Loading…
Uma Avaliação de Impacto à Proteção de Dados (DPIA) nos termos do Artigo 35 do GDPR é exigida sempre que o processamento for suscetível de resultar em alto risco aos direitos e liberdades das pessoas físicas. O Grupo de Trabalho do Artigo 29 (atual EDPB) estabeleceu nove critérios — quando dois ou mais se aplicam, realize um DPIA.
Um DPIA defensável tem cinco etapas: descrever o processamento, avaliar a necessidade e a proporcionalidade, identificar riscos, identificar mitigações e, então, aprovar formalmente e agendar a revisão. A metodologia da ICO e as Diretrizes do EDPB estão fortemente alinhadas quanto a essa estrutura.
Bem feito, um DPIA é um artefato que molda o produto — não um ritual de conformidade. Ele revela riscos cedo e força escolhas sobre minimização de dados, retenção e acesso. Os melhores DPIAs são concluídos antes da primeira linha de código.
O Artigo 35(1) exige um DPIA quando o processamento for "suscetível de resultar em alto risco". O Artigo 35(3) lista três casos obrigatórios:
A maioria das Autoridades de Controle publica listas nacionais (Artigo 35(4)) de processamentos adicionais que sempre exigem um DPIA. Verifique as listas da sua Autoridade de Controle principal e de quaisquer Autoridades cujos residentes do Estado-Membro você processe.
Quando não estiver claro, aplique o teste dos nove critérios. Dois ou mais = DPIA exigido.
A base de qualquer DPIA é uma descrição precisa do que você realmente faz com os dados. Registre:
Combine isso com um diagrama de fluxo de dados. Descrições em texto livre deixam passar pontos que os diagramas de fluxo de dados capturam.
Para cada risco identificável, documente:
Tipos de ameaça a serem cobertos rotineiramente: acesso não autorizado (interno, atacante externo), modificação (perda de integridade), perda (destruição, indisponibilidade), discriminação, roubo de identidade, prejuízo financeiro, dano reputacional, perda de confidencialidade, perda de controle sobre os dados, reidentificação de dados pseudonimizados.
Para cada risco, identifique o tratamento planejado:
Reavalie o risco residual após os controles planejados. Se o risco residual permanecer alto, você deve consultar a Autoridade de Supervisão antes do início do tratamento (Artigo 36).
A consulta prévia do Artigo 36 é exigida quando, após aplicar as medidas de mitigação, o risco residual aos direitos e liberdades permanecer alto.
A SA recebe:
Prazo de resposta da SA: 8 semanas (prorrogável por 6 semanas em casos complexos). O tratamento não pode começar durante esse período sem autorização.
Cenário: Uma empresa de logística planeja introduzir registro de entrada/saída baseado em reconhecimento facial para 4.500 trabalhadores de armazém em 12 unidades na Alemanha e na Espanha.
Teste de limiar: Dados sensíveis (dados biométricos do Artigo 9 para identificação) + larga escala + titulares vulneráveis (empregados) + uso inovador = território claro de DPIA. As listas das SAs alemã e espanhola também classificam a identificação biométrica no ambiente de trabalho como DPIA obrigatório.
Descrição (Etapa 1): Modelos faciais derivados de câmera frontal na entrada da unidade; comparados com o modelo cadastrado armazenado em um equipamento por unidade; correspondências registradas com data/hora e ID do trabalhador; modelos biométricos retidos pelo período do contrato de trabalho + 30 dias; logs de correspondência retidos por 3 anos.
Necessidade (Etapa 2): Base legal Artigo 6(1)(b) contrato de trabalho + 9(2)(b) obrigação de direito trabalhista (Alemanha) e consentimento explícito (Espanha, com codeterminação do conselho de trabalhadores). Alternativas consideradas: cartão com PIN (rejeitado — registro por terceiros), crachá com NFC (rejeitado — mesmo motivo), impressão digital (rejeitado — higiene). Justificada a necessidade dos modelos faciais em relação às alternativas.
Riscos (Etapa 3): (a) A centralização dos modelos biométricos cria um alvo atraente para violação. (b) Falsa não correspondência causando dedução salarial. (c) Desvio de finalidade — dados de registro de ponto usados para avaliação de desempenho. (d) Coerção do empregado: recusar a coleta biométrica força a não adesão a condições piores.
Tratamento (Etapa 4): (a) Equipamento local por unidade; modelos criptografados com chaves gerenciadas por HSM; sem cópia em nuvem. (b) Fluxo de substituição manual para não correspondência; a folha de pagamento não pode descontar com base apenas em falha de registro de ponto. (c) Proibição contratual + separação técnica entre dados de registro de ponto e sistemas de desempenho de RH. (d) Caminho genuíno de não adesão (alternativa por crachá) sem prejuízo, documentado no acordo com o conselho de trabalhadores.
Aprovação: Parecer do DPO obtido — recomendou a exclusão dos modelos faciais após 7 dias do encerramento do contrato, em vez de 30. O controlador aceitou. Codeterminação do conselho de trabalhadores obtida. Risco residual: médio-baixo. Não foi necessária consulta à SA.
Um DPIA focado em uma única atividade de tratamento: 2 a 4 semanas de esforço em meio período, em tempo de calendário. Um complexo (nova linha de produto, biometria, modelo de IA): 6 a 12 semanas. Qualquer coisa apresentada como "2 horas" não é um DPIA de verdade.
Sim — para tratamentos já em operação, aplica-se a revisão do Artigo 35(11). As SAs aceitam DPIAs retroativos quando o tratamento é anterior ao GDPR ou quando um tratamento antes isento de DPIA passou a ser de alto risco.
O DPIA (Artigo 35 do GDPR) foca nos riscos aos direitos e liberdades no contexto do tratamento de dados. A FRIA (Artigo 27 da Lei de IA da UE) estende-se a direitos fundamentais mais amplos para sistemas de IA de alto risco — discriminação, equidade, impacto de decisões automatizadas. Eles se sobrepõem e podem ser combinados em um único artefato para casos de uso de IA.
Não é exigido, mas é recomendado pelo ICO. Publicar um resumo editado é um forte sinal de confiança. Detalhes técnicos ou comerciais sensíveis podem ser omitidos; a essência — finalidade, base legal, riscos, mitigações — é publicável.
A SA tem 8 semanas para fornecer um parecer por escrito, prorrogável por 6 semanas em casos complexos. Ela não pode vetar de imediato, mas pode emitir medidas corretivas do Artigo 58, inclusive proibições de tratamento. Planeje de acordo — casos do Artigo 36 precisam de um prazo de 3 meses antes do lançamento.
A RegulatoryBridge conduz DPIAs completos — teste de limiar, consulta às partes interessadas, engajamento com a SA do Artigo 36 quando necessário. Artefato pronto para produção, defensável em auditoria.