Como tem sido a implementação do DPIA por instituições europeias?

Em maio de 2020 a GDPR (General Data Protection Regulation) completou dois anos de vigência, e muito tem se debatido sobre como tem sido a sua implementação na União Europeia (UE). No entanto, o que pouca gente sabe é que além da GDPR existe um regulamento de proteção de dados específico para instituições da UE que também entrou em vigor em 2018, que é o chamado Regulamento (EU) 2018/1725 (Regulamento).

Este diferentemente da GDPR, só se aplica ao tratamento de dados pessoais realizado por instituições, órgãos e organismos da UE, e a autoridade de proteção de dados responsável pela sua supervisão, orientação e fiscalização é o EDPS (European Data Protection Supervisor). Considerando os também 02 anos do Regulamento, o EDPS decidiu fazer uma pesquisa para avaliar como as instituições europeias estão lidando com questões sobre proteção de dados e, para isso, fez uma pesquisa específica para entender como as instituições europeias têm implementado em suas atividades e rotinas a elaboração dos Data Protection Impact Assessment (DPIA).

A pesquisa foi guiada a partir de um convite feito aos encarregados de proteção de dados das diferentes instituições, os quais trouxeram insights e responderam a um questionário referente a boas práticas para o uso dos DPIAs. O estudo teve dois objetivos: o  primeiro, analisar a eficácia da aplicação do DPIA, através de questões específicas sobre como essa ferramenta tem sido utilizada pelas instituições; e um segundo, que serve de norte orientador para que o EDPS compreenda como pode alimentar e melhorar as suas diretrizes no tocante ao  art. 39 do Regulamento que trata sobre DPIA.

Diante disso, vale esclarecer que os DPIAs são uma documentação que auxilia os agentes de tratamento no gerenciamento dos riscos associados aos direitos e liberdades dos titulares de dados, eles no contexto do Regulamento precisam ser feitos sempre antes de uma operação de tratamento que possa gerar altos riscos ter início, bem como são obrigatórios quando o tratamento envolver um grande volume de dados, houver profiling e dados sensíveis por exemplo. Tudo isso, com o objetivo de prevenção a potenciais violações aos direitos e liberdades dos titulares. Nesse sentido, eles funcionam como uma ferramenta que contribui para a avaliação e gestão do risco, na contínua melhoria dos processos internos de uma organização, trazendo mais transparência e sendo uma boa prática na demonstração de accountability.

Pontos levantados na Pesquisa do EDPS

O EDPS é responsável por supervisionar 66 instituições da UE, contudo, apenas 39 participaram dessa pesquisa, as respostas do estudo foram compiladas por temas, a fim de ser possível identificar alguns achados sobre como essas instituições estão endereçando internamente o DPIA em seus processos internos. É o que vocês vão visualizar abaixo.

O primeiro apontamento importante foi o de que apenas quatro das trinta e nove instituições que participaram do estudo finalizaram mais de dois DPIAs. A maioria dos encarregados apontaram para a dificuldade em finalizar o seu primeiro Relatório de Impacto à Proteção de Dados que, em algumas das vezes, se iniciou há mais de um ano, demonstrando a complexidade dessa ferramenta e a dificuldade de internalizá-la na cultura da organização de forma dinâmica.

Quando questionados sobre a matriz da realização dos DPIAs, a maior parte dos encarregados respondeu que a necessidade do uso da ferramenta se deu pois havia tratamento de dados sensíveis ou de natureza personalíssima ou por se tratar de processamento em larga escala.

Em uma análise dos dezessete DPIAs finalizados recebidos pelo EDPS, ficou evidente uma diferença de padrões, estruturais e quanto à noção de risco da atividade executada. O tamanho dos documentos variou de cinco a cinquenta e cinco páginas, demonstrando a inconsistências nos padrões estruturais.

Quanto ao conceito de risco, ainda que as diretrizes para os DPIAs forneçam ferramentas para a verificação, o texto do artigo 39 do GDPR estabelece que os DPIAs devem ser realizados quando houver “um alto risco para os direitos e liberdades das pessoas naturais”, o que foi apontado pelos DPOs como de difícil interpretação, pela dificuldade de estabelecer uma conexão imediata entre o tratamento de dados e os direitos e liberdades das pessoas naturais.

Quando questionados acerca do motivo para não adotar um DPIA, os encarregados responderam, majoritariamente, que realizavam uma avaliação de impacto (threshold assessment) baseados nos modelos fornecidos pelo próprio EDPS. No entanto, a pesquisa concluiu que as respostas fornecidas à avaliação de impacto eram inócuas na medida em que a maioria dos DPOs respondiam apenas “sim” ou “não”, ignorando a possível complexidade do tratamento.

O modelo europeu utiliza a metodologia do risk-based approach, que significa que os países, as autoridades estaduais e o setor privado devem ter um entendimento dos riscos do tratamento de dados e aplicar medidas de que assegurem a mitigação desses riscos. No estudo, a maior parte dos DPOs respondeu que utilizaram as diretrizes propostas pelo EDPS, outros utilizaram diretrizes propostas pelo ICO (autoridade britânica) e CNIL (autoridade francesa), conforme o gráfico abaixo:

Alguns dos entrevistados, no entanto, apontaram que suas organizações desenvolveram modelos internos de DPIAs, incluindo novas perguntas ou passos às diretrizes estabelecidas por Autoridades de Proteção de Dados. Alguns foram além, estabelecendo ferramentas específicas e uma metodologia interna, sob a alegação de que as diretrizes pré-estabelecidas pelas autoridades competentes não sanariam as dificuldades de compreensão e produção de um DPIA.

Apenas seis das trinta e nove instituições fizeram uso de consultores externos para a realização dos DPIAs, revelando uma desconfiança em relação aos profissionais especializados. Um dos encarregados afirmou que “quando se contratam agentes externos para a realização do relatório, existe o risco de que não tenham o conhecimento necessário e a expertise para realizar a atividade adequadamente”, e afirmou que muitos profissionais da segurança da informação enxergam os DPIAs como verdadeiras oportunidades de negócio, mas que a experiência tem demonstrado que não necessariamente esses agentes possuem habilidades de proteção de dados.

Os encarregados trouxeram sugestões relativas aos critérios para adoção dos DPIAs, como a criação de uma lista extensa com potenciais exemplos de que tipo de tratamento requer e não requer o uso da ferramenta, mais diretrizes a respeito da avaliação preliminar (avaliação de impacto), maior especificidade sobre as noções de pessoa vulnerável, explicações e instruções sobre como envolver agentes externos na formulação do DPIA e abrir a possibilidade de criação de DPIAs compartilhados ou criados em conjunto pelas instituições.

É importante salientar que apenas dois dos dezessete DPIAs foram publicados e disponibilizados para consulta ao público. A discussão acerca da necessidade de publicação desse tipo de documento ainda é escassa, mas é significativo que apenas duas instituições tenham tornado públicos os seus Relatórios de Impacto à Proteção de Dados Pessoais.

Relevante que o estudo realizado pelo EDPS demonstra que, mesmo com Autoridades de Proteção de Dados ativas que recorrentemente estabelecem e renovam metodologias para o uso de ferramentas, há um aspecto muito específico na realização de Relatórios de Impacto à Proteção de Dados e por isso o diálogo entre as autoridades e os encarregados é demasiado importante. Só é possível atingir os objetivos de accountability pensados para a realização de DPIAs de modo colaborativo e com estabelecimento de diretrizes funcionais e aplicáveis à prática do tratamento realizado pelas instituições.

Enquanto o relatório demonstra que não só é importante que exista um órgão que estabeleça diretrizes específicas para a utilização de DPIAs, como também é primordial que esse órgão atue na avaliação do uso da ferramenta, no Brasil, enfrentamos dúvidas e incertezas quanto à criação de uma Autoridade Nacional de Proteção de Dados (ANPD).

Também, a Lei Geral de Proteção de Dados (LGPD) não estabelece que o Relatório de Impacto à Proteção de Dados seja realizado antes do tratamento, de modo que a atuação da ANPD é crucial para a implementação adequada da ferramenta e para que esta seja apropriadamente utilizada como documento de auxílio ao gerenciamento dos riscos do tratamento de dados pessoais.

Por Iasmine Favaro

Revisão: Maria Cecília Oliveira Gomes