Avaliação de impacto de privacidade

Uma avaliação de impacto de privacidade (conhecida pela sigla em inglês PIA), é um processo que ajuda as organizações a identificar e gerenciar os riscos de privacidade decorrentes de novos projetos, iniciativas, sistemas, processos, estratégias, políticas, relações comerciais, etc.[1] No Brasil e em alguns países da Europa Continental,[2] essas avaliações são geralmente mencionadas como um sinônimo (ainda que de forma um pouco imprecisa) de Avaliação de Impacto de Proteção de Dados, no âmbito da elaboração de um Relatório de Impacto à Proteção de Dados Pessoais, previsto no artigo 10, § 3º, art. 32 e art. 38 da LGPD. Ele beneficia várias partes interessadas, incluindo a própria organização e os clientes, de diversas maneiras diferentes.[3] Nos Estados Unidos e na Europa, foram emitidas políticas para ordenar e padronizar as avaliações de impacto sobre a privacidade,[4][5] embora o mesmo ainda não tenha sido feito pela Autoridade Nacional de Proteção de Dados brasileira.

Visão geral

editar

Uma avaliação de impacto de privacidade é um tipo de avaliação conduzida por uma organização (normalmente, uma agência governamental ou corporação com acesso a uma grande quantidade de dados confidenciais e privados sobre indivíduos que são parte do seu sistema interno ou que passaram por ele). A organização analisa seus próprios processos para determinar como eles afetam ou podem comprometer a privacidade dos indivíduos cujos dados ela mantém, coleta ou processa.

A avaliação de impacto de privacidade é normalmente feita para cumprir três objetivos principais:

  1. Garantir a conformidade com os requisitos legais e de políticas públicas aplicáveis para privacidade;
  2. Identificar e avaliar os riscos de violações de privacidades, além de outros incidentes e efeitos indesejados;
  3. Identificar métodos apropriados de controle de privacidade para mitigar riscos inaceitáveis;

Um Relatório de Impacto de Privacidade procura identificar e registrar os componentes essenciais de qualquer sistema proposto contendo quantidades significativas de informações pessoais e estabelecer como os riscos de privacidade associados a esse sistema podem ser gerenciados. Uma avaliação de impacto de privacidade às vezes vai além de uma avaliação de um "sistema" específico, considerando ainda os efeitos não intencionais críticos sobre as pessoas que são afetadas de alguma forma pela proposta.[6]

Objetivo

editar

Uma vez que a avaliação de impacto de privacidade diz respeito à capacidade de uma organização de manter seguras dados privados, o Relatório deve ser preenchido sempre que essa organização estiver de posse das informações pessoais de seus funcionários, clientes, consumidores e contatos comerciais, etc. Embora as definições legais variem, as informações pessoais geralmente incluem as capazes de identificar uma pessoa: nome, idade, número de telefone, endereço de e-mail, sexo, informações de saúde, dentre outros. Uma Avaliação também deve ser conduzida sempre que a organização possuir informações que sejam de outra forma sigilosas, ou se os sistemas de controle de segurança que protegem informações privadas ou confidenciais estiverem passando por mudanças que possam levar a incidentes de privacidade.[7][8]

Benefícios

editar

A avaliação de impacto de privacidade tem, potencialmente, os seguintes benefícios, listados de forma não exaustiva:

  1. Fornecimento de um sistema de alerta preventivo - uma maneira de detectar problemas de privacidade, criar salvaguardas prévias a um investimento pesado e corrigir problemas de forma preventiva;
  2. Melhora a tomada de decisão informada;
  3. Ajuda a organização a conquistar a confiança do público, evitando ainda danos desnecessários à imagem da organização;
  4. Demonstra aos funcionários, contratados, clientes, cidadãos, dentre outros, que a organização leva a privacidade a sério.[3]

Implementação

editar

A avaliação de impacto de privacidade é baseada em um processo simples:[7]

  • Início do Projeto: defina o escopo do processo da Avaliação (que varia de acordo com a organização e o projeto). Se o projeto estiver em seus estágios iniciais, a organização pode optar por fazer uma versão preliminar e, em seguida, concluir uma Avaliação completa quando estiver totalmente em andamento;
  • (ii) Análise de fluxo de dados: mapeando como o modelo de negócios trata as informações pessoais, identificando grupos de informações pessoais e criando um diagrama de como as informações pessoais fluem pela organização como resultado das atividades de negócios em questão;
  • (iii) Análise de privacidade: o pessoal envolvido com a movimentação de informações pessoais pode preencher questionários de análise de privacidade, seguidos de análises, entrevistas e discussões sobre questões e implicações de privacidade;
  • (iv) Relatório de avaliação de impacto na privacidade: os riscos à privacidade e as possíveis implicações são documentados, bem como uma discussão sobre os possíveis esforços que podem ser feitos para mitigar ou remediar os riscos.

Estados Unidos

editar

A Lei do Governo Eletrônico de 2002, estabelece na Seção 208 a exigência para que as agências conduzam avaliações de impacto de privacidade para sistemas e coleções de informações eletrônicas. A avaliação é um método prático de avaliação da privacidade em sistemas de informação e armazenamento, e um tipo de garantia documentada de que as questões de privacidade foram identificadas e tratadas de forma adequada. O processo é projetado para orientar os proprietários e desenvolvedores de sistemas de segurança na avaliação da privacidade durante os estágios iniciais e ao longo do ciclo de vida de desenvolvimento de sistemas, para determinar como seu projeto afetará a privacidade dos indivíduos e se os objetivos do projeto podem ser atendidos ao mesmo tempo que protege a privacidade.[4]

Europa

editar

A Comissão Europeia assinou o seu primeiro Quadro para Avaliações de Impacto da Privacidade no contexto da Tecnologia de Identificação por Radiofrequência em 2011.[5] Isso serviu de base para o reconhecimento posterior das Avaliações de Impacto de Privacidade no Regulamento Geral de Proteção de Dados (RGPD), que em alguns casos agora exige uma Avaliação de Impacto de Proteção de Dados (em inglês, DPIA). Além de novos sistemas e projetos de TI, essa abordagem tem valor para análises ou auditorias estruturadas e periódicas dos acordos de privacidade de uma organização.

Projeto PIAF

editar

PIAF (sigla em inglês para Quadro Legal de Avaliação de Impacto de Privacidade para proteção de dados e direitos de privacidade) é um projeto co-financiado pela Comissão Europeia que visa incentivar a UE e seus Estados Membros a adotar uma política de avaliação de impacto de privacidade progressiva como meio de atender às necessidades e desafios relacionados a privacidade e ao tratamento de dados pessoais.[9]

Ver também

editar

Referências

  1. «Conducting privacy impact assessments: code of practice» (PDF). PDP Journals. Information Commissioner's Office. 1 de fevereiro de 2014. Consultado em 29 de maio de 2021 [ligação inativa] 
  2. «Privacy Impact Assessment (PIA) | CNIL». CNIL (em inglês). Consultado em 28 de setembro de 2022 
  3. a b Wright, David (14 de novembro de 2012). «The state of the art in privacy impact assessment» (PDF). Trilateral Research & Consulting at the IAPP Congress. Consultado em 28 de setembro de 2022 
  4. a b Office of Information Technology. «PRIVACY IMPACT ASSESSMENT (PIA) GUIDE» (PDF). U.S. Securities and Exchange Commission. Privacy Office. 17 páginas 
  5. a b EU Commission (12 de janeiro de 2011). «Privacy and Data Protection Impact Assessment Framework for RFID Applications». European Commission; Policies, Information and Services; Laws. Consultado em 22 de dezembro de 2019 
  6. «Privacy Impact Assessment Handbook» (PDF). Consultado em 28 de setembro de 2022 [ligação inativa] 
  7. a b «Privacy Impact Assessment Guidelines: A Framework to Manage Privacy Risks Guidelines». Government of Canada. Consultado em 5 de julho de 2016. Cópia arquivada em 13 de julho de 2016 
  8. «PRIVACY IMPACT ASSESSMENT (PIA) GUIDE» (PDF). U.S. Securities and Exchange Commission. Consultado em 8 de julho de 2016 
  9. «PIAF». PIAF Project. Consultado em 28 de setembro de 2022 [ligação inativa]