Avaliações de Impacto sobre a Proteção de Dados (DPIAs)

Como a Microsoft ajuda os responsáveis pelo tratamento de dados a concluírem as Avaliações de Impacto sobre a Proteção de Dados do RGPD.

Documentação de suporte da Avaliação de Impacto sobre a Proteção de Dados

Office 365

Dynamics 365

Serviços Profissionais da Microsoft


FAQ sobre as Avaliações de Impacto sobre a Proteção de Dados

Abaixo encontram-se perguntas e respostas importantes sobre os requisitos do RGPD.

|

Ao abrigo do RGPD, enquanto responsável pelo tratamento de dados, precisa de realizar DPIAs antes de processar os dados que possam resultar num risco elevado aos direitos e liberdades das pessoas, nomeadamente processar e utilizar novas tecnologias. O RGPD fornece a seguinte lista não exaustiva de casos em que têm de ser realizadas DPIAs:

  • Tratamento automatizado para fins de definição de perfis e atividades semelhantes que tenham efeitos jurídicos ou que afetem de forma significativa os titulares dos dados;
  • Tratamento em grande escala de categorias especiais de dados pessoais (dados que revelem a origem racial ou étnica, a opinião política e semelhantes) ou dados relativos a condenações penais e infrações;
  • Monitorização sistemática de zonas acessíveis ao público em grande escala.

O RGPD também exige que consulte a sua Autoridade de Proteção de Dados (APD) antes de iniciar o tratamento, caso não consiga identificar mitigações suficientes para minimizar os riscos elevados para os titulares dos dados.

A Microsoft executa práticas de privacidade desde a conceção e incorpora-as nas suas funções empresariais e de engenharia. Como parte destes esforços, a Microsoft realiza análises de privacidade completas nas operações de tratamento de dados que têm o potencial de causar impactos nos direitos e liberdades dos titulares dos dados. As equipas de privacidade integradas nos grupos de serviço analisam a conceção e implementação dos serviços para garantir que os dados pessoais são tratados de forma respeitosa em conformidade com o direito internacional, as expetativas dos utilizadores e os nossos compromissos expressos. Estas análises de privacidade tendem a ser bastante granulares – um determinado serviço pode ser sujeito a dezenas ou centenas de análises. A Microsoft reúne estas análises de privacidade granulares em Avaliações de Impacto sobre a Proteção de Dados (DPIAs) que abrangem grupos de tratamento mais vastos, que o Encarregado de Proteção de Dados (DPO) da UE da Microsoft analisa posteriormente. O DPO avalia os riscos relacionados com o tratamento de dados para garantir que estão em vigor mitigações suficientes. Se o DPO detetar riscos não mitigados, recomendará ao grupo de engenharia que sejam feitas alterações. Em seguida, as DPIAs são analisadas e atualizadas à medida que os riscos de proteção de dados mudam.

Enquanto subcontratante, a Microsoft tem o dever de ajudar os responsáveis pelo tratamento de dados a garantir a conformidade com os requisitos de DPIA definidos no RGPD.

 

Para apoiar os nossos clientes, resumimos as secções relevantes das DPIAs da Microsoft, que serão fornecidas através desta secção em atualizações futuras, com o objetivo de permitir que os responsáveis pelo tratamento de dados confiem nos serviços Microsoft para tirar partido dos resumos na criação de DPIAs.