Com a Lei Geral de Proteção de Dados (LGPD), uma atividade que se tornou necessária para as empresas de todo o país é a produção de um relatório de impacto à proteção de dados pessoais (RIPDP).
Acontece que, nem todas as empresas sabem como elaborar este relatório e até mesmo os advogados e advogados que auxiliam nessa atividade possuem algumas dúvidas em relação a isso.
Por essa razão, hoje vou te contar o passo a passo para montar este relatório. Mas antes, é importante conceituar algumas coisas.
A LGPD
Prevista pela lei 13.709/18, a LGPD tem como objetivo regular a atividade de tratamento de dados pessoas, assim, preservando o direito fundamental à liberdade, privacidade e ao livre desenvolvimento da personalidade da pessoal natural.
Ou seja, ela tem intuito de criar uma relação mais transparente entre o titular dos dados e quem está sob sua custódia.
Assim, ela estabelece diversas condições sobre: como os dados devem ser tratados, direito dos titulares, obrigações para quem os detém e outros diversos procedimento para o devido tratamento dos dados.
O que é o relatório de impacto LGPD e quem é responsável por ele?
O relatório de impacto, ou RIPDP, nada mais é do que um instrumento a mais que contribui na gestão de riscos, evitando a violação de dados, conforme descrito no inciso XVII, do art. 5º, da LGPD:
“XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;”
Como pode ser observado, os principais responsáveis pela elaboração do relatório LGPD são o controlador, o operador de dados e o encarregado da proteção de dados.
Como fazer o RIPDP
Antes de explicar como fazer o relatório, é importante destacar que não há comunicação alguma oficial da ANPD sobre a elaboração deste relatório. Portanto, se utilizará como metodologia a ICO - information commissioner’s office. Confira então o passo a passo:
1 – Identificação da necessidade de elaboração do relatório
Neste primeiro ponto será necessário descrever as razões que levaram a entender que seria necessário a elaboração do RIPDP.
2 – Descrição do tratamento de dados
Aqui basicamente será explicado como é estes dados são coletados, utilizados, armazenados e excluídos da base.
Importante não esquecer de inserir informações como:
- Natureza dos dados;
- Existência ou não de tratamento de dados sensíveis;
- Volume de dados coletados e usados;
- Frequência da coleta;
- Tempo de manutenção dos dados;
- Quantidade de titulares afetada;
- Área geográfica que o tratamento abrange;
- Detalhamento das fontes de dados;
- Possível necessidade de compartilhamento com terceiros;
- Fluxograma dos dados.
3 – Processo de consulta
É de extrema importância que nesta parte do RIPDP esteja descrito quando e como se buscou a opinião dos titulares dos dados, como também de especialistas.
4 – Avaliação da necessidade e proporcionalidade
Podemos identificar, para a elaboração do RIPDP, a necessidade e proporcionalidade do tratamento de dados com as seguintes questões:
- Qual é a base legal do tratamento?
- O tratamento dos dados alcança o objetivo descrito?
- Existem outras maneiras de alcançar o mesmo objetivo?
- Como se dá a segregação de funções conflitantes na organização?
- Quais informações serão disponibilizadas aos titulares dos dados?
- Como a empresa apoia os direitos dos titulares?
- Quais medidas garantem a conformidade dos operadores envolvidos?
- Como a empresa protege os dados pessoais durante as transferências internacionais?
5 – Identificação e avaliação de riscos
Aqui serão documentados as fontes de risco, sua probabilidade de concretização e a natureza dos potenciais impactos nos titulares, abrangendo também os riscos corporativos ou de conformidade.
6 – Medidas adotadas para tratamento dos riscos
Neste momento já é de conhecimento quais são os riscos existentes, assim, fica mais claro identificar quais medidas adotar conforme o nível de cada risco, principalmente aqueles considerados como risco inaceitáveis.
7 – Aprovação e assinatura do relatório
Aqui se dará a conclusão do RIPDP, dessa forma, deverá conter os resumos dos pareceres do encarregado e demais especialistas, como também dos responsáveis pela elaboração do documento.