Avaliação de impacto de privacidade - Privacy Impact Assessment

Uma Avaliação de Impacto de Privacidade ( PIA ) é um processo que ajuda as organizações a identificar e gerenciar os riscos de privacidade decorrentes de novos projetos, iniciativas, sistemas, processos, estratégias, políticas, relações de negócios etc. Beneficia várias partes interessadas, incluindo a própria organização e o clientes, de várias maneiras. Nos Estados Unidos e na Europa, foram emitidas políticas para ordenar e padronizar as avaliações de impacto sobre a privacidade.

Visão geral

Uma Avaliação de Impacto de Privacidade é um tipo de avaliação de impacto conduzida por uma organização (normalmente, uma agência governamental ou corporação com acesso a uma grande quantidade de dados confidenciais e privados sobre indivíduos em ou que fluem por meio de seu sistema). A organização analisa seus próprios processos para determinar como esses processos afetam ou podem comprometer a privacidade dos indivíduos cujos dados ela mantém, coleta ou processa. Os PIAs foram conduzidos por várias subagências do Departamento de Segurança Interna dos Estados Unidos (DHS) e os métodos para conduzi-los foram padronizados.

A PIA é normalmente projetada para cumprir três objetivos principais:

1. Garanta a conformidade com os requisitos legais, regulamentares e de política aplicáveis ​​para privacidade.
2. Identifique e avalie os riscos de violações de privacidade ou outros incidentes e efeitos.
3. Identifique controles de privacidade apropriados para mitigar riscos inaceitáveis.

Um relatório de impacto de privacidade busca identificar e registrar os componentes essenciais de qualquer sistema proposto contendo quantidades significativas de informações pessoais e estabelecer como os riscos de privacidade associados a esse sistema podem ser gerenciados. Uma PIA às vezes vai além de uma avaliação de um "sistema" e considera os efeitos "downstream" críticos sobre as pessoas que são afetadas de alguma forma pela proposta.

Objetivo

Uma vez que o PIA diz respeito à capacidade de uma organização de manter as informações privadas seguras, o PIA deve ser concluído sempre que essa organização estiver em posse das informações pessoais de seus funcionários, clientes, clientes e contatos comerciais, etc. Embora as definições legais variem, as informações pessoais geralmente incluem as de uma pessoa : nome, idade, telefone, e-mail, sexo, dados de saúde. Uma PIA também deve ser realizada sempre que a organização possuir informações que sejam de outra forma sigilosas, ou se os sistemas de controle de segurança que protegem informações privadas ou sigilosas estiverem passando por mudanças que possam levar a incidentes de privacidade.

Benefícios

De acordo com uma apresentação no Congresso da Associação Internacional de Profissionais de Privacidade , um PIA tem os seguintes benefícios:

• Fornece um sistema de alerta precoce - uma maneira de detectar problemas de privacidade, criar salvaguardas antes, não depois, investimentos pesados ​​e corrigir problemas de privacidade mais cedo ou mais tarde
• Evita erros de privacidade onerosos ou embaraçosos
• Fornece evidências de que uma organização tentou evitar riscos de privacidade (redução de responsabilidade, publicidade negativa, danos à reputação)
• Melhora a tomada de decisão informada
• Ajuda a organização a conquistar a confiança do público
• Demonstra aos funcionários, contratados, clientes, cidadãos que a organização leva a privacidade a sério

Implementação

Os PIAs envolvem um processo simples:

1. Iniciação do Projeto: defina o escopo do processo de PIA (que varia de acordo com a organização e o projeto). Se o projeto estiver em seus estágios iniciais, a organização pode escolher fazer um PIA preliminar e, em seguida, concluir um PIA completo quando estiver totalmente em andamento.
2. Análise de fluxo de dados: mapeando como o processo de negócios proposto trata as informações pessoais , identificando grupos de informações pessoais e criando um diagrama de como as informações pessoais fluem pela organização como resultado das atividades de negócios em questão.
3. Análise de privacidade: o pessoal envolvido com a movimentação de informações pessoais pode preencher questionários de análise de privacidade, seguidos de avaliações, entrevistas e discussões sobre questões e implicações de privacidade.
4. Relatório de avaliação de impacto na privacidade: os riscos à privacidade e as possíveis implicações são documentados, bem como uma discussão sobre os possíveis esforços que podem ser feitos para mitigar ou remediar os riscos.

História

Na década de 1970, a Avaliação de Tecnologia (TA) foi criada pelo Escritório de Avaliação de Tecnologia dos Estados Unidos . Um AT foi usado para determinar as repercussões sociais e sociais das novas tecnologias. Da mesma forma, nessa época vieram os Estudos de Impacto Ambiental (EIA), uma reação ao impulso social dos movimentos verdes dos anos 60 . O método de ambas as avaliações de impacto atuou como precursor para a criação do PIA. A Declaração de Impacto de Privacidade foi uma versão muito menos extensa da PIA que surgiu no final dos anos oitenta. Durante a década de 1990, tornou-se necessário medir a eficácia da segurança dos dados de uma empresa ou organização, especialmente com a maioria dos dados agora armazenados em computadores ou outras plataformas eletrônicas. PIAs mais extensos começaram a ser usados ​​com mais frequência por empresas e governos em meados de 1990 e agora são usados ​​por organizações em todo o mundo e por vários governos, incluindo Nova Zelândia , Canadá , Austrália e o Departamento de Segurança Interna dos Estados Unidos para avaliar o risco de privacidade de seus sistemas. Além disso, vários outros países e empresas usam sistemas de avaliação semelhantes aos PIAs para análise de risco de dados.

PIA em todo o mundo

Estados Unidos

A Lei do Governo Eletrônico de 2002 , Seção 208, estabelece a exigência para que as agências conduzam avaliações de impacto de privacidade (PIAs) para sistemas e coleções de informações eletrônicas. A avaliação é um método prático de avaliação da privacidade em sistemas de informação e coleções e garantia documentada de que as questões de privacidade foram identificadas e tratadas de forma adequada. O processo é projetado para orientar os proprietários e desenvolvedores de sistemas SEC na avaliação da privacidade durante os estágios iniciais de desenvolvimento e ao longo do ciclo de vida de desenvolvimento de sistemas (SDLC), para determinar como seu projeto afetará a privacidade dos indivíduos e se os objetivos do projeto podem ser atendidos ao mesmo tempo que protege a privacidade.

Europa

A Comissão Europeia assinou sua primeira Estrutura para Avaliações de Impacto de Privacidade no contexto da Tecnologia RFID em 2011. Isso serviu de base para posteriormente reconhecer as Avaliações de Impacto de Privacidade no Regulamento Geral de Proteção de Dados (GDPR), que em alguns casos agora exige impacto de proteção de dados avaliação (DPIA). Além de novos sistemas e projetos de TI, a abordagem PIA tem valor para análises ou auditorias estruturadas e periódicas dos acordos de privacidade de uma organização.

Projeto PIAF

PIAF (Um Quadro de Avaliação de Impacto de Privacidade para proteção de dados e direitos de privacidade) é um projeto cofinanciado pela Comissão Europeia que visa incentivar a UE e seus Estados Membros a adotar uma política de avaliação de impacto de privacidade progressiva como meio de atender às necessidades e desafios relacionados a privacidade e ao tratamento de dados pessoais.

Veja também

• Vigilância Global
  • Vigilância em massa
• Direitos humanos no ciberespaço
• Avaliação impactante
  • Avaliação de impacto ambiental
  • Avaliação de tecnologia
• Ética da informação
• Privacidade da informação
• Teste de penetração

Referências