Guia sobre o Relatório de Impacto da Proteção de Dados Pessoais

A Lei Geral de Proteção de Dados está em vigor há um ano e muitas empresas ainda estão se adaptando às novas regras. Entre os procedimentos para cumprir a LGPD, está o Relatório de Impacto da Proteção de Dados Pessoais (RIPD)

O RIPD é um relatório usado como documentação de análise de riscos, necessário para o tratamento de dados que possam afetar os direitos e liberdades dos titulares destes dados.

A elaboração do RIPD também pode ajudar a empresa a identificar quais dados estão sendo captados e como estão sendo utilizados.

Manter a boa gestão de dados com a LGPD em vigor, requer atenção redobrada com as vulnerabilidades.

Acompanhe este guia sobre o Relatório de Impacto da Proteção de Dados Pessoais e saiba como aplicar a LGPD ao seu negócio.

 

O que é o Relatório de Impacto da Proteção de Dados Pessoais?

O Relatório de Impacto da Proteção de Dados Pessoais (RIPD) é uma etapa importante da implementação da LGPD, com supervisão da Autoridade Nacional de Proteção de Dados (ANPD).

O RIPD foi desenvolvido para auxiliar a empresa a identificar, analisar e minimizar riscos contra a proteção de dados em um projeto ou plano.

Para a criação do relatório, a LGPD utilizou como modelo o Data Protection Impact Assessment (DPIA), formado pelo GDPR (Legislação de proteção de dados da União Europeia).

Assim como a versão europeia, o RIPD é utilizado para evitar violações de dados pessoais, especialmente os que possam interferir em direitos e liberdades do usuário titular. 

O relatório está descrito no artigo 5º, inciso XVII, da LGPD, que afirma que:

XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Para montar um RIPD corretamente, é necessária a descrição dos tipos de dados coletados, a metodologia de coleta e a análise do Controlador sobre medidas, salvaguardas e mecanismos de mitigação de riscos utilizados.

Alguns termos essenciais para o entendimento do relatório, e a sua aplicação, são:

  • Titular: pessoa física a quem se referem os dados pessoais que são objeto de tratamento do plano ou projeto;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

A elaboração do RIPD visa responder às seguintes questões:

  • O titular concorda com o tratamento?
  • O tratamento é do interesse do titular?
  • Existem riscos à segurança da informação dos dados tratados?
  • O controlador está efetivamente respeitando os direitos do titular?
  • O titular está ciente dos riscos do tratamento?

E com estes questionamentos, ao analisar o relatório, será possível descrever o tratamento de dados pessoais, avaliar a necessidade e proporcionalidade do tratamento, auxiliar a identificar os riscos para os direitos dos titulares e determinar medidas necessárias para mitigar estes riscos.

 

Quando é necessário ter um RIPD?

Com a vigência da LGPD, a proatividade das empresas em se adequar às novas normas têm sido bem vista pela ANPD e pelos usuários.

Portanto, o ideal é ter o Relatório de Impacto da Proteção de Dados Pessoais em mãos antes mesmo que este seja exigido pela ANPD.

Além de investir em cibersegurança e medidas reativas contra vazamentos de dados, a prevenção de vulnerabilidades é essencial. 

Sendo assim, a criação do relatório precisa ser uma etapa inserida naturalmente pelas empresas, junto às outras medidas preventivas.

Porém, algumas situações exigem com mais urgência que o relatório seja realizado, como:

  • Quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do Controlador, com dados pessoais estritamente necessários para a finalidade pretendida;
  • Quando o tratamento de dados pessoais gerar riscos às liberdades e direitos civis, e fundamentais, dos titulares dos dados;
  • Quando ocorrer o tratamento de dados pessoais sensíveis, especialmente em grandes volumes;

No caso do tratamento de dados pessoais de pessoas fora do território nacional, o artigo 3º, inciso IV, da lei afirma que as normas não se aplicam se forem:

IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

 

Como montar o Relatório de Impacto da Proteção de Dados Pessoais?

O processo de elaboração do Relatório de Impacto da Proteção de Dados Pessoais pode ser resumido em nove etapas, recomendadas pela ANP.

Portanto, o passo a passo sugerido pelo órgão responsável é:

  1. Identificar os agentes de tratamento (Controlador e Operador em conjunto) e o encarregado (pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD);
  2. Identificar a necessidade de elaborar o relatório;
  3. Descrever o tratamento;
  4. Identificar partes interessadas consultadas;
  5. Descrever a necessidade e a proporcionalidade;
  6. Identificar e avaliar potenciais riscos;
  7. Identificar medidas para tratar os riscos;
  8. Aprovar o relatório;
  9. Manter a revisão periódica do relatório.

 

Modelo de RIPD

Além do passo a passo para a organização dos dados que ficarão registrados, é necessário seguir um modelo de elaboração do relatório.

O modelo disponibilizado pelo Governo não é obrigatório, mas pode ser usado como base para a criação personalizada do relatório da sua empresa.

Para apresentar os dados obrigatórios do RIPD, é recomendado que o documento tenha:

  • Formatação e identidade visual;
  • Capa;
  • Sumário;
  • Introdução;
  • Sumário do projeto;
  • Questionário de validação do RIPD;
  • O Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

Como este será um documento constantemente atualizado e que também é importante para o uso interno destes dados e análises, procure mantê-lo de acordo com outros documentos já utilizados.

É de suma importância que os dados estejam descritos concisamente, de forma que facilite a leitura dos dados relatados. 

 

Dicas para seguir o Relatório de Impacto da Proteção de Dados Pessoais

A elaboração do Relatório de Impacto da Proteção de Dados Pessoais é, além de uma medida obrigatória da LGPD, uma forma de controlar internamente o tratamento destes dados.

Cada vez mais se faz importante a aplicação de medidas de segurança para dados pessoais e sensíveis, a fim de proteger usuários e empresas.

Contudo, a vigência da Lei Geral de Proteção de Dados ainda traz muitas dúvidas às empresas e aos usuários.

Para compreender como o Relatório de Impacto da Proteção de Dados Pessoais está presente na aplicação da LGPD e na prevenção de vulnerabilidades, baixe gratuitamente o e-book Gestão de Vulnerabilidades e LGPD.

Receba novidades:







    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *