DPIA: Quando Realizar uma Avaliação de Impacto

O que é uma DPIA?

A Avaliação de Impacto sobre a Proteção de Dados (DPIA - Data Protection Impact Assessment) é um processo concebido para identificar e minimizar os riscos de proteção de dados de um projeto ou tratamento.

Quando é Obrigatória?

O GDPR exige uma DPIA quando o tratamento é "suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares". Isto inclui:

Casos Obrigatórios

1. Avaliação sistemática e extensiva: profiling com efeitos significativos
2. Tratamento em grande escala de dados sensíveis: dados de saúde, biométricos, etc.
3. Monitorização sistemática de zonas públicas: videovigilância em grande escala

Indicadores de Alto Risco

• Avaliação ou scoring
• Decisões automatizadas com efeitos legais
• Monitorização sistemática
• Dados sensíveis ou de natureza altamente pessoal
• Tratamento em grande escala
• Cruzamento de conjuntos de dados
• Dados de titulares vulneráveis
• Utilização inovadora de tecnologias
• Tratamento que impede exercício de direitos

Metodologia de DPIA

1. Descrição do Tratamento

• Natureza, âmbito, contexto e finalidades
• Dados tratados e titulares envolvidos
• Fluxos de dados e sistemas utilizados

2. Avaliação da Necessidade e Proporcionalidade

• Base legal adequada
• Minimização de dados
• Períodos de conservação

3. Identificação de Riscos

• Riscos para os titulares
• Probabilidade e gravidade
• Fontes de risco

4. Medidas de Mitigação

• Medidas técnicas
• Medidas organizativas
• Garantias e salvaguardas

5. Documentação e Revisão

• Registo da avaliação
• Plano de implementação
• Revisões periódicas

Consulta Prévia

Se após a DPIA o risco residual permanecer elevado, deve consultar a autoridade de controlo antes de iniciar o tratamento.

Conclusão

A DPIA é uma ferramenta essencial de accountability e gestão de riscos. Quando bem executada, protege a organização e os titulares dos dados.