MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Como criar um relatório de impacto da LGPD (RIPDP)?

Como criar um relatório de impacto da LGPD (RIPDP)?

Maria Fernanda Costa de Amorim

É importante destacar que não há comunicação alguma oficial da ANPD sobre a elaboração deste relatório.

quarta-feira, 18 de maio de 2022

Atualizado em 17 de maio de 2022 10:42

Com a Lei Geral de Proteção de Dados (LGPD), uma atividade que se tornou necessária para as empresas de todo o país é a produção de um relatório de impacto à proteção de dados pessoais (RIPDP).

Acontece que, nem todas as empresas sabem como elaborar este relatório e até mesmo os advogados e advogados que auxiliam nessa atividade possuem algumas dúvidas em relação a isso.

Por essa razão, hoje vou te contar o passo a passo para montar este relatório. Mas antes, é importante conceituar algumas coisas.

A LGPD

Prevista pela lei 13.709/18, a LGPD tem como objetivo regular a atividade de tratamento de dados pessoas, assim, preservando o direito fundamental à liberdade, privacidade e ao livre desenvolvimento da personalidade da pessoal natural.

Ou seja, ela tem intuito de criar uma relação mais transparente entre o titular dos dados e quem está sob sua custódia.

Assim, ela estabelece diversas condições sobre: como os dados devem ser tratados, direito dos titulares, obrigações para quem os detém e outros diversos procedimento para o devido tratamento dos dados.

O que é o relatório de impacto LGPD e quem é responsável por ele?

O relatório de impacto, ou RIPDP, nada mais é do que um instrumento a mais que contribui na gestão de riscos, evitando a violação de dados, conforme descrito no inciso XVII, do art. 5º, da LGPD:

"XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;"

Como pode ser observado, os principais responsáveis pela elaboração do relatório LGPD são o controlador, o operador de dados e o encarregado da proteção de dados.

Como fazer o RIPDP

Antes de explicar como fazer o relatório, é importante destacar que não há comunicação alguma oficial da ANPD sobre a elaboração deste relatório. Portanto, se utilizará como metodologia a ICO - information commissioner's office. Confira então o passo a passo:

1 - Identificação da necessidade de elaboração do relatório

Neste primeiro ponto será necessário descrever as razões que levaram a entender que seria necessário a elaboração do RIPDP.

2 - Descrição do tratamento de dados

Aqui basicamente será explicado como é estes dados são coletados, utilizados, armazenados e excluídos da base.

Importante não esquecer de inserir informações como:

  • Natureza dos dados;
  • Existência ou não de tratamento de dados sensíveis;
  • Volume de dados coletados e usados;
  • Frequência da coleta;
  • Tempo de manutenção dos dados;
  • Quantidade de titulares afetada;
  • Área geográfica que o tratamento abrange;
  • Detalhamento das fontes de dados;
  • Possível necessidade de compartilhamento com terceiros;
  • Fluxograma dos dados.

3 - Processo de consulta

É de extrema importância que nesta parte do RIPDP esteja descrito quando e como se buscou a opinião dos titulares dos dados, como também de especialistas.

4 - Avaliação da necessidade e proporcionalidade

Podemos identificar, para a elaboração do RIPDP, a necessidade e proporcionalidade do tratamento de dados com as seguintes questões:

  • Qual é a base legal do tratamento?
  • O tratamento dos dados alcança o objetivo descrito?
  • Existem outras maneiras de alcançar o mesmo objetivo?
  • Como se dá a segregação de funções conflitantes na organização?
  • Quais informações serão disponibilizadas aos titulares dos dados?
  • Como a empresa apoia os direitos dos titulares?
  • Quais medidas garantem a conformidade dos operadores envolvidos?
  • Como a empresa protege os dados pessoais durante as transferências internacionais?

5 - Identificação e avaliação de riscos

Aqui serão documentados as fontes de risco, sua probabilidade de concretização e a natureza dos potenciais impactos nos titulares, abrangendo também os riscos corporativos ou de conformidade.

6 - Medidas adotadas para tratamento dos riscos

Neste momento já é de conhecimento quais são os riscos existentes, assim, fica mais claro identificar quais medidas adotar conforme o nível de cada risco, principalmente aqueles considerados como risco inaceitáveis.

7 - Aprovação e assinatura do relatório

Aqui se dará a conclusão do RIPDP, dessa forma, deverá conter os resumos dos pareceres do encarregado e demais especialistas, como também dos responsáveis pela elaboração do documento.

Maria Fernanda Costa de Amorim

Maria Fernanda Costa de Amorim

Analista de Marketing do SAJ ADV - software jurídico. Pós-graduanda em Marketing Digital e Direito Digital, Inovação e Inteligência Artificial pela PUC Minas. Bacharela em Direito pela Universidade Estácio de Santa Catarina. Experiência com Direito Digital, Direito das Startups e Legal Design.

SAJ ADV - Software Jurídico SAJ ADV - Software Jurídico
APOIADORES
Apoiador Migalhas
ver todos
FOMENTADORES
Fomentador Migalhas
ver todos

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca
QUERO SER MIGALHEIRO VIP