Avaliação de impacto de proteção de dados do GDPR
O Regulamento Geral sobre a Proteção de Dados (RGPD) introduz novas regras para organizações que oferecem bens e serviços às pessoas na União Europeia (UE) ou que coletam e analisam dados vinculados a residentes da UE. O RGPD se aplica onde quer que você e sua empresa estejam localizados. Detalhes adicionais podem ser encontrados no artigo Resumo do GDPR. Este documento orienta você a informações relacionadas a Avaliações do Impacto sobre a Proteção de Dados (DPIAs) no GDPR, usando produtos e serviços da Microsoft.
Terminologia
Definições úteis para os termos do RGPD usados neste documento:
- Controlador de Dados (Controlador): uma pessoa jurídica, uma autoridade pública, uma agência ou outro corpo que, isoladamente ou em conjunto com outras pessoas, determina a finalidade e o meio de processamento de dados pessoais.
- Dados pessoais e entidade de dados: qualquer informação relacionada a uma pessoa natural identificada ou identificável (entidade de dados); uma pessoa natural identificável é uma que pode ser identificada, direta ou indiretamente.
- Processador: uma pessoa física ou jurídica, autoridade pública, órgão ou outra entidade que processa dados pessoais em nome do controlador.
- Dados do cliente: dados produzidos e armazenados nas operações do dia a dia para o trabalho em andamento.
O que é o DPIA?
O GDPR exige que os controladores preparem uma avaliação de impacto de proteção de dados (DPIA) para operações que são "prováveis em resultar em alto risco para os direitos e a liberdade de pessoas naturais". Não há nada inerente aos produtos e serviços da Microsoft que precisem da criação de uma DPIA. No entanto, como produtos e serviços da Microsoft são altamente personalizáveis, pode ser necessário um DPIA dependendo dos detalhes da sua configuração da Microsoft. A Microsoft não tem controle e pouca ou nenhuma percepção dessas informações. Você, como um controlador de dados deve determinar os usos apropriados dos seus dados.
DPIA em ação
As diretrizes DPIA se aplicam ao Office 365, ao Azure, ao Dynamics 365 e a suporte da Microsoft e a serviços profissionais. Essas diretrizes incluem considerações sobre:
Quando um DPIA é necessário?
Os fatores de risco listados abaixo devem ser resolvidos quando se avaliam se deseja concluir um DPIA. Outros fatores possíveis e detalhes são encontrados na parte 1 de cada uma das diretrizes.
- Uma avaliação sistemática e abrangente dos dados com base no processamento automático.
- Processamento em grande escala de categorias especiais de dados pessoais (os dados revelam informações de forma exclusiva, identificando uma pessoa natural) ou de dados relacionados a condenações e delitos penais.
- Monitoramento sistemático de uma área de acesso público em grande escala.
O GDPR esclarece "O processamento de dados pessoais não deve ser considerado em grande escala se o processamento diz respeito a dados pessoais de pacientes ou clientes por um médico individual, outro profissional de saúde ou advogado. Nesses casos, uma avaliação de impacto de proteção de dados não deve ser obrigatória.
O que é necessário para concluir um DPIA?
Um DPIA deve fornecer informações específicas sobre o processamento desejado, que é detalhado na parte 2 das instruções. Essas informações incluem:
- Avaliação da necessidade e da proporcionalidade das operações de processamento em relação aos propósitos.
- Uma avaliação dos riscos aos direitos e às liberdades dos indivíduos.
- As medidas desejadas para lidar com os riscos, incluindo proteções, medidas de segurança e mecanismos, para garantir a proteção de dados pessoais e demonstrar a conformidade com a RGDP.
- Propósito de processar
- Categorias de dados pessoais processados
- Retenção de dados
- Localização e transferências de dados pessoais
- Compartilhamento de dados com subprocessadores de terceiros
- Compartilhamento de dados com terceiros independentes
- Direitos das entidades de dados
Considerações adicionais
Abaixo, detalhes específicos que podem ser relevantes para a implementação da Microsoft.
- Office 365: este documento se aplica a aplicativos e serviços Office 365, incluindo, mas não se limitando a Exchange Online, SharePoint, Viva Engage, Skype for Business e Power BI. Confira as tabelas1 e 2 para obter mais detalhes.
- Azure: Aconselhamos os clientes a trabalhar com os agentes de privacidade e de aconselhamento jurídico para determinar a necessidade e conteúdo de qualquer DPIAs relacionada ao uso do Microsoft Azure.
- Dynamics 365: o conteúdo de uma DPIA pode variar de acordo com quais ferramentas Dynamics 365 você está empregando. Para obter detalhes específicos, consulte Parte 2 do conteúdo de um DPIA.
- Windows: este documento se aplica à configuração dos dados de diagnóstico do Windows processador. Os clientes são incentivados a trabalhar com seus agentes de privacidade e consultores legais para determinar a necessidade e o conteúdo de qualquer DPIA relacionada ao uso da configuração do dados de diagnóstico do Windows processador.
- Suporte da Microsoft e Serviços Profissionais: os Serviços Profissionais não realizam determinado processamento de dados rotineiro ou automatizado, nem se destina a processar categorias especiais ou executar tarefas que facilitam ou exigem monitoramento de dados de acesso público. Para mais informações, confira Parte 1 — Determinar se a DPIA é necessária. Os controladores devem considerar os elementos do DPIA descritos acima, juntamente com outros fatores relevantes, no contexto das implementações específicas do controlador e do uso de serviços profissionais. Para obter informações sobre serviços profissionais, consultePart 2 — conteúdo de um DPIA.