search A mídia que reinventa a empresa

EIPD: como automatizar a avaliação de impacto do GDPR

EIPD: como automatizar a avaliação de impacto do GDPR

Por Anaraya Albornoz

Em 30 de abril de 2025

O EIPD ou avaliação de impacto é um dos novos recursos do GDPR. Você identificou um risco de proteção de dados em sua empresa? Descubra o que você precisa fazer para cada uma das operações de processamento em questão.

A avaliação de impacto, também conhecida como PIA - Privacy Impact Assessment - consiste na realização de um estudo abrangente com o objetivo de avaliar o impacto de uma ou mais operações de processamento de dados sobre a privacidade.

Saiba mais sobre os principais conceitos de conformidade com o GDPR e descubra as melhores soluções para estar em conformidade.

O que é uma PIA?

A PIA ou Avaliação de Impacto na Proteção de Dados é uma das disposições da nova Estrutura Europeia de Proteção de Dados ou GDPR (Regulamento Europeu de Proteção de Dados).

A DPA deve descrever o processamento e sua finalidade, estimar a validade do processamento de acordo com a finalidade, identificar os riscos e detalhar as ações para gerenciar os riscos.

"Uma análise de impacto é altamente recomendada pelas autoridades e deve ser iniciada antes do início do processamento de dados".

No entanto, a avaliação de impacto do GDPR deve ser mantida e atualizada durante todo o ciclo de vida do processamento.

Por que realizar uma avaliação de impacto do GDPR?

Uma avaliação de impacto é a melhor maneira de verificar e checar a conformidade de uma operação de processamento e de evitar um risco relacionado à perda ou exposição de dados processados.

A realização de uma avaliação de risco permite que os controladores de dados:

  • Determinar a causa de um risco e estimar a probabilidade de ele se materializar;

  • Melhorar o processamento de dados para que os direitos dos indivíduos sejam respeitados;

  • Atender às condições técnicas e organizacionais necessárias para o cumprimento do regulamento;

  • Comprovar o gerenciamento de riscos para as autoridades.

Embora a avaliação de impacto do GDPR seja recomendada para todas as empresas que coletam e manipulam dados, em muitos casos a DPA é obrigatória e a não conformidade com essa disposição é uma infração grave.

Artigo 35 do GDPR: quando uma avaliação de impacto é obrigatória?

"Estabelece que, se uma operação de processamento puder "envolver um alto risco aos direitos e liberdades de pessoas físicas", uma DPOI deverá ser realizada antes da implementação da operação de processamento. Essa obrigação está alinhada com o princípio da privacidade, que visa analisar uma operação de processamento desde sua fase de projeto e garantir o gerenciamento de risco adequado, além de cumprir os princípios de necessidade e proporcionalidade".

Artigo 35 (3): operações de processamento que podem envolver um alto risco

Perfilamento automatizado

(a) "avaliação sistemática e abrangente de aspectos pessoais relacionados a pessoas físicas que se baseia em processamento automatizado, como a criação de perfis, e com base na qual são tomadas decisões que produzem efeitos legais para pessoas físicas ou as afetam significativamente de maneira semelhante";

Processamento em larga escala

(b) "tratamento em larga escala de categorias especiais de dados referidos no artigo 9(1) ou de dados pessoais relativos a condenações e infrações penais referidos no artigo 10",

Isso se refere ao processamento de dados confidenciais (dados genéticos, dados relacionados à saúde, dados raciais e de origem étnica, dados pessoais relacionados a condenações e delitos criminais, etc.).

Uso de tecnologias invasivas

(c) "observação sistemática em larga escala de uma área acessível ao público".

Vigilância por vídeo, drones, dados biométricos.

Outras operações de processamento que exigem um EIPD

  • Dados de crianças com menos de 14 anos de idade;

  • Transferências de dados, em particular no caso de uma transferência internacional para um país fora do Espaço Econômico Europeu;

  • Dados pessoais que não são anônimos ou não são anonimizados;

  • Qualquer processamento que envolva a coleta de dados altamente confidenciais;

  • Qualquer processamento que envolva uma coleta significativa de dados;

  • Referência cruzada de dados, modificação das informações processadas ou da finalidade do processamento;

  • Processamento de pessoas vulneráveis (pacientes, idosos, crianças etc.).

Exemplo de EIPD: processamento que requer avaliação

Uma empresa implementa uma operação de processamento de publicidade com o objetivo de coletar os dados de geolocalização de milhões de indivíduos para criar perfis de publicidade e mostrar a eles publicidade personalizada com base em sua posição geográfica. Esse processamento se enquadra na categoria de processamento em larga escala de dados confidenciais (geolocalização). É necessária uma avaliação do impacto da proteção de dados.

Quem está envolvido na execução do DPA?

A orientação do DPO na realização da avaliação de impacto do DPA será essencial para evitar riscos.

O controlador tem a obrigação de garantir a conformidade com o GDPR.

Se um DPO (Data Protection Officer, diretor de proteção de dados) tiver sido nomeado, ele deverá aconselhar o controlador e verificar a execução da avaliação de impacto.

Se um subcontratado estiver envolvido no processamento, ele deverá fornecer sua assistência, bem como as informações necessárias para a realização da PIA .

Fazer ou não fazer a PIA? → A AEPD e a análise de risco são a resposta.

Ainda não está claro se alguma das operações de sua empresa exige uma avaliação de impacto? Não tem problema! Depois de realizar a análise de risco do GDPR, você não terá mais dúvidas.

Se não souber o que é uma análise de risco ou como realizá-la, dê uma olhada em nosso artigo sobre análise de risco do GDPR.

O objetivo desse exercício, que é obrigatório, é determinar a existência de circunstâncias que, posteriormente, exijam uma avaliação de impacto do GDPR.

Conteúdo da avaliação de impacto do GDPR

O guia EIPD da Agência Espanhola de Proteção de Dados mostra em detalhes a metodologia a ser seguida para preparar um EIPD de acordo com as exigências do GDPR.

A avaliação é dividida em três etapas principais:

  • Descrição (da captura à destruição dos dados) e contexto do processamento (legalidade, necessidade e proporcionalidade);

  • Identificação, avaliação e gerenciamento de riscos;

  • Conclusão (plano de ação) e validação (conclusão favorável ou desfavorável).

Da mesma forma, a AEPD recomenda que o plano de ação inclua

  • descrição das medidas de controle,

  • a pessoa responsável pela implementação,

  • prazo de implementação.

Também deve ser indicado se a PIA foi realizada em uma nova operação de processamento ou em uma operação de processamento existente.

  1. No primeiro caso, o plano de ação será implementado antes do início do processamento; esse princípio é conhecido como proteção de dados desde a concepção.

  2. No segundo caso, o controlador deve definir um prazo para implementar o plano de ação no processamento em andamento. Se esse prazo não for respeitado e o risco não for aceitável, o controlador pode e deve solicitar que o processamento seja interrompido.

Artigo 36 do GDPR: consulta à AEPD?

"O controlador deverá consultar a autoridade supervisora antes do processamento quando uma avaliação de impacto sobre a proteção de dados, de acordo com o Artigo 35, mostrar que o processamento resultaria em um alto risco se o controlador não tomasse medidas para mitigar o risco".

Se a conclusão da PIA incluir um alto risco, o controlador poderá usar medidas de controle adicionais para reduzir o risco a um nível aceitável. Entretanto, se não for possível mitigar o risco, o processamento não poderá ser realizado e o controlador será obrigado a consultar a autoridade supervisora.

Idealmente, a autoridade supervisora definirá as condições e as medidas de controle para que o processamento seja realizado. Entretanto, se esse for o caso, a autoridade supervisora também poderá indicar que o processamento não poderá ser realizado em nenhuma circunstância.

A avaliação do impacto da proteção de dados é um processo completo, abrangente e exaustivo no qual todos os aspectos do processamento são avaliados: do início ao fim, levando em conta todas as variáveis. Felizmente, agora existem ferramentas de alto desempenho disponíveis para automatizar e otimizar os processos comerciais e as obrigações legais.

Ferramentas de avaliação do impacto da proteção de dados: 2 exemplos

Solução de privacidade de dados

O Data Privacy Solution é uma solução 100% espanhola para proteção de dados dentro da estrutura do GDPR e do LOPDGDD. A ferramenta foi projetada para todos os tipos de empresas e consultores.

Como o Data Privacy Solution ajuda com o EIPD?

O Data Privacy Solution permite a geração e o gerenciamento do EIPD por vários usuários, incluindo o DPO para revisão. Graças ao modelo SaaS, o DPO e todos os usuários têm acesso de qualquer lugar e a qualquer momento.

Esse software de GDPR indica se, para um processamento de dados, uma análise de risco é suficiente ou se requer a realização de um PPRD. Além disso, mesmo que apenas a análise de risco seja necessária, o usuário pode optar por realizar também o tratamento de risco ou até mesmo toda a PIA.

Tanto a análise de risco quanto o EIPD são baseados nas diretrizes e boas práticas da AEPD (Agência Espanhola de Proteção de Dados).

Advogados de privacidade e engenheiros de segurança da informação são responsáveis pela criação da ferramenta completa.

Smart GDPR

A solução on-line (SaaS) Smart GDPR atende a todos os requisitos da regulamentação europeia.

30 anos de experiência em proteção de dados, segurança da informação e proteção da privacidade sustentam a legitimidade do Smart GDPR como uma das melhores soluções de GDPR.

Até o momento, o Smart GDPR reúne todos os recursos necessários para a conformidade com o GDPR em uma única plataforma!

Como fazer uma avaliação de impacto com o Smart GDPR?

O Smart GDPR oferece um módulo que facilita a avaliação de risco do GDPR O módulo um é totalmente dedicado a:

  • Auditorias.

  • Análise de risco.

  • Avaliação de impacto (PIA).

  • Planos de ação semiautomatizados.

  • Gerenciamento de projetos.

O módulo tem 1460 pontos de controle de tratamento executados por um algoritmo. Como resultado, a economia de tempo é considerável e os resultados são precisos. O Smart GDPR realiza em uma hora o que normalmente levaria cerca de cinco horas.

O plano de ação é gerado automaticamente (com base nas respostas), acompanhado de uma lista detalhada de medidas de controle a serem implementadas.

A cada resposta é atribuída automaticamente uma pontuação. No caso de uma pontuação abaixo da média, a resposta deve ser sistematicamente revisada pelo controlador de dados ou pelo DPO. Você também pode indicar se deseja examinar todas as respostas.

O Smart GDPR +: cobre um risco financeiro de até 90 milhões de euros no caso de qualquer falha de sua parte.

Automatizando o processo de avaliação

As ferramentas digitais, as legislações de proteção de dados e os processos comerciais estão em constante evolução. A implementação de uma solução SaaS permitirá que você acompanhe suas obrigações.

Artigo traduzido do espanhol