LGPD: como elaborar um Relatório de Impacto à Proteção de Dados?
LGPD: como elaborar um Relatório de Impacto à Proteção de Dados?
Com a transformação digital, a proteção de dados pessoais e empresariais tornou-se um dos grandes desafios da sociedade atualmente.
Devido a facilidade em coletar informações e grande quantidade de cadastros que uma pessoa faz ao longo da vida, muitas vezes esses dados ficam expostos.
No entanto, há uma lei que garante justamente a proteção dessas informações: a Lei Geral de Proteção de Dados (LGPD), que traz uma série de sanções e multas pesadas para aqueles que cometem alguma infração às suas normas.
De acordo com a LGPD, a Autoridade Nacional de Proteção de Dados pode exigir a elaboração de um Relatório de Impacto à Proteção de Dados – RIPD, documento que avalia como uma empresa mensurou a sua proteção e tratamento de dados.
E na sua empresa, como você aplica a LGPD? Realiza relatórios frequentemente para ficar de acordo com a lei?
Quer saber mais sobre o assunto e não ter problemas de vazamento? Então continue a leitura e confira mais sobre o conteúdo!
O que é o Relatório de Impacto à Proteção de Dados?
O Relatório de Impacto à Proteção de Dados é um documento que descreve os processos de tratamento de dados conforme estabelecido pelo controlador.
De acordo com a definição da LGPD, o controlador é a pessoa física ou jurídica que toma as decisões sobre o tratamento de dados pessoais. Já quem coloca em prática essas decisões e faz o tratamento dos dados é o operador.
Contudo, é o controlador quem deve elaborar e manter a documentação do relatório de impacto LGPD que deve conter os seguintes elementos:
- Metodologia utilizada na coleta dos dados;
- Descrição dos tipos de dados coletados;
- Metodologia utilizada para garantir a segurança das informações;
- Análise do controlador em relação às medidas e mecanismos para minimizar os riscos de vazamento.
Embora o Relatório de Impacto à Proteção de Dados não seja obrigatório, o art. 10 da LGPD estabelece que a Autoridade Nacional de Proteção de Dados pode exigir o documento quando o tratamento envolver dados sensíveis e/ou possa gerar riscos às liberdades civis e aos direitos fundamentais.
Como elaborar o RIPD?
Conforme o Guia de Boas Práticas da LGPD, apresentamos a seguir as etapas necessárias para a elaboração do RIPD:
1. Identifique os agentes de tratamento e o encarregado
A primeira etapa é identificar os agentes de tratamento, isto é, o controlador e o operador, cujas funções mencionamos no tópico anterior.
Além desses dois atores, identifique também o encarregado que é a pessoa indicada pelo controlador e operador como responsável pela comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Por isso, o relatório deve informar o e-mail e o telefone do encarregado.
2. Identifique a necessidade de elaborar o Relatório
Nesta etapa, é preciso explicitar o motivo da criação do relatório que pode ser qualquer ação de tratamento de dados que represente um risco de impacto na privacidade dos dados pessoais.
Por exemplo, a implementação de uma nova tecnologia em que os dados pessoais sejam tratados.
3. Descreva o tratamento
O principal objetivo desta etapa é demonstrar o cenário institucional dos processos de tratamentos dos dados pessoais e assim fornecer os subsídios necessários para a avaliação dos riscos.
A descrição deve contemplar quatro elementos do tratamento:
- Natureza: como a instituição trata os dados;
- Escopo: qual a abrangência do tratamento de dados;
- Contexto: quais os fatores internos e externos que impactam no tratamento dos dados;
- Finalidade: qual a motivação para fazer o tratamento dos dados pessoais.
4. Identifique as partes interessadas consultadas
Em seguida, você deve registrar as pessoas consultadas, tanto as internas como as externas. As partes podem incluir:
- Especialistas em segurança da informação;
- Gestores;
- Consultores jurídicos;
- Operador;
- Encarregado.
Também deve ser relatado as observações e opiniões de cada um deles em relação aos riscos do tratamento de dados.
5. Descreva a necessidade e a proporcionalidade
Nesta etapa, a instituição deve demonstrar que o tratamento de dados limita-se apenas ao que é necessário para suas finalidades e que a quantidade de informações é proporcional a elas.
6. Identifique e avalie os riscos
Para identificar e avaliar os riscos, o controlador pode utilizar uma ferramenta de análise fornecida pelo próprio governo.
Trata-se de um questionário com 113 perguntas sobre a segurança de informação e privacidade que ajudam a identificar possíveis falhas nos sistemas de tratamento de dados.
7. Identifique medidas para tratar os riscos
O próximo passo é identificar as medidas que precisam ser tomadas para proteger os dados das pessoas. Essas medidas podem ser administrativas, técnicas ou de segurança.
8. Aprove o relatório
Esta é a etapa da formalização do relatório que é quando se obtêm as assinaturas dos responsáveis pela sua aprovação.
9. Mantenha a revisão
Por fim, o RIPD deve passar por revisões anuais ou quando houver mudanças que possam afetar o tratamento dos dados pessoais.
Como você viu, a elaboração do RIPD não é uma tarefa simples. Então, se você tiver alguma dúvida relacionada a esse relatório ou sobre a LGPD, entre em contato com o nosso escritório! Estamos sempre prontos para ajudá-lo!
—
Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.
If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho
Comentários
Postar um comentário