MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Como criar um relatório de impacto da LGPD (RIPDP)?

Como criar um relatório de impacto da LGPD (RIPDP)?

Maria Fernanda Costa de Amorim

É importante destacar que não há comunicação alguma oficial da ANPD sobre a elaboração deste relatório.

quarta-feira, 18 de maio de 2022

Atualizado em 17 de maio de 2022 10:42

Com a Lei Geral de Proteção de Dados (LGPD), uma atividade que se tornou necessária para as empresas de todo o país é a produção de um relatório de impacto à proteção de dados pessoais (RIPDP).

Acontece que, nem todas as empresas sabem como elaborar este relatório e até mesmo os advogados e advogados que auxiliam nessa atividade possuem algumas dúvidas em relação a isso.

Por essa razão, hoje vou te contar o passo a passo para montar este relatório. Mas antes, é importante conceituar algumas coisas.

A LGPD

Prevista pela lei 13.709/18, a LGPD tem como objetivo regular a atividade de tratamento de dados pessoas, assim, preservando o direito fundamental à liberdade, privacidade e ao livre desenvolvimento da personalidade da pessoal natural.

Ou seja, ela tem intuito de criar uma relação mais transparente entre o titular dos dados e quem está sob sua custódia.

Assim, ela estabelece diversas condições sobre: como os dados devem ser tratados, direito dos titulares, obrigações para quem os detém e outros diversos procedimento para o devido tratamento dos dados.

O que é o relatório de impacto LGPD e quem é responsável por ele?

O relatório de impacto, ou RIPDP, nada mais é do que um instrumento a mais que contribui na gestão de riscos, evitando a violação de dados, conforme descrito no inciso XVII, do art. 5º, da LGPD:

"XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;"

Como pode ser observado, os principais responsáveis pela elaboração do relatório LGPD são o controlador, o operador de dados e o encarregado da proteção de dados.

Como fazer o RIPDP

Antes de explicar como fazer o relatório, é importante destacar que não há comunicação alguma oficial da ANPD sobre a elaboração deste relatório. Portanto, se utilizará como metodologia a ICO - information commissioner's office. Confira então o passo a passo:

1 - Identificação da necessidade de elaboração do relatório

Neste primeiro ponto será necessário descrever as razões que levaram a entender que seria necessário a elaboração do RIPDP.

2 - Descrição do tratamento de dados

Aqui basicamente será explicado como é estes dados são coletados, utilizados, armazenados e excluídos da base.

Importante não esquecer de inserir informações como:

  • Natureza dos dados;
  • Existência ou não de tratamento de dados sensíveis;
  • Volume de dados coletados e usados;
  • Frequência da coleta;
  • Tempo de manutenção dos dados;
  • Quantidade de titulares afetada;
  • Área geográfica que o tratamento abrange;
  • Detalhamento das fontes de dados;
  • Possível necessidade de compartilhamento com terceiros;
  • Fluxograma dos dados.

3 - Processo de consulta

É de extrema importância que nesta parte do RIPDP esteja descrito quando e como se buscou a opinião dos titulares dos dados, como também de especialistas.

4 - Avaliação da necessidade e proporcionalidade

Podemos identificar, para a elaboração do RIPDP, a necessidade e proporcionalidade do tratamento de dados com as seguintes questões:

  • Qual é a base legal do tratamento?
  • O tratamento dos dados alcança o objetivo descrito?
  • Existem outras maneiras de alcançar o mesmo objetivo?
  • Como se dá a segregação de funções conflitantes na organização?
  • Quais informações serão disponibilizadas aos titulares dos dados?
  • Como a empresa apoia os direitos dos titulares?
  • Quais medidas garantem a conformidade dos operadores envolvidos?
  • Como a empresa protege os dados pessoais durante as transferências internacionais?

5 - Identificação e avaliação de riscos

Aqui serão documentados as fontes de risco, sua probabilidade de concretização e a natureza dos potenciais impactos nos titulares, abrangendo também os riscos corporativos ou de conformidade.

6 - Medidas adotadas para tratamento dos riscos

Neste momento já é de conhecimento quais são os riscos existentes, assim, fica mais claro identificar quais medidas adotar conforme o nível de cada risco, principalmente aqueles considerados como risco inaceitáveis.

7 - Aprovação e assinatura do relatório

Aqui se dará a conclusão do RIPDP, dessa forma, deverá conter os resumos dos pareceres do encarregado e demais especialistas, como também dos responsáveis pela elaboração do documento.

Maria Fernanda Costa de Amorim

Maria Fernanda Costa de Amorim

Analista de Marketing do SAJ ADV - software jurídico. Pós-graduanda em Marketing Digital e Direito Digital, Inovação e Inteligência Artificial pela PUC Minas. Bacharela em Direito pela Universidade Estácio de Santa Catarina. Experiência com Direito Digital, Direito das Startups e Legal Design.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca