Data Protection Principles Approach
Uma metodologia orientada para a implementação contínua, demonstrável e operacional da conformidade RGPD.
O DPPA foi desenvolvido como um modelo metodológico para transformar os princípios jurídicos da proteção de dados em mecanismos concretos de governação organizacional, responsabilidade demonstrável e gestão contínua da conformidade.
A metodologia parte do princípio de que a conformidade RGPD não deve ser encarada como um exercício meramente documental, mas como um sistema vivo de governação da informação, integrado nos processos, sistemas, decisões e cultura organizacional.
Princípios no centro
Licitude, transparência, minimização, segurança, limitação das finalidades e responsabilidade demonstrável como base da decisão organizacional.
Governação operacional
Integração da proteção de dados em políticas, procedimentos, responsabilidades, fluxos de decisão e mecanismos internos de controlo.
Risco e evidência
Avaliação contínua de riscos, DPIA, LIA, documentação estruturada, auditoria e produção de prova de conformidade.
Melhoria contínua
Monitorização, formação, revisão periódica, atualização documental e adaptação a alterações tecnológicas, legais e organizacionais.
Da tese doutoral à aplicação prática
A metodologia DPPA resulta da investigação doutoral sobre Data Protection by Design and by Default, centrada no artigo 25.º do RGPD e na dificuldade prática das organizações em converter obrigações legais complexas em medidas técnicas e organizativas efetivas.
A tese identifica que a aplicação do RGPD pode ser dificultada pela complexidade normativa, incerteza jurídica, custos de implementação, limitações tecnológicas, exigências de conservação e necessidade de compatibilizar segurança, finalidade do tratamento e direitos dos titulares.
O DPPA responde a esse desafio propondo uma abordagem baseada em princípios, direitos fundamentais, gestão de risco e governação contínua, afastando-se de modelos meramente formais ou assentes numa lógica económica de compromisso entre interesses organizacionais e proteção dos titulares.
Artigo 25.º RGPD
A proteção de dados desde a conceção e por defeito é tratada como obrigação estrutural, transversal e incorporada no ciclo de vida dos sistemas e processos.
Dados, coimas e evidência
A metodologia foi informada por análise quantitativa e qualitativa de dados primários relativos a coimas RGPD aplicadas por autoridades de controlo na UE e no Reino Unido.
Direitos dos titulares
O modelo coloca o controlo dos titulares sobre os seus dados no centro da arquitetura de conformidade, reforçando transparência, segurança e limitação das finalidades.