Junto com a Lei Geral de Proteção de Dados, a LGPD, veio também uma série de regras e adequações para as organizações. Uma delas é o Relatório de Impacto de Proteção de Dados.
Mas o que é esse relatório, para que ele serve e como posso montar um para minha empresa? Acompanhe!
O que é o Relatório de Impacto de Proteção de Dados
Também conhecido pela sigla RIPD, o Relatório de Impacto de Proteção de Dados é uma ferramenta de análise de risco de quando a empresa precisa tratar dados que afetem seus titulares.
Segundo o artigo 5º, inciso XVII, da LGPD, é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Ele tem como base o Data Protection Impact Assessment, ou DPIA, que foi instituído pela legislação de proteção de dados da União Europeia, o GDPR.
Sua principal função é evitar que os dados pessoais sejam violados, bem como, ajudar a empresa a identificar os riscos que estão presentes nos seus processos e nas práticas de tratamento de dados.
Nesse documento deve conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos e também precisa constar as medidas e os mecanismos de mitigação desses riscos.
O RIPD serve para demonstrar toda a segurança dos dados pessoais tanto para clientes, fornecedores, quanto à ANPD, que é a Autoridade Nacional de Proteção de Dados, órgão que fiscaliza o cumprimento da LGPD, dentre outros.
Que tipo de empresa precisa ter um Relatório de Impacto de Proteção de Dados?
Não existe uma clareza sobre os critérios para a definição de quem precisa realizar o RIPD. No entanto, existem 9 diretrizes relevantes de avaliação das operações que podem levar à necessidade da construção do relatório.
Algumas dessas diretrizes são: se há tratamento na empresa de dados em larga escala, se há dados de titulares vulneráveis ou ainda, se há dados sensíveis ou de natureza altamente pessoal, entre outras.
5 dicas para criar o seu Relatório de Impacto de Proteção de Dados
Primeiramente, é importante salientar que a criação do RIPD deve ter a participação de todos que podem estar envolvidos com informações relevantes dentro da empresa. Mesmo que nem todos tenham as mesmas responsabilidades ou funções em sua criação.
Assim, elabora-se um documento com uma compilação dessas informações, de forma que todos possam analisá-lo posteriormente.
Além disso, é uma boa prática que esse documento seja criado na fase inicial do processo que incluirá o tratamento de dados.
Conheça agora os 5 passos básicos para a criação do RIPD:
1. Compreender e analisar a sua empresa
O primeiro passo é fazer um raio x da empresa para identificar a necessidade de um RIPD. Para isso, deve analisar todos os processos e como é feito o tratamento de dados pessoais, além de checar as diretrizes que mencionamos anteriormente.
Deve-se também identificar os agentes de tratamento e o encarregado, ou DPO, que é a pessoa indicada pelo controlador e pelo operador para ser o canal de comunicação entre os agentes, os titulares dos dados e a ANPD.
O operador é quem processa e trata os dados pessoais e pode ser pessoa física ou jurídica. Já o controlador, é o responsável pelo tratamento dos dados. Este também pode ser pessoa física ou jurídica.
2. Mapear os dados coletados
Durante essa etapa serão analisadas várias informações sobre os dados, tais como:
- Qual a sua natureza e sua área geográfica;
- Qual o volume de dados;
- Se hoje existe tratamento de dados;
- Com que frequência há coleta de dados e por quanto tempo eles são mantidos, entre outros.
3. Criar processos e fundamentar os conceitos das bases legais
Nessa etapa, a equipe deve buscar quais são os procedimentos de tratamento de dados tanto dentro da empresa quanto com especialistas ou até com os titulares desses dados. Deve haver uma metodologia para coleta das informações para que esta tenha sua segurança garantida.
Essa busca precisa de um registro, de modo que se saiba todos os envolvidos e suas opiniões.
Após decidir o tipo de tratamento, deve-se procurar as bases legais do mesmo e verificar se ele alcança o objetivo.
4. Identificar os riscos
Agora, a empresa irá descrever e documentar todas as fontes de risco, qual a probabilidade de ele acontecer e qual o impacto que ele causaria.
5. Criar medidas de mitigação dos riscos
Conhecendo todos os riscos e o que eles podem causar, pode-se, nessa última etapa, definir as medidas que serão adotadas para tratá-los.
Pode-se descrever quais os riscos e seus efeitos, as opções de tratamento e sua aprovação.
Após o registro dos resultados, conclui-se o Relatório. Nele deve conter os pareceres, as assinaturas dos responsáveis, a diretoria da organização e todos os que participaram da elaboração do mesmo.
Se você quer mais dicas como essa, acesse nosso blog e fique sempre por dentro de tudo o que tem a ver com a LGPD.
Fale conosco
Compartilhe o Artigo
