Escolar Documentos
Profissional Documentos
Cultura Documentos
2
Relatório de Impacto à Proteção de Dados Pessoais
⬥ O Relatório de Impacto à Proteção de Dados Pessoais consiste na
documentação a ser elaborada pelo Controlador em todas as
situações de tratamento de dados que envolvam riscos às liberdades
civis e aos direitos fundamentais.
3
Relatório de Impacto à Proteção de Dados Pessoais
⬥ A natureza dos riscos às liberdades civis e aos direitos fundamentais
pode ser compreendida a partir do disposto no Considerando 75 do
GDPR:
O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de
dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial quando o tratamento possa dar origem à discriminação, à usurpação ou
roubo da identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à
inversão não autorizada da pseudonimização, ou a quaisquer outros prejuízos importantes de natureza económica ou social; quando os titulares dos dados
possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo sobre os respetivos dados pessoais; quando forem tratados dados
pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical, bem como dados genéticos ou
dados relativos à saúde ou à vida sexual ou a condenações penais e infrações ou medidas de segurança conexas; quando forem avaliados aspetos de natureza
pessoal, em particular análises ou previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à saúde, às preferências ou
interesses pessoais, à fiabilidade ou comportamento e à localização ou às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados
dados relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar
um grande número de titulares de dados.
4
Relatório de Impacto à Proteção de Dados Pessoais
Documentação a ser elaborada pelo Controlador,
onde são descritos os tratamentos de dados
pessoais realizados e os potenciais riscos às
liberdades civis e aos direitos fundamentais
5
Processo de Elaboração do RIPDP
Descrição
Descrição do
do
tratamento previsto
tratamento previsto
Avaliação
Avaliação da
da
Controle
Controle e
e reexame
reexame necessidade
necessidade ee da
da
proporcionalidade
proporcionalidade
Medidas
Medidas previstas
previstas
Documentação
Documentação para
para demonstrar
demonstrar a
a
conformidade
conformidade
Medidas
Medidas previstas
previstas Avaliação
Avaliação dos
dos riscos
riscos
Adaptado para das
para das resposta
resposta aos
aos para
para os
os direitos
direitos e
e as
as
Adaptado de:
de: Grupo
Grupo de
de Trabalho
Trabalho do
do Artigo
Artigo 29º
29º Para
Para a
a Proteção
Proteção de
de Dados.
Guidelines
Guidelines on
on Data
Data Protection
Protection Impact
Impact Assessment
Assessment (DPIA).
Dados.
(DPIA). Disponível
Disponível em:
em:
riscos
riscos liberdades
liberdades 6
<https://ec.europa.eu/newsroom/article29/items/611236/en>.
<https://ec.europa.eu/newsroom/article29/items/611236/en>. Acesso
Acesso em
em 10
10
ago
ago 2021.
2021.
Processo de Elaboração do RIPDP
7
Relatório de Impacto à Proteção de Dados Pessoais
⬥ O Controlador é responsável por elaborar o Relatório de
Impacto à Proteção de Dados Pessoais (RIPDP) antes de
iniciar o tratamento de dados pessoais, conforme as decisões
tomadas sobre quais as operações a serem realizadas e os
potenciais riscos associados a cada operação.
8
Relatório de Impacto à Proteção de Dados Pessoais
Exige-se a
Exemplos de tratamento Critérios pertinentes possíveis realização de
um RIPDP?
Um hospital que faz o tratamento dos dados genéticos e de ‒ Dados sensíveis ou dados de natureza altamente
saúde dos seus doentes (sistema de informação do hospital). pessoal.
‒ Dados relativos a titulares de dados vulneráveis.
‒ Dados tratados em grande escala.
Utilização de um sistema de câmeras para controlar o ‒ Controle sistemático.
comportamento dos condutores nas estradas. O responsável ‒ Utilização de soluções inovadoras ou aplicação de
SIM
pelo tratamento pretende utilizar um sistema inteligente de novas soluções tecnológicas ou organizacionais.
análise através de vídeo para selecionar carros específicos e
reconhecer automaticamente as matrículas.
Uma empresa que controle sistematicamente as atividades - Controle sistemático.
dos seus empregados, incluindo o controle dos computadores, - Dados relativos a titulares de dados vulneráveis.
da atividade na Internet, etc.
Adaptado
Adaptado de:
de: Grupo
Grupo de
de Trabalho
Trabalho do
do Artigo
Artigo 29º
29º Para
Para a
a Proteção
Proteção de
de Dados.
Guidelines
Guidelines on
on Data
Data Protection
Protection Impact
Impact Assessment
Assessment (DPIA).
Dados.
(DPIA). Disponível
Disponível em:
em:
9
<https://ec.europa.eu/newsroom/article29/items/611236/en>.
<https://ec.europa.eu/newsroom/article29/items/611236/en>. Acesso
Acesso em
em 10
10
ago
ago 2021.
2021.
Relatório de Impacto à Proteção de Dados Pessoais
Exige-se a
Exemplos de tratamento Critérios pertinentes possíveis realização de
um RIPDP?
Recolha de dados públicos das redes sociais para - Avaliação ou classificação.
elaborar perfis. - Dados tratados em grande escala.
- Estabelecer correspondências ou combinar conjuntos de
dados.
- Dados sensíveis ou dados de natureza altamente pessoal.
Uma instituição que crie uma base de dados a nível - Avaliação ou classificação.
nacional de notação de crédito ou de fraude. - Decisões automatizadas que produzam efeitos jurídicos ou
afetem significativamente de modo similar. SIM
- Impede os titulares dos dados de exercer um direito ou de
utilizar um serviço ou um contrato.
- Dados sensíveis ou dados de natureza altamente pessoal.
Conservação para fins de arquivo de dados pessoais - Dados sensíveis.
sensíveis pseudonimizados relativos a titulares de - Dados relativos a titulares de dados vulneráveis.
dados vulneráveis que tenham participado em - Impede os titulares dos dados de exercer um direito ou de
projetos de investigação ou ensaios clínicos. utilizar um serviço ou um contrato.
12
Roteiro de Referência para o RIPDP
Natureza e Escopo do Tratamento
Quais dados pessoais são coletados?
Envolve dados pessoais/sensíveis de vulneráveis ou menores de 18 anos?
Envolve dados pessoais de terceiros?
Qual a natureza do relacionamento entre Controlador e Titular?
Quais os meios de coleta?
Quais sistemas são utilizados para o tratamento dos dados?
Qual a finalidade da coleta? (mencionar se há outra maneira de alcançar o resultado)
Qual a base jurídica da coleta?
Há benefícios para Controlar ou terceiros?
Qual o volume de dados?
Qual o prazo de tratamento?
Há compartilhamento?
Há transferência internacional?
Área geográfica a ser prevista/atingida:
Há monitoramento de dados pessoais/sensíveis?
Há decisões automatizadas?
Há informações de score?
Envolve contato futuro?
Envolve tratamento de dados financeiros?
Envolve migração de sistema?
Há conhecimento de incidentes anteriores, com o mesmo tipo de tratamento? 13
Roteiro de Referência para o RIPDP
Ações para Conformidade e Mitigação de Risco
Riscos identificados para cada tratamento (mencionar nível de criticidade e probabilidade):
Medidas de salvaguarda e impacto:
Sistemas de segurança:
Ações de sensibilização:
Ações de capacitação:
Plano de ação:
Ações para atender aos princípios do art. 8º da LGPD:
Há hipótese de tratamento com base no consentimento? Como será esta coleta?
Recomendações para os titulares:
Operadores
Haverá tratamento de dados por Operadores?
Descrever tratamento:
Identificar Operadores:
Descrever responsabilidades:
É empresa nacional ou internacional?
Tem escritório no Brasil?
Quais medidas serão tomadas para garantir que os Operadores estão em conformidade com a LGPD?
Descrever se Operadores já estiveram envolvidos em incidentes de vazamento de dados pessoais:
Equipe de Proteção de Dados Pessoais
Quantas pessoas existem na equipe de proteção de dados pessoais?
Quais são as áreas envolvidas?
Há contratação de terceiros para apoio à equipe (identificar)?
Dados de Aprovação/Recusa Interna
Quem apresentou o projeto?
Parecer do EPD:
Aprovado pelo Comitê (integrantes):
Data de aprovação: 14
Exemplos de RIPDP
Banco Central do Brasil
15