Avaliação de Impacto sobre a Proteção de Dados (ou DPIA, derivado do acrônimo em inglês Data Privacy Impact Assessment) é o nome dado ao processo que analisa e documenta o impacto futuro que o processamento dos dados pessoais terá sobre seus titulares. Por “impacto na privacidade” entende-se as consequências – possivelmente indesejadas – que o processamento de dados pode impor aos indivíduos ou à sociedade.
A ideia de avaliações de impacto na privacidade surgiu nos anos 1970, mas seu conceito amadureceu durante o período 1995-2005, como uma reação pública tardia contra as ações cada vez mais invasivas de privacidade por parte de governos e corporações durante a segunda metade do século XX. A adoção de DPIAs pelas organizações se consolidou ao longo dos anos, sendo incorporada às estruturas de avaliação de risco como resultado dos danos reputacionais decorrentes de violações à privacidade, então já considerada uma variável estratégica.
Embora o termo DPIA tenha se tornado popular, não há um método sistemático para realiza-lo, havendo inúmeras orientações e listas de verificação publicadas por autoridades nacionais e organizações especializadas. Entretanto, algumas características distinguem tais relatórios de outros tipos de atividades pelas seguintes características:
- Possui natureza antecipatória (ou seja, uma PIA é distinta de uma auditoria de privacidade);
- Tem amplo escopo (em relação às dimensões de privacidade, perspectivas externas e expectativas dos titulares e governos);
- É orientado para analisar o surgimento de problemas e elaboração de soluções;
- Enfatiza o processo de avaliação, incluindo troca de informações, aprendizado organizacional e adaptação de design;
- Exige engajamento e envolvimento intelectual da alta direção (diretores e gerentes seniores).
Nos próximos artigos, serão analisados os casos de obrigatoriedade (e exceções legais) no tocante à elaboração de DPIAs, à luz da GDPR e da LGPD. Passa-se, então, ao exame dos aspectos práticos do processo de elaboração do relatório, bem como suas etapas de desenvolvimento, tempo de guarda das informações levantadas e considerações a respeito da periodicidade da atualização do DPIA. Por fim, passa-se à análise da elaboração de DPIAs à luz dos princípios de governança corporativa, tendo sempre em vista a conformidade exigida pela nova lei brasileira.