra sua
De acordo com essas definições, a Organização Internacional para compreensão do risco. Esta definição é consistente com aquela
Padronização (ISO) em suas Diretrizes de 2009 sobre riscos fornecido pela ISO, que também abraça esta distinção
a gestão faz a distinção básica entre a avaliação dos riscos e a sua gestão entre eventos e consequências, estabelecendo que “o risco é
(2009, p. 4). No entanto, e muitas vezes caracterizado por referência a eventos potenciais (2.17)
crucialmente, ele divide a etapa de avaliação de risco em uma série de e consequências (2.18), ou uma combinação destes” (ISO, 2009,
subetapas: os critérios de risco, a identificação do risco e a pág. 1).
2.3. Os elementos constitutivos do risco 3.1. Acontecimentos e consequências: Dois elementos constitutivos
de risco como forma de resolver a ambiguidade do art. 35, e o
As linhas anteriores forneceram uma definição de risco, e de surgimento da noção de um “risco de conformidade”
as diferentes etapas da análise de risco, que é o processo necessário para
usar o risco. No entanto, para mapear e Voltando à definição de risco no GDPR, a definição de risco fornecida acima
entender a noção de risco no GDPR, um último elemento é pode ser de alguma ajuda?
necessários, a saber, os elementos constitutivos do próprio risco. Como lembrete, o art. 35(1) dispõe que:
Uma maneira útil de apreender esses elementos constitutivos é
atendendo à definição fornecida pelo artigo 29.º “Onde um tipo de processamento (. . .) pode resultar em alto risco
Parte (Art. 29 WP), em suas diretrizes revisadas recentemente publicadas aos direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve,
sobre avaliações de impacto na proteção de dados (DPIAs). De acordo, antes do processamento, faça uma avaliação do impacto (. . .)
risco pode ser definido como “um cenário que descreve um evento e sobre a proteção de dados pessoais.”17
suas consequências, estimadas em termos de gravidade e probabilidade” (Art.
29 WP, 2017, p. 6). Nesse momento da análise, um Em vez de ver uma ambiguidade e uma contradição (ou seja, riscos
já podemos colocar muita ênfase na distinção entre aos direitos e liberdades ou impactos na proteção de dados pessoais), pode-
o evento como tal e suas consequências. É aquele que é principalmente se argumentar que essa definição realmente vem
como confirmação da definição de risco aqui apresentada,
15 sendo um cenário que inclui um evento e suas consequências. este
Ver também (Wright e Raab, 2014b; Wright et al., 2014a, p. 28;
Wright et al., 2015, p. 50). é assim, porque assim como o risco, o GDPR também parece combinar
16
Como se verá infra, a noção de danos não é explicitamente definida dois elementos distintos na sua definição de risco. A seguir
no GDPR, e a presente contribuição tentará avançar um questão então é, desde que esta suposição esteja correta, o que
interpretação possível. Deve-se notar que a questão do que elemento do art. 35 definição é o evento, e qual
constitui um dano tem sido discutido há muito tempo na literatura de é a consequência?
gerenciamento de risco (ver, por exemplo, Sparrow, 2008), bem como na privacidade
literatura (Perri 6, 1998; Böröcz, 2016; Calo, 2011; Trilateral Research
17
e Consultoria, 2013; Wright e Raab, 2014b). Destaque do autor.
Machine Translated by Google
Em sua “declaração sobre o papel de uma abordagem baseada em risco em dados No entanto, como será demonstrado, pode encontrar respaldo na
marcos legais de proteção”, o art. 29 WP fornece algumas indicações. Refere- O próprio GDPR, em pelo menos uma metodologia DPIA, bem como na
se a riscos, “que estão relacionados a potenciais lógica da própria abordagem baseada no risco. A contribuição será
impacto negativo nos direitos, liberdades e interesses do titular dos dados” (Art. portanto, examine essas opiniões divergentes, antes de justificar
29 WP, 2014, p. 4). Segue argumentando que esses sua postura.
apresentado erroneamente como uma alternativa aos direitos e princípios de 3.2.3. Bieker et ai.
proteção de dados bem estabelecidos” (Art. 29 WP, 2014, p. 2). Outra metodologia que faz uma clara distinção é a desenvolvida por Bieker
Esta exigência de fornecer um nível uniforme de conformidade, et al. (2016). Esta metodologia baseia-se explicitamente no art. 29 declaração
consistente com a natureza baseada em direitos da proteção de dados, foi de WP para justificar a distinção. Argumenta que “o Grupo de Trabalho
tomada como um argumento a favor de uma separação estrita entre questões enfatizou que, em relação aos requisitos legais, o cumprimento não poderia
de conformidade e questões de risco. Ou seja, que a conformidade total ser opcional e que nenhum poder discricionário poderia ser concedido à
(legal) com o GDPR sempre deve ocorrer, e os cálculos de risco devem vir organização em nenhuma circunstância. Essas demandas podem ser vistas
apenas em cima disso. Parece que esta declaração do Grupo de Trabalho como requisitos mínimos” (Bieker et al., 2016, p. 22). Essa metodologia faz
influenciou várias metodologias de DPIA. duas coisas. Primeiro, em vez de “evento” ou “evento temido” refere-se a
“objetivos de proteção” (Bieker et al., 2016, p. 29).
24
De uma forma muito tradicional, esses princípios incluem “propósito
3.3. A favor do “risco de conformidade”
específico, explícito e legítimo; dados adequados, relevantes e não
excessivos; informações claras e completas aos titulares dos dados;
período de retenção limitado; o direito de oposição, acesso, retificação e As linhas a seguir discutirão por que faz sentido integrar questões de
eliminação, etc.” (CNIL, 2015, p. 7). conformidade ao processo de análise de risco.
Machine Translated by Google
3.3.1. Argumentos a favor podem ser encontrados na pronto para tomar. Nesse sentido, é menos uma questão de “sim ou não”,
mesma afirmação do art. 29 WP: “Proteção no terreno” do que uma questão de “quanto”. O risco é, portanto, escalável e
35.1 pode ser interpretado: um risco alto provável sinaliza um nível de a articulação entre os riscos para os direitos dos titulares dos dados
conformidade muito baixa. Em suma, a própria lógica da abordagem baseada e liberdades e conformidade está em causa. Ele fornece que
no risco, como forma de melhorar a conformidade, parece também “A proteção dos direitos e liberdades das pessoas naturais
para favorecer a solução integrando conformidade e consequências em um exigir que medidas técnicas e organizacionais apropriadas sejam tomadas
único cálculo de risco.30 [para] garantir que os requisitos de
presente regulamento sejam cumpridos.” Esta frase defende perfeitamente a
3.3.2. Um exemplo: A metodologia CNIL 2012 lógica do argumento aqui apresentado: abordar os riscos
Para apoiar a presente reivindicação de integração da conformidade no aos direitos e liberdades dos titulares dos dados influencia diretamente
processo de análise de risco, pode-se encontrar suporte em o nível de cumprimento. Isso mostra bem que a conformidade é uma
a metodologia anterior CNIL 2012 (CNIL, 2012b). elemento integrante do exercício de análise de risco.32
Nesta metodologia, o CNIL assenta claramente num “risco de conformidade”, Segundo – e como será discutido abaixo, todo o risco
na medida em que o evento que origina o impacto negativo os factores aí consagrados dizem respeito ao cumprimento, implicando
sobre os direitos fundamentais dos titulares dos dados consiste na implicitamente que faz parte do cálculo do risco.
considerados como fatores de risco na medida em que determinarão quão monitoramento de uma área de acesso público em grande escala usando
provável e/ou grave é o risco. dispositivos óptico-eletrônicos).
A próxima disposição importante do art. 35 é o art. 35.3, que, conforme Em resumo, com exceção do considerando 75 e de uma linha do art.
confirmado pelo art. 29 WP, contém uma lista indicativa de critérios de risco 35.3(a), que contém critérios de risco relativos aos riscos reais aos direitos e
(ver Art. 29 WP, 2017, pp. 8–13). liberdades dos titulares de dados (ou seja, danos que consistem em violações
Arte. 35.3(a) contém vários critérios para fatores de risco. destes), todos os outros critérios de risco contidos no GDPR estão relacionados
Alguns dizem respeito ao tipo de operação de processamento (uma avaliação a questões de conformidade. dá peso adicional à presente análise, vendo a
sistemática e extensiva de aspectos pessoais com base no processamento conformidade no centro da noção de risco operacionalizada pelo GDPR.
automatizado). Contém ainda um critério de risco para a consequência, quando
as operações de tratamento produzam efeitos jurídicos que “afetem
significativamente” o titular dos dados.
Arte. 35.3(b) contém critérios de risco relativos a outro fator de risco,
relativos ao tipo de dados utilizados, nomeadamente dados sensíveis como os 5. Conclusões: A noção de risco no
referidos no art. 9.1, bem como o art. 10 GDPR.33 Finalmente, art. 35.3(c) GDPR, a diferença entre PIAs e DPIAs e a
contém outro critério relativo a um fator de risco também pertinente ao tipo de relevância dos presentes achados
operação de processamento, a saber, o monitoramento sistemático de
uma área de acesso público em grande escala.
5.1. Usando o risco como um dispositivo descritivo
Esta contribuição tentou mapear a noção de risco tal como está consagrada
no RGPD.
Resumindo, pode-se argumentar que o art. 35 contém os seguintes
Utilizou-se os elementos constitutivos de risco e análise de risco como
fatores de risco. A maioria deles está relacionada ao evento (ou seja, tipo de
ferramenta descritiva. De particular importância é o fato mais negligenciado de
operação de processamento): tipo de processamento; nova tecnologia e; tipo
que o risco é composto não apenas de impactos (ou consequências, também
de dados. Dependendo da metodologia específica de análise de risco, esses
conhecidos como danos quando são negativos), mas também de eventos.
são fatores que levarão a maiores chances e/ou gravidade do evento. Apenas
Essa dupla composição de risco é usada para analisar a noção de risco no
uma diz respeito às consequências: efeitos jurídicos que “afectam
GDPR e discutir a maneira como várias metodologias DPIA avaliaram esse
significativamente” o titular dos dados.
risco GDPR. Mais particularmente, discutiu duas abordagens diferentes para
Procurando critérios de risco adicionais, pode-se
atenção aos considerandos do GDPR. definir o risco GDPR. Um mantém os problemas de conformidade fora do
processo de análise de risco. Tal abordagem encontra respaldo em várias
O considerando 75 reveste-se de particular importância. Ele contém vários
metodologias DPIA e em alguns Art. 29 Documentos do WP e suas Diretrizes
critérios de risco relativos às consequências. Refere-se ao “tratamento de
DPIA 2017. A outra abordagem, defendida na presente contribuição, defende
dados que pode levar a danos físicos, materiais ou não materiais”. Esses
que o compliance deve ser integrado diretamente no processo de análise de
danos materiais e morais incluem discriminação, roubo ou fraude de identidade,
risco (como o “evento”), na medida em que é a única maneira possível de
perdas financeiras, danos à reputação, perda de confidencialidade, reversão
alcançar uma série de objetivos adicionais associados à análise de risco
não autorizada de pseudonimização ou qualquer outra desvantagem econômica
baseada em risco. abordagem (protecção no terreno e escalabilidade das
ou social significativa. Em seguida, ensaia critérios de risco relativos aos
obrigações de cumprimento).
fatores de risco relacionados ao tipo de dados processados.34 Fornece critérios
relativos ao fator de risco relacionado aos tipos de titulares de dados35 e
termina com critérios de risco relativos ao fator de risco relacionado à escala
De fato, o uso desses elementos constitutivos duplos de risco (ou seja,
do processamento operação (quantidade de dados e quantidade de titulares
evento e consequências) também pode lançar alguma luz sobre outro debate
de dados).
– a saber, sobre a distinção entre avaliações de impacto de privacidade (PIAs)
e dados proteção (DPIA).
O considerando 89 reitera a utilização de novas tecnologias como um risco
critérios relativos aos fatores de risco.
Note-se também que o considerando 90 fala de “fontes de risco
fontes” em vez de fatores de risco. Isso pode ser explicado tendo em mente 5.2. A distinção entre PIAs e DPIAs: Uma simples escolha
que alguns distinguem fontes de risco de fatores de risco. de objeto de risco?
Segundo a CNIL, a fonte de risco conduz a riscos porque é a fonte dos fatores
de risco enquanto tais (CNIL, 2012b, p. 7). Essas reflexões sobre o significado de risco no GDPR também podem ajudar
Finalmente, pode-se observar também o considerando 91, que especifica a lançar alguma luz sobre outro debate, a saber, aquele entre PIAs e DPIAs.
ainda os critérios contidos no art. 35. (por exemplo, sistemática Certos atores do debate argumentaram a favor de avaliações de impacto de
privacidade (PIAs) em vez de DPIAs (Clarke, 2011; Wright, 2012). Eles
argumentam que o “termo 'avaliação de impacto de proteção de dados', [é] um
termo de escopo mais limitado do que uma 'avaliação de impacto de
33
Ou seja, categorias especiais de dados e dados relativos a crimes criminais privacidade'” (Wright, 2012, p. 57).
vitórias e ofensas. Influenciados pela tradição anglo-saxônica, que muitas vezes vê a proteção
34
Dados que “revelem a origem racial ou étnica, opiniões políticas, convicções de dados como um tipo de privacidade, como privacidade de informações (por
religiosas ou filosóficas, filiação sindical e o tratamento de dados genéticos,
exemplo, Westin, 1967), eles argumentam que um DPIA, como consequência,
dados relativos à saúde ou dados relativos à vida sexual ou condenações
abordaria apenas questões de conformidade de proteção de dados como um
criminais e delitos ou medidas de segurança conexas”
subconjunto de privacidade, deixando assim de lado preocupações mais
35 “Pessoas físicas vulneráveis, em particular de crianças”. amplas – privacidade. Wright, por exemplo, argumentou que um impacto
Machine Translated by Google
avaliação deve abordar pelo menos cinco “aspectos” de privacidade nível de consequências/impactos. No entanto, isso é exatamente o que o primeiro
(privacidade de informações pessoais, privacidade da pessoa, privacidade abordagem faz na medida em que também localiza todos os direitos afetados
comportamento pessoal, privacidade das comunicações pessoais, e liberdades ao nível das consequências/impactos. Nisso
e privacidade de pensamentos e sentimentos) (Wright, 2012, p. 57).36 sentido, avaliar os impactos em todos os tipos de privacidade é extremamente
Da mesma forma, Clarke argumentou que “Uma avaliação de impacto de semelhante a avaliar os riscos para todos os direitos e
privacidade de dados é um estudo dos impactos de um projeto apenas no liberdades afetadas por uma operação de processamento. Além disso, tal
privacidade de dados pessoais, enquanto um PIA considera todas as dimensões O PIA é ainda mais semelhante a essa primeira compreensão do risco
de privacidade” (Clarke, 2011, p. 112).37 na medida em que também separa claramente o cumprimento do
A presente contribuição tem outra perspectiva sobre este avaliação impactante. Como Wright coloca, “um PIA deve incluir
debate e argumenta que, além das diferenças nas tradições legais (ou seja, uma verificação de conformidade, mas deve ir além” (Wright, 2012,
proteção de dados baseada na UE versus mais privacidade de dados anglo- pág. 57). Nesse sentido, tanto o PIA quanto a primeira abordagem ao DPIA
saxônica), a presente discussão de risco e sua distinguir claramente entre questões de conformidade e risco. Elas
elementos constitutivos ajuda a lançar uma nova luz sobre o debate. primeiro avaliar o cumprimento e, em seguida, proceder a uma avaliação dos
Como é evidente pelas citações acima, os proponentes do PIA situam o impactos sobre todos os direitos fundamentais
conflito no nível dos impactos (ou afetados (ou todas as dimensões de privacidade afetadas). A partir desta
consequências ou danos): enquanto um PIA abordaria o perspectiva, vê-se muito pouca diferença entre um PIA “anglo-saxão” e o DPIA
impactos em todos os tipos de privacidade, um DPIA abordaria apenas os conforme fornecido pelo GDPR.
impactos na privacidade/proteção de dados, ou seja, impactos em – falta Terceiro, a última abordagem é a apresentada no presente
de – conformidade com as regras de proteção de dados.38 Tendo em mente contribuição. Assim como o PIA anglo-saxão e o primeiro DPIA da UE
a noção de risco como constituído de ambos os eventos e suas abordagem, também localiza os direitos dos titulares de dados afetados e
consequências/impactos, pode-se observar que o que isso significa liberdades ao nível das consequências. No entanto, e contrariamente a estas
na prática é localizar os problemas de conformidade no nível de duas abordagens integra também o compliance
consequências.39 Fazer isso reduziria, assim, o escopo do no exercício de avaliação de impacto, ao nível dos “eventos”.
avaliação de impacto, uma vez que, ao contrário da presente análise,
exclui a possibilidade de incluir as violações do
espectro mais amplo de direitos fundamentais (ou seja, danos) dentro 5.3. É a compreensão da noção de risco GDPR
o cálculo do risco. Em suma, a presente análise mostra que relevantes para a realização de DPIAs?
a distinção entre PIAs e DPIAs não precisa necessariamente
ser enquadrado em termos de “tradições”, mas sim em termos de definições de Com base na presente descrição “baseada no risco”, pode-se
risco. De fato, este artigo identifica três argumentam que muitos elementos constitutivos da noção de risco são
definições de risco (ou abordagens para DPIA), que equivalem a consagrado no RGPD. Ele contém o evento, as consequências e vários critérios
três formas diferentes de articular o cumprimento dos danos (entendidos em de risco relacionados aos fatores de risco.
termos de violação de direitos fundamentais). No entanto, também está faltando uma série de elementos. Primeiro, ele
A primeira separa claramente o cumprimento e a avaliação de impactos em Pode-se argumentar que os critérios do fator de risco visam apenas a gravidade
termos de direitos fundamentais, em um esforço do risco, mas não necessariamente sua probabilidade. Segundo, é
respeitar o art. 29 pontos do WP no contexto do debate contém muito poucos critérios sobre as consequências (ou
abordagens baseadas em risco e baseadas em direitos (ou seja, a prejudica). Isso significa que deixa a porta muito aberta, pois
uso do risco não pode levar a níveis desiguais de proteção). como esses “riscos para os direitos e liberdades dos titulares dos dados” serão
A segunda, em parte devido a uma abordagem “anglo-saxônica”, calculados na prática. Este nível de discrição é
argumenta que os DPIAs localizam problemas de conformidade dentro da parte de acordo com o fato de que o GDPR é absolutamente omisso quanto a
de “consequências” do risco (em oposição à parte de consequência), a escolha da metodologia DPIA. Embora o considerando 90 exija o uso de um
tornando assim os DPIAs de fato menos protetores do que os PIAs, uma vez que método objetivo, o GDPR é omisso sobre
este movimento exclui a possibilidade de levar em conta os danos como realizar o exercício de análise de risco (ou seja, avaliação de risco e
que vão além dos problemas de falta de conformidade. No entanto, pode-se gerenciamento de risco). A arte. 29 WP argumentou em um
salientar que tal PIA é surpreendentemente semelhante ao primeiro veia semelhante em suas Diretrizes revisadas, afirmando que os controladores
abordagem aqui identificada acima. Aliás, se um de dados devem ter a opção de avaliação de impacto
é entender corretamente um PIA “anglo-saxão”, todos os tipos metodologia em nome de uma certa flexibilidade (Art. 29 WP,
de privacidade afetada por uma operação de processamento estão localizados no 2017, pág. 17).40 Isso significa que o fator chave que determina a
tipo e nível de proteção proporcionado pela abordagem baseada em risco será
a noção de risco mobilizada na avaliação de impacto
36 metodologias, algo que na verdade é independente de
Em sentido semelhante, ver também (Wright e Raab, 2014b).
37
Em um sentido semelhante, Clarke também argumentou que os DPIAs são “no máximo o RGPD. Assim, até certo ponto, a forma como o risco é definido e
uma mera Avaliação de Conformidade Legal e, na pior das hipóteses, uma entendido no GDPR é praticamente irrelevante.
mera Avaliação de Conformidade Estatutária”, consulte http://www.rogerclarke.com/
SOS/IA-1401.html.
38 40
Ver, por exemplo, (Wright, 2012, p. 57): “O objetivo de uma PIA é identificar Observe que a Comissão de Privacidade Belga emitiu alguns rascunhos
e resolver impactos na privacidade”. Para uma discussão sobre a relevância Diretrizes sobre DPIAs, e também defendeu a flexibilidade em relação
de ter avaliações de impacto com um escopo ainda mais amplo, veja também a escolha da metodologia, desde que conduza a um
(Raab e Wright, 2012). e proteção credível de dados pessoais, consulte https://www
39
Ao contrário da presente análise, que os situa no .privacycommission.be/sites/privacycommission/files/documents/
nível do “evento”. CO-AR-2016-004_FR.pdf.
Machine Translated by Google
Arte. 29 WP. (1998). Opinião 1/98 Plataforma para preferências de privacidade (P3P)
e o Open Profiling Standard (OPS). Macenaite M. A “Riscoificação” da Proteção de Dados Europeia
Arte. 29 WP. (2010). Parecer 3/2010 sobre o princípio da responsabilização. Lei através de uma mudança dupla. Eur J Risk Regul 2017;8(3):506– 40. http://
Arte. 29 WP. (2013b). Declaração do Grupo de Trabalho sobre as discussões Perri 6. O futuro da privacidade. In: Vida privada e políticas públicas, vol. 1.
Londres: Demonstrações; 1998.
em curso sobre o pacote de reforma da proteção de dados.
Arte. 29 WP. (2014). Declaração sobre o papel de uma abordagem baseada em risco em Power M. Incerteza organizada: projetando um mundo de gerenciamento de
marcos legais de proteção de dados. risco. Oxford: Oxford University Press; 2007.
Arte. 29 WP. (2017). Diretrizes revisadas sobre Avaliação de Impacto na Proteção de Quelle C. 2015). A avaliação do impacto da proteção de dados: o que pode contribuir
Dados (DPIA) e determinando se o processamento “provavelmente resultará em para a proteção de dados? http://arno.uvt.nl/show.cgi?fid
=139503.
alto risco” para os fins do Regulamento 2016/679.
Quelle C. A “revolução do risco” na lei de proteção de dados da UE: nós
não pode ter nosso bolo e comê-lo também. In: Leenes R, van Brakel R, Gutwirth
Arte. 29 WP & Grupo de Trabalho sobre Polícia e Justiça. (2009). O Futuro da
Privacidade: Contribuição conjunta para a Consulta da Comissão Europeia S, De Hert P, editores. Proteção de dados e privacidade: a era das máquinas
sobre o quadro jurídico do direito fundamental à proteção de dados pessoais. inteligentes. Editora Hart; 2017 Disponível em: https://ssrn.com/abstract=3000382.
Bamberger KA, Mulligan DK. Privacidade no terreno: impulsionando o Raab CD, Wright D. Vigilância: estendendo os limites da avaliação do impacto na
comportamento corporativo nos Estados Unidos e na Europa. privacidade. In: Wright D, De Hert P, editores. Avaliação do impacto na
Cambridge, Mass: The MIT Press; 2015. privacidade . Dordrecht: Springer; 2012. pág. 363-83.
Bernstein PL. Contra os Deuses – a notável história do risco. Robinson N, Graux H, Botterman M, Valeri L. 2009). Revisão da Diretiva Europeia de
Nova York: John Wiley & Sons, Inc; 1996. Proteção de Dados. Relatório Técnico da Rand Europa .
regulamento geral europeu de proteção de dados. Em Tecnologias e Políticas de Jornal universitário; 2008.
Privacidade: 4º Fórum Anual de Privacidade, APF 2016 Frankfurt/Main, Alemanha, Pesquisa e Consultoria Trilateral. (2013). Impacto na privacidade
7–8 de setembro de 2016, Anais (Vol. 3, pp. 1–226). https://doi.org/10.1007/978 avaliação e gestão de risco – relatório para o Gabinete do Comissário de
Informação.
-3-319-06749-0. Warner F. Introdução. In: The Royal Society, editor. Risco:
Böröcz I. Risco ao direito à proteção de dados pessoais: uma análise pelas análise, percepção e gestão – um relatório de um grupo de estudos da
lentes de Hermagoras. Lei de Proteção de Dados da Eur Rev sociedade real. Londres: The Royal Society; 1992. pág. 1-12.
2016;2(4):467–80. http://dx.doi.org/10.21552/EDPL/2016/4/6 .
Westin A. 1967). Privacidade e Liberdade. Nova York: Atheneum.
Calo MR. Os limites do dano à privacidade. Lei Indiana J Fórum Econômico Mundial. (2014). Repensando os dados pessoais: uma nova
2011;86:1131–62. lente para fortalecer a confiança. Disponível em : http://www3.weforum.org/
Clarke R. Uma avaliação de documentos de orientação de avaliação de impacto de Comput Law Secur Rev 2012;28(1):54–61. https://dx.doi.org/ 10.1016/
CNIL. (2012a). Medidas para o Tratamento do Risco de Privacidade. Wright D, Raab C. Princípios de privacidade, riscos e danos. Int Rev Law Comput
CNIL. (2012b). Metodologia para gerenciamento de riscos de privacidade: como Tech 2014b;28(3):1–22.
CNIL. (2015). Avaliação de Impacto de Privacidade (PIA): Metodologia (como Langheinrich M, et ai. (2014a). Avaliação de Impacto de Vigilância
Manual.
realizar uma PIA). https://www.cnil.fr/sites/default/files/typo/document/CNIL-
PIA-1-Methodology.pdf . Wright D, Friedewald M, Gellert R. Desenvolvendo e testando um
Conselho da União Européia. (2013). Nota sobre a proposta de metodologia de avaliação do impacto da vigilância. Lei Privada de Dados Int