Com a transformação digital, a proteção de dados pessoais e empresariais tornou-se um dos grandes desafios da sociedade atualmente. 

Devido a facilidade em coletar informações e grande quantidade de cadastros que uma pessoa faz ao longo da vida, muitas vezes esses dados ficam expostos.

No entanto, há uma lei que garante justamente a proteção dessas informações: a Lei Geral de Proteção de Dados (LGPD), que traz uma série de sanções e multas pesadas para aqueles que cometem alguma infração às suas normas.

De acordo com a LGPD, a Autoridade Nacional de Proteção de Dados pode exigir a elaboração de um Relatório de Impacto à Proteção de Dados – RIPD, documento que avalia como uma empresa mensurou a sua proteção e tratamento de dados. 

E na sua empresa, como você aplica a LGPD? Realiza relatórios frequentemente para ficar de acordo com a lei?

Quer saber mais sobre o assunto e não ter problemas de vazamento? Então continue a leitura e confira mais sobre o conteúdo!

O que é o Relatório de Impacto à Proteção de Dados?

O Relatório de Impacto à Proteção de Dados é um documento que descreve os processos de tratamento de dados conforme estabelecido pelo controlador.

De acordo com a definição da LGPD, o controlador é a pessoa física ou jurídica que toma as decisões sobre o tratamento de dados pessoais. Já quem coloca em prática essas decisões e faz o tratamento dos dados é o operador.

Contudo, é o controlador quem deve elaborar e manter a documentação do relatório de impacto LGPD que deve conter os seguintes elementos:

• Metodologia utilizada na coleta dos dados;
• Descrição dos tipos de dados coletados;
• Metodologia utilizada para garantir a segurança das informações;
• Análise do controlador em relação às medidas e mecanismos para minimizar os riscos de vazamento.

Embora o Relatório de Impacto à Proteção de Dados não seja obrigatório, o art. 10 da LGPD estabelece que a Autoridade Nacional de Proteção de Dados pode exigir o documento quando o tratamento envolver dados sensíveis e/ou possa gerar riscos às liberdades civis e aos direitos fundamentais.

Como elaborar o RIPD?

Conforme o Guia de Boas Práticas da LGPD, apresentamos a seguir as etapas necessárias para a elaboração do RIPD:

1. Identifique os agentes de tratamento e o encarregado

A primeira etapa é identificar os agentes de tratamento, isto é, o controlador e o operador, cujas funções mencionamos no tópico anterior.

Além desses dois atores, identifique também o encarregado que é a pessoa indicada pelo controlador e operador como responsável pela comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Por isso, o relatório deve informar o e-mail e o telefone do encarregado.

2. Identifique a necessidade de elaborar o Relatório

Nesta etapa, é preciso explicitar o motivo da criação do relatório que pode ser qualquer ação de tratamento de dados que represente um risco de impacto na privacidade dos dados pessoais.

Por exemplo, a implementação de uma nova tecnologia em que os dados pessoais sejam tratados.

3. Descreva o tratamento

O principal objetivo desta etapa é demonstrar o cenário institucional dos processos de tratamentos dos dados pessoais e assim fornecer os subsídios necessários para a avaliação dos riscos.

A descrição deve contemplar quatro elementos do tratamento:

• Natureza: como a instituição trata os dados;

• Escopo: qual a abrangência do tratamento de dados;

• Contexto: quais os fatores internos e externos que impactam no tratamento dos dados;

• Finalidade: qual a motivação para fazer o tratamento dos dados pessoais.

4. Identifique as partes interessadas consultadas

Em seguida, você deve registrar as pessoas consultadas, tanto as internas como as externas. As partes podem incluir:

• Especialistas em segurança da informação;
• Gestores;
• Consultores jurídicos;
• Operador;
• Encarregado.

Também deve ser relatado as observações e opiniões de cada um deles em relação aos riscos do tratamento de dados.

5. Descreva a necessidade e a proporcionalidade

Nesta etapa, a instituição deve demonstrar que o tratamento de dados limita-se apenas ao que é necessário para suas finalidades e que a quantidade de informações é proporcional a elas.

6. Identifique e avalie os riscos

Para identificar e avaliar os riscos, o controlador pode utilizar uma ferramenta de análise fornecida pelo próprio governo.

Trata-se de um questionário com 113 perguntas sobre a segurança de informação e privacidade que ajudam a identificar possíveis falhas nos sistemas de tratamento de dados.

7. Identifique medidas para tratar os riscos

O próximo passo é identificar as medidas que precisam ser tomadas para proteger os dados das pessoas. Essas medidas podem ser administrativas, técnicas ou de segurança.

8. Aprove o relatório

Esta é a etapa da formalização do relatório que é quando se obtêm as assinaturas dos responsáveis pela sua aprovação.

9. Mantenha a revisão

Por fim, o RIPD deve passar por revisões anuais ou quando houver mudanças que possam afetar o tratamento dos dados pessoais.

Como você viu, a elaboração do RIPD não é uma tarefa simples. Então, se você tiver alguma dúvida relacionada a esse relatório ou sobre a LGPD, entre em contato com o nosso escritório! Estamos sempre prontos para ajudá-lo!

—

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.