Avaliação de Impacto de Privacidade de Dados

[modelo real de DPIA]

A Avaliação de Impacto sobre a Proteção de Dados Pessoais (AIPD) é uma ferramenta que
permite avaliar antecipadamente quais são os riscos potenciais aos quais os dados pessoais são
expostos com base nas atividades de tratamento realizadas com eles. Na prática, o AIPD permite
determinar o nível de risco envolvido em um tratamento, com o objetivo de estabelecer as
medidas de controle mais apropriadas para reduzi-lo a um nível considerado aceitável.

Data Protection Office (DPO) [NOME DPO]

Empresa analisada [NOME EMPRESA ANALISADA]

Nome do Projeto Biometria Facial

A empresa [XPTO], líder do segmento de varejo de eletrônicos,

com matriz global na Espanha, está sendo pressionada pelo
departamento jurídico pelo crescente número de fraudes em
compras de clientes.

Muitos clientes estão utilizando documentos falsificados, se

passando por outras pessoas, e realizando a compra dos produtos.
Descrição breve
O Departamento Antifraudes alinhou com o escritório global que
para diminuir a ocorrência de fraudes iria criar um projeto interno
de biometria facial em lojas, onde o atendente, no momento da
compra, solicitaria que o cliente tirasse uma selfie do seu rosto em
um tablet que rodaria um software de biometria facial que
armazenaria as fotos no ambiente cloud do fornecedor.

O DPO da empresa XPTO, após conhecimento do projeto, e de

Análise da necessidade de se
posse de seus conhecimentos em GDPR/LGPD solicitou que o
realizar uma avaliação de
comitê de Privacidade de Dados da empresa realizasse uma
impacto de privacidade de
avaliação de impacto de privacidade de dados.
dados
Dentre os principais motivos para realização, além do carácter
Página 1 de 13
ANPPD - Comitê de Conteúdo Documento Público © Copyright
contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020

 obrigatório por se tratar de avaliação sistemática de pessoas
físicas, com possibilidade de criação de perfis (no caso dos clientes
fraudulentos); são tratados dados sensíveis e em larga escala, visto
que a [NOME EMPRESA] possui atendimento físico em lojas em
todos os estados do Brasil.

Por se tratar de uma empresa de origem espanhola, o DPO global

Referência modelo avaliação
propôs a suas filiais nos demais países que utilizassem o modelo
de impacto de privacidade de
de DPIA disponibilizado pela Agencia Española de Protección de
dados
Datos (AEPD): https://www.aepd.es/herramientas/gestiona.html

Devido ao elevado risco que o projeto acarretaria à privacidade dos clientes da empresa XPTO, o
DPO se envolveu diretamente nas principais etapas de construção e validação da avaliação de
impacto, atuando principalmente com caráter de Gestor da Privacidade dos titulares envolvidos
no processo de tratamento de dados pessoais:

I. Análise da Necessidade de realizar uma Avaliação de Impacto sobre a Proteção de Dados

Pessoais (AIPD):

Questionário Resposta Justificativa

Dentre os principais motivos para realização,

O tratamento deve ser analisado na
lista de tipos de processamento de
SIM
dados publicados pela LGPD que
requerem um DPIA?
além do carácter obrigatório por se tratar de
avaliação sistemática de pessoas físicas, com
possibilidade de criação de perfis (no caso dos
clientes fraudulentos); são tratados dados
sensíveis e em larga escala, visto que a [NOME
DO CONTROLADOR] possui atendimento físico
em lojas em todos os estados do Brasil.

Serão tratados dados sensíveis e em larga

Haverá tratamento de categorias
especiais de dados em grande
escala?
escala, visto que a [NOME DO CONTROLADOR]
SIM
possui atendimento físico em lojas em todos os
estados do Brasil.

Página 2 de 13
ANPPD - Comitê de Conteúdo Documento Público © Copyright
contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020


Haverá tratamento de categorias
especiais de dados?
Com as operações de tratamento, os
hábitos, comportamentos,
preferências, gostos, interesses,
entre outros, podem ser
determinados? De pessoas
identificadas ou identificáveis?
Os tratamentos avaliados são
baseados na adesão a um código de
conduta dentro dos limites
estabelecidos pela LGPD.
Os dados pessoais serão
processados para criar perfil,
categorizar / segmentar, classificar
/ pontuar ou tomar decisões?
O tratamento envolve dados de
menores em relação à proteção de
dados?
O propósito do tratamento envolve
o uso específico de dados de
pessoas com deficiência ou qualquer
ANPPD - Comitê de Conteúdo
contato@anppd.org
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020
Serão tratados dados biométricos dos clientes
da empresa [NOME DO CONTROLADOR], pois
por meio de um sistema de parceiro
SIM (Operador), o cliente irá tirar uma selfie do seu
rosto para posterior análise biométrica com o
documento oficial em casos de suspeita de
fraude.
A ideia inicial não é identificar hábitos ou
comportamentos de titulares, mas sim
contrastar uma possível venda fraudulenta
NÃO
pontualmente a partir de uma demanda do
Departamento Antifraudes da empresa [NOME
DO CONTROLADOR].
Sim, os tratamentos serão respaldados pelo
código de conduta da [NOME DO
SIM
CONTROLADOR], anexado à Política de
Proteção de Dados da empresa.
Para os casos de possível venda fraudulenta
identificada pontualmente pelo Departamento
Antifraudes da [NOME DO CONTROLADOR],
poderão sim ser criados perfis de clientes
SIM
fraudulentos, que não poderão ter acesso aos
serviços prestados pela [NOME DO
CONTROLADOR]. No entanto, não será uma
decisão automática da ferramenta.
Para assinar um contrato ou realizar uma
compra na empresa [NOME DO
NÃO
CONTROLADOR], faz-se necessário ser maior
de idade.
NÃO Não haverá diferenciação para clientes com
deficiência, caso seja dado o consentimento do
Página 3 de 13
Documento Público © Copyright
outro grupo em situação de titular, no entanto, não é o foco específico do
vulnerabilidade especial? projeto de biometria.

Utilizaram-se tecnologias para controlar o

banco de dados onde as informações coletadas
Os dados pessoais anonimizados serão armazenadas (pseudoanonimização,
são usados de maneira não NÃO criptografia do banco de dados e gestão de
irreversível? acessos), no entanto, não serão
implementados controles de anonimização
irreversível.

Apesar de que em ternos legais, o

Departamento Jurídico requereu que fosse
utilizado o embasamento legal referente à
Interesse Legítimo do Controlador, o DPO
preferiu por embasar o tratamento pelo
consentimento, por entender que além de ser
uma atividade que pode soar invasiva para o
A base legal do tratamento é o cliente, também foi alinhado comercialmente
SIM
consentimento? que não seria interessante para o exercício dos
serviços da [NOME DO CONTROLADOR],
obrigar o cliente a tirar uma selfie. Dessa
forma, para que o cliente tire a foto, antes da
tela principal do aplicativo, surge uma
mensagem onde o cliente deve assinalar por
meio de um combo box que está consentindo
com o tratamento para sua biometria.

Caso seja confirmada a fraude após a venda do

A partir do tratamento dos dados, as
serviço, o contrato com o cliente poderá ser
decisões tomadas podem afetar ou
SIM quebrado, e a decisão de uma ação judicial
prejudicar significativamente as
caberá ao Departamento Jurídico da [NOME
pessoas de alguma forma?
DO CONTROLADOR].

Os dados do cliente são processados

para realizar tarefas de Os tratamentos serão de uso interno da
gerenciamento de pagamentos NÃO [NOME DO CONTROLADOR], não alimentarão
atrasados ou usar arquivos externos nenhuma base de dados externa.
para proteção de crédito?

Página 4 de 13
ANPPD - Comitê de Conteúdo Documento Público © Copyright
contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020

Os dados relacionados à observação
sistemática em grande escala das
áreas de acesso público serão
processados?
O tratamento implica que um
número grande de pessoas (além
daquelas necessárias para realizar o
mesmo) tenha acesso aos dados
pessoais processados? Por exemplo,
um departamento que não participa
do tratamento.
Para realizar este tratamento, os
conjuntos de dados são usados por
outros gerentes de tratamento cujo
propósito vai além das expectativas
combinadas com o titular?
O uso de tecnologias pode ser
percebido como imaturo, recém-
criado ou trazido ao mercado ou sob
alto risco de acesso não autorizado
previsto?
As transferências de dados são
feitas para outras entidades, sejam
do mesmo grupo ou fornecedores
externos? (se sim, detalhe quais)
ANPPD - Comitê de Conteúdo
contato@anppd.org
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020
O intuito do projeto não é realizar observação
NÃO
sistemática em acesso público.
A utilização da base de dados após entrada
em produção do sistema será de uso restrito
ao Departamento de Antifraude da [NOME DO
CONTROLADOR]. Qualquer acesso pontual
NÃO
por outra área (Exemplo: Jurídico ou
Comercial) ocorrerá apenas de demandado
pelo Departamento Antifraude e após
aprovação da Diretoria.
Não haverá acesso externo se não autorizado
NÃO
formalmente pelo Departamento Antifraudes.
Apesar de tecnologias de biometria já serem
utilizadas no país, esse modelo de utilização a
âmbito nacional pode trazer riscos ao decorrer
da utilização do sistema em produção. Dessa
forma, o DPO da [NOME DO CONTROLADOR]
SIM prefere reduzir o risco referente a acessos não
autorizados com a aplicação de diligências
constantes da equipe de Segurança da
Informação na empresa contratada (Operador)
e nas interfaces sistêmicas com o ambiente da
[NOME DO CONTROLADOR].
O ambiente cloud em que roda o aplicativo e
onde os dados pessoais (no caso as
SIM biometrias) são transferidos para [NOME DO
CONTROLADOR]; é de responsabilidade da
empresa contratada (Operador).
Página 5 de 13
Documento Público © Copyright
As transferências internacionais de
dados feitas para países fora da
União Europeia que não possuem
medidas de proteção de dados
pessoais são semelhantes àquelas
estabelecidas pela Autoridade de
Controle? (se sim, detalhe quais)
Você delegou alguma das tarefas
que compõem o tratamento a um
provedor externo à entidade? (se
sim, detalhe quais)
Este tratamento é semelhante ao
outro para o qual foi necessário
realizar um DPIA?
Considera-se, independentemente
das questões indicadas neste
formulário, que é aconselhável
realizar uma análise dos possíveis
riscos para os dados pessoais ao
longo do ciclo de vida do tratamento
(recolha, armazenamento /
classificação, utilização /
tratamento e destruição)
O tratamento tem a sua base
jurídica no direito da União Europeia
NÃO
ou de um Estado-Membro, e o DPIA
já foi realizado neste contexto?
ANPPD - Comitê de Conteúdo
contato@anppd.org
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020
Os Datacenters da [NOME DO CONTROLADOR]
SIM e da contratada são localizados em São Paulo
e Miami.
O ambiente cloud em que roda o aplicativo e
onde os dados pessoais (no caso as
biometrias) são coletados, utilizados,
SIM acessados, processados, armazenados,
transferidos e eliminados; é de
responsabilidade da empresa contratada
(Operador).
Já ocorreram processos de implementação de
biometrias para acesso de funcionários ao
prédio matriz da [NOME DO CONTROLADOR],
SIM
localizada na cidade de São Paulo, onde
também foi necessária a realização de um DPIA
similar a este.
Como são tratados dados sensíveis de clientes
da [NOME DO CONTROLADOR], em larga
escala no território nacional, o DPO considera
SIM que os riscos desse projeto à proteção de
dados dos titulares devam ser mitigados
periodicamente e com acompanhamento direto
do Departamento de Privacidade.
A base jurídica utilizada para esse tratamento
é o consentimento.
Página 6 de 13
Documento Público © Copyright
 II. Ciclo de Vida dos Dados:

Questionário Justificativa

Coleta dos Dados

Solicitação pelo atendente de que os clientes tirem selfie do

próprio rosto em atendimento físico das lojas [NOME DO
CONTROLADOR], onde o cliente dá o consentimento no tablet
em que roda o aplicativo e tira a foto.
Atividades do processo
Após tirar a foto, o atendente escaneia com o mesmo tablet o
documento original com foto do cliente. Isso ocorre antes da
assinatura do contrato do serviço prestado.

Dados tratados Biometria, RG, CPF, Nome e Data de Nascimento do Titular.

Clientes (Titular), Atendente da loja física da [NOME DO

Envolvidos
CONTROLADOR] (Controlador).

Tablet, aplicativo de biometria, armazenamento em cloud dos

Tecnologias envolvidas
dados coletados.

Classificação e Armazenamento dos Dados

Quando os dados são coletados, durante o processo, o atendente

direciona o cliente para 2 janelas do aplicativo: na primeira, tira
uma foto do rosto (informação classificada como BIOMETRIA) e
posteriormente o atendente solicita o documento original com
Atividades do processo
foto do cliente para escanear o documento (informação
classificada como IDENTIDADE). Ambos os arquivos são
armazenados diretamente no ambiente cloud da empresa
contratada, cujo datacenter é localizado em Miami.

Página 7 de 13
ANPPD - Comitê de Conteúdo Documento Público © Copyright
contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020

Dados tratados Biometria, RG, CPF, Nome e Data de Nascimento do Titular.

Envolvidos Empresa contratada (Operador).

Aplicativo de biometria, armazenamento em cloud dos dados

Tecnologias envolvidas
coletados, cujo datacenter é localizado em Miami.

Utilização e Tratamento

Quando o Departamento de Fraudes identificar uma venda

fraudulenta, a gerência de fraude abrirá uma solicitação na parte
logada do aplicativo solicitando que o Operador faça a
compatibilidade da biometria com o documento fornecido por
meio de seu software de reconhecimento facial. Após análise,
passará o relatório para o solicitante com o parecer técnico da
Atividades do processo
probabilidade de que a pessoa na loja seja realmente o dono do
documento.

Após análise, o Departamento Antifraudes encaminhará seu

parecer à equipe jurídica que definirá o processo administrativo
correto para o caso (quebra de contrato ou ação judicial).

Dados tratados Biometria, RG, CPF, Nome e Data de Nascimento do Titular.

Empresa contratada (Operador) e Departamento Antifraudes da

Envolvidos
Empresa EV (Controlador).

Aplicativo de biometria, armazenamento em cloud dos dados

Tecnologias envolvidas coletados e sistemas para transferência de arquivos protocolo
SFTP entre controlador e Operador.

Transferência dos Dados a Terceiros

Página 8 de 13
ANPPD - Comitê de Conteúdo Documento Público © Copyright
contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020

 Após análise, o Operador encaminha o relatório para o solicitante
do Controlador com o parecer técnico da probabilidade de que a
pessoa na loja seja realmente o dono do documento.
Atividades do processo
Após análise, o Departamento Antifraudes encaminha seu parecer
à equipe jurídica, por meio do e-mail corporativo, que definirá o
processo administrativo correto para o caso (quebra de contrato
ou ação judicial).

Dados tratados Biometria, RG, CPF, Nome e Data de Nascimento do Titular.

Empresa contratada (Operador) e Departamentos Antifraudes e

Envolvidos
Jurídico da Empresa EV (Controlador).

Sistemas para transferência de arquivos protocolo SFTP entre

Tecnologias envolvidas
controlador e Operador e e-mail corporativo.

Eliminação dos Dados

Como as vendas da [NOME DO CONTROLADOR] são pontuais, e

devido a questões do código do consumidor, o departamento
Atividades do processo Jurídico solicitou armazenamento de 5 anos para os dados
coletados. Dessa forma, os dados serão destruídos 5 anos pós
coleta, automaticamente.

Dados tratados Biometria, RG, CPF, Nome e Data de Nascimento do Titular.

Empresa contratada (Operador) e Departamento Antifraudes da

Envolvidos
Empresa EV (Controlador).

Tecnologias envolvidas Aplicativo de biometria e Datacenters localizados em Miami.

III. Análise da necessidade e proporcionalidade do tratamento:

Página 9 de 13
ANPPD - Comitê de Conteúdo Documento Público © Copyright
contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020

 Questionário
Qual é a legitimação?
O propósito que se pretende cobrir
requer que todos os dados sejam
coletados e para todas as pessoas /
partes interessadas afetadas
(princípio de minimização de
dados)?
As tecnologias utilizadas para o
tratamento são adequadas para os
fins estabelecidos do ponto de vista
do cumprimento dos princípios
fundamentais da privacidade?
Os dados são mantidos por mais
tempo do que o necessário para os
fins do tratamento (princípio de
limitação do período de
armazenamento)?
Os dados coletados serão utilizados
exclusivamente para o fim declarado
e não para qualquer outro não
informado ou incompatível com a
legitimidade de seu uso (princípio
de limitação de propósito)?
ANPPD - Comitê de Conteúdo
contato@anppd.org
ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020
Resposta Justificativa
De forma a não ser invasivo ao cliente,
respeitando os direitos à privacidade, é
solicitado consentimento do cliente no
momento do tratamento. Para tal, deve-
Consentimento
se dar um flag no aplicativo antes da
primeira foto. O Operador é responsável
pelo armazenamento do log de
consentimentos.
Para que seja feito o teste de
compatibilidade biométrica é necessário
SIM apenas a foto do rosto e os dados
presentes nos documentos de
identificação com foto.
Durante a definição dos requisitos do
projeto, foram consideradas medidas
técnicas para diminuir os riscos à
SIM
privacidade que esse processo está
susceptível, inclusive os princípios de
Privacy by Design.
Conforme solicitado pelo Jurídico a partir
das leis do consumidor, os dados
NÃO
coletados são descartados 5 anos após
coleta.
A finalidade declarada durante o
consentimento do titular é que as
SIM informações coletadas serão usadas
posteriormente para análise de fraudes na
venda de produtos. Não há utilização dos
dados coletados que não seja para a
Página 10 de 13
Documento Público © Copyright
 finalidade exposta pelo Departamento
Antifraudes.

IV. Gestão de Riscos:

Risco
Risco Probabilidade Impacto Medida
Residual
Fazer transferências
internacionais para
Fazer transferências
países que não
Significativo Limitado Médio com base em
oferecem um nível
garantias adequadas
adequado de
proteção
Falta de mecanismos
de supervisão e
controle sobre as Monitoramento e
medidas que regulam Desprezível Significativo Baixo revisão de
o relacionamento com fornecedores
um gerente de
tratamento
Não registrar a
criação, modificação
Criação e atualização
ou cancelamento das
do registro de
atividades de Limitado Significativo Médio
atividades de
tratamento realizadas
tratamento
sob sua
responsabilidade
Não ter uma
estrutura
organizacional, Segurança da
processos e recursos informação no
Significativo Significativo Alto
para o gerenciamento gerenciamento de
adequado da projetos
segurança na
organização
Erro na configuração
de um sistema,
Gestão de
aplicativo, estação de
Limitado Significativo Médio vulnerabilidades
trabalho, impressora
técnicas
ou componente de
rede
Falhas de segurança Separação de
Significativo Limitado Médio
no desenvolvimento ambientes de
Página 11 de 13
ANPPD - Comitê de Conteúdo Documento Público © Copyright
contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020

de um novo aplicativo desenvolvimento,
ou novas teste e produção
funcionalidades e /
ou correções de um
aplicativo existente
Roubo ou perda de
Política para o uso de
equipamento, mídia
Limitado Significativo Médio dispositivos de
ou dispositivos com
mobilidade
dados pessoais
Violações da
confidencialidade de
Monitoramento e
dados pessoais por
Significativo Máximo Alto revisão de
funcionários ou
fornecedores
pessoal externo da
organização

V. Resultados:

Aprovado com ressalvas.

Avaliação DPO
Verificar comentários avaliação DPO.

A partir da construção deste documento, é possível definir que o

processo desenhado apresenta risco elevado à privacidade dos seus
titulares, em caso de algum incidente envolvendo dados pessoais.

Dessa forma, para que o projeto esteja adequado à legislação, é

Comentários avaliação DPO necessário que as medidas propostas para redução dos riscos
sejam atendidas pela equipe de projeto.

A equipe de projeto tem 3 meses para reduzir o risco à privacidade

para um nível aceitável, com riscos da avaliação final do DPO ser
considerada como ˜NO GO˜.

Periodicidade de Revisão
Trimestral
deste Documento

Assinatura Diretoria
Responsável pelo Projeto

Página 12 de 13
ANPPD - Comitê de Conteúdo Documento Público © Copyright
contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020

Bibliografia:

• GDPR, artigo 35º

• EXIN Privacy & Data Protection Pratictioner; HSI Institute.
• Sample DPIA template ICO UK: https://ico.org.uk/media/about-the-
ico/consultations/2258461/dpia-template-v04-post-comms-review-20180308.pdf
• EIPD Agencia Española de Protección de Datos:
https://www.aepd.es/herramientas/gestiona.html

CLASSIFICAÇÃO DESSE DOCUMENTO – PÚBLICO

Anielle Martinelli, DPO Davis Alves, DPO

Diretora do Comitê de Conteúdo da ANPPD Presidente da ANPPD

Página 13 de 13
ANPPD - Comitê de Conteúdo Documento Público © Copyright
contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados | 2020