Avaliação do impacto da proteção de dados
Este documento é uma tradução. Os documentos originais, legalmente vinculantes, estão em inglês e podem ser visualizados aqui.
1. Necessidade de uma DPIA
Nome do Projeto: Gamban
Data da Avaliação: 02/11/2024
Avaliador(es): Nick Michalopoulos
Esta DPIA é necessária devido a mudanças nas práticas de manuseio de dados, mais especificamente, dados de clientes sendo classificados como Dados de Categoria Especial. Isso cria a necessidade de uma avaliação de impacto sobre a proteção de dados (DPIA) para qualquer tipo de processamento que provavelmente seja de alto risco.
2. Descrição do processamento
Quais dados serão processados?
- Dados de identidade: inclui o nome do usuário;
- Dados de contato: inclui o endereço de e-mail e número de telefone do usuário;
- Dados do dispositivo: inclui informações sobre os diversos dispositivos que nossa licença de bloqueio cobre.
- Dados de marketing: preferências do usuário quanto ao recebimento de nossa newsletter.
- Dados de perfil: inclui o status de vício em jogos, incluindo nível de jogo, hora da última sessão de jogo, nome de usuário.
- Dados técnicos: inclui o endereço de protocolo da internet (IP), tipo e versão do navegador, configuração de fuso horário e localização, tipos e versões de plug-ins de navegador, sistema operacional e plataforma, e outras tecnologias nos dispositivos que os usuários usam para acessar o site do Gamban.
- Dados de transação: inclui detalhes sobre pagamentos para e do usuário e outros detalhes sobre os Serviços adquiridos pelo usuário;
- Dados de uso: inclui informações sobre como nosso site e produtos são utilizados.
Finalidade do processamento dos dados:
- Serviços de software;
- Notificações importantes sobre o produto, funções de helpdesk e quando a assinatura estiver prestes a expirar;
- Manutenção de registros internos;
- Análise estatística para fins de desenvolvimento de produto.
Quem terá acesso aos dados:
- Órgãos reguladores;
- Órgãos públicos;
- A polícia;
- Qualquer outra autoridade competente com funções específicas estipuladas por lei;
- Terceiros onde o usuário tenha expressamente concordado que possamos compartilhar suas informações pessoais;
- Parceiros comerciais e prestadores de serviços.
Fluxo de dados:
- Coleta de dados: Os dados do usuário são coletados quando os indivíduos se registram no site ou aplicativo do Gamban.
- Transmissão de dados: Os dados são transmitidos de forma segura via HTTPS para os servidores do Gamban. Dados específicos do dispositivo são comunicados entre o dispositivo do usuário e o sistema do Gamban para habilitar a funcionalidade de bloqueio.
- Armazenamento de dados: Os dados coletados são armazenados em bancos de dados criptografados hospedados no Azure (Microsoft Corporation).
- Uso de dados: Os dados são processados conforme exposto anteriormente.
- Compartilhamento de dados: Os dados não são compartilhados com terceiros, a menos que o usuário tenha consentido explicitamente ou seja exigido por lei.
- Exclusão de dados: Os usuários podem solicitar a exclusão dos dados via aplicativo ou suporte. Os dados excluídos são removidos permanentemente dos servidores ativos e dos backups dentro de 12 meses.
Onde os dados estão sendo processados?
- Locais principais de processamento de dados: Os dados são processados e armazenados em servidores hospedados pelo Azure no Reino Unido e na União Europeia. O processamento de dados localizado ocorre nos dispositivos dos usuários para habilitar a funcionalidade de bloqueio.
- Locais de backup e recuperação de desastres: Backups criptografados são armazenados no Reino Unido e na União Europeia.
- Serviços de terceiros: Dados limitados (por exemplo, para notificações por e-mail ou suporte ao usuário), ou dados específicos da plataforma, podem ser processados por provedores de serviços terceirizados confiáveis:
- Zendesk, Inc.
- Braintree (uma empresa do PayPal)
- Apple Inc.
- Google LLC, com sua localização e termos de processamento conforme descrito em cada um de seus Acordos de Processamento de Dados.
3. Necessidade e proporcionalidade
O Gamban se baseia nas seguintes bases legais para processar os dados dos usuários:
- Consentimento (Artigo 6(1)(a) e Artigo 9(2)(a)): Os usuários fornecem consentimento explícito para o processamento de seus dados pessoais e dados de categoria especial ao se inscreverem no serviço.
- Execução de um contrato (Artigo 6(1)(b)): O processamento de dados é necessário para cumprir a obrigação contratual de fornecer um serviço de bloqueio de jogos de azar.
- Interesse público substancial (Artigo 9(2)(g)): O processamento de dados de categoria especial apoia o objetivo de saúde pública de mitigar danos relacionados ao jogo, alinhando-se às leis nacionais.
O processamento de dados é essencial para fornecer a funcionalidade principal do Gamban: bloquear conteúdo relacionado a jogos de azar nos dispositivos dos usuários. Por exemplo:
- Dados pessoais: Endereços de e-mail e identificadores de dispositivos são necessários para autenticar os usuários, configurar o bloqueio específico de dispositivos e fornecer suporte.
- Dados de categoria especial: Dados comportamentais relacionados à autoexclusão de jogos garantem que o serviço seja adaptado para lidar com danos relacionados ao jogo.
Sem isso, o Gamban não pode fornecer seus serviços de forma eficaz ou apoiar sua missão de reduzir danos relacionados ao jogo. Os dados coletados são minimizados na medida do necessário para alcançar o objetivo do serviço. As medidas incluem:
- Somente dados essenciais: O Gamban não coleta dados pessoais ou sensíveis excessivos.
- Anonimização: Dados agregados e anonimizados são usados para análises sempre que possível.
O Gamban garante conformidade com o UK GDPR implementando medidas robustas para defender os direitos dos titulares de dados, incluindo:
Direito de Acesso (Artigo 15):
- Os usuários podem solicitar acesso aos seus dados pessoais por e-mail ou pelo aplicativo.
- O Gamban fornece uma cópia dos dados, geralmente dentro de um mês, garantindo que seja em um formato claro e comumente utilizado.
Direito de Retificação (Artigo 16):
- Os usuários podem solicitar correções de dados pessoais imprecisos ou incompletos.
- As mudanças são implementadas prontamente e os usuários são notificados quando a retificação é concluída.
Direito de Exclusão (Artigo 17):
- Os usuários podem solicitar a exclusão dos seus dados quando não forem mais necessários para o propósito para o qual foram coletados, ou caso retirem o consentimento.
- Após o recebimento de um pedido válido, os dados são permanentemente excluídos dos sistemas ativos e dos backups dentro de [prazo especificado, por exemplo, 30 dias].
Direito de Restrição do Processamento (Artigo 18):
- Os usuários podem solicitar que o Gamban restrinja temporariamente o processamento de seus dados enquanto resolve questões como precisão ou reivindicações legais.
- Os dados permanecem armazenados, mas não são processados ativamente até que a restrição seja retirada.
Direito de Portabilidade dos Dados (Artigo 20):
- Os usuários podem solicitar uma cópia de seus dados em um formato estruturado, legível por máquina, para transferi-los para outro serviço.
Direito de Oposição (Artigo 21):
- Os usuários podem se opor ao processamento com base em interesses legítimos ou marketing direto.
- Nos casos de objeção, o Gamban cessa o processamento, salvo se existirem fundamentos legítimos prevalentes.
Direito de Retirar o Consentimento (Artigo 7(3)):
- Os usuários podem retirar seu consentimento a qualquer momento através das configurações da conta ou entrando em contato com o suporte.
Tomada de Decisão Automatizada (Artigo 22):
- O Gamban não realiza tomada de decisão automatizada ou perfilhamento que produza efeitos legais ou efeitos significativos semelhantes.
Para facilitar esses direitos, o Gamban implementou:
- Política de Privacidade & Política de Cookies: Instruções claras sobre como os usuários podem exercer seus direitos.
- Suporte ao Usuário: Uma equipe de suporte dedicada auxilia nas solicitações e dúvidas relacionadas aos direitos.
- Política de Proteção de Dados: Processos internos garantem o manejo oportuno e em conformidade com as solicitações.
4. Identificação e avaliação de riscos
| Risco | Probabilidade | Impacto | Descrição |
|---|---|---|---|
| Acesso não autorizado a dados | Médio | Alto | O acesso não autorizado a dados sensíveis de usuários por atores maliciosos pode resultar em violações de confidencialidade, danos à reputação e multas legais. |
| Vazamento de dados | Baixo | Alto | Uma violação que exponha dados de categoria especial (por exemplo, dados comportamentais relacionados ao jogo) pode causar danos significativos aos usuários e penalidades regulatórias. |
| Mecanismos de consentimento inadequados | Baixo | Médio | A falha em obter consentimento válido pode tornar o processamento ilegal, levando a multas e perda de confiança do usuário. |
| Minimização insuficiente de dados | Baixo | Médio | Coletar mais dados do que o necessário pode aumentar a exposição a riscos e violar os princípios do GDPR. |
| Falha em manter os direitos dos dados | Baixo | Médio | O não cumprimento dos direitos dos titulares de dados (por exemplo, acesso, retificação, exclusão) pode resultar em ações regulatórias ou reclamações dos usuários. |
| Uso indevido de dados por terceiros | Baixo | Alto | O uso indevido de dados por processadores de terceiros pode prejudicar os usuários e resultar em responsabilidade para o Gamban. |
| Interrupções no serviço | Médio | Médio | Interrupções ou falhas podem impedir que os usuários acessem o serviço Gamban, minando a confiança e aumentando o número de solicitações de suporte. |
5. Mitigação de riscos
| Risco | Medida Mitigadora | Responsável |
|---|---|---|
| Acesso não autorizado a dados | - Implementar autenticação multifatorial (MFA) para acesso ao sistema. | Equipe de Segurança de TI |
| - Criptografar dados em repouso e em trânsito usando protocolos padrão da indústria. | Equipe de Segurança de TI | |
| - Realizar testes regulares de penetração e avaliações de vulnerabilidade. | Equipe de Segurança de TI | |
| Vazamento de dados | - Manter um Plano de Resposta a Incidentes (IRP) abrangente. | Encarregado de Proteção de Dados (DPO), Equipe de TI |
| - Realizar treinamentos regulares para os funcionários sobre prevenção e resposta a vazamentos de dados. | DPO, RH | |
| Mecanismos de consentimento inadequados | - Usar uma plataforma de gerenciamento de consentimento compatível com o GDPR para coletar, registrar e gerenciar o consentimento dos usuários. | Equipe de Produto, Equipe Jurídica |
| - Revisar regularmente os formulários de consentimento para garantir clareza e conformidade. | Equipe Jurídica | |
| Minimização insuficiente de dados | - Realizar Avaliações de Impacto sobre a Proteção de Dados (DPIAs) para todas as novas atividades de processamento de dados. | DPO |
| - Revisar regularmente as práticas de coleta de dados para garantir conformidade com o princípio de minimização de dados. | DPO, Equipe de Produto | |
| Falha em manter os direitos dos dados | - Estabelecer fluxos de trabalho internos para tratar prontamente solicitações de acesso, retificação e exclusão. | Equipe de Suporte, DPO |
| - Implementar ferramentas amigáveis para os usuários gerenciarem suas preferências e direitos de dados. | Equipe de Produto | |
| Uso indevido de dados por terceiros | - Garantir que todos os processadores terceirizados assinem Acordos de Processamento de Dados (DPAs). | Equipe Jurídica, DPO |
| - Realizar auditorias regulares da conformidade dos terceiros com requisitos contratuais e regulatórios. | DPO, Equipe de Compras | |
| Interrupções no serviço | - Configurar sistemas redundantes e planos de recuperação de desastres para minimizar o tempo de inatividade do serviço. | Equipe de TI |
| - Testar regularmente a resiliência do sistema e as capacidades de resposta. | Equipe de TI |
6. Processo de consulta
- Foram consultados stakeholders durante a DPIA? Sim
- Quem foi consultado?
- Jack Symons: Co-fundador
- Matt Zarb-Cousin: Co-fundador
- Nick Michalopoulos: Encarregado de Proteção de Dados
- Resumo da consulta: Durante o processo da DPIA, Jack Symons, Matt Zarb-Cousin e Nick Michalopoulos foram consultados para fornecer percepções sobre as atividades de processamento de dados do Gamban e o alinhamento desses processos com a missão da empresa de reduzir os danos relacionados ao jogo. O feedback deles ajudou a:
- Identificar os principais riscos associados ao manuseio de dados de categoria especial.
- Validar a necessidade da coleta e processamento de dados para fornecer os serviços principais.
- Revisar as medidas de proteção de dados existentes e propor melhorias quando necessário.
- Garantir que a DPIA refletisse o compromisso do Gamban com a privacidade do usuário e a conformidade com os requisitos do GDPR do Reino Unido.
A contribuição deles foi fundamental para moldar uma DPIA abrangente e eficaz.
7. Resultado da DPIA
A DPIA foi considerada aceitável com as medidas de mitigação de riscos propostas e foi aprovada pela gestão. Até o momento, não há riscos elevados restantes que não possam ser mitigados por meio das medidas propostas. No entanto, se algum risco surgir no futuro, as seguintes etapas serão tomadas para resolvê-lo ou mitigá-lo:
- Medidas de segurança aprimoradas: Implementação de criptografia adicional ou varreduras de vulnerabilidade mais frequentes.
- Revisões regulares: Realização de revisões periódicas das práticas de processamento de dados, especialmente quando novos serviços ou funcionalidades forem introduzidos.
- Notificação ao usuário: Se uma situação de alto risco for identificada, os usuários serão notificados prontamente e as remediações apropriadas serão realizadas.
8. Registro da DPIA
Data de conclusão: 14/11/2024
Aprovado por (gestão): Jack Symons
Responsável pela manutenção de registros: Nick Michalopoulos