Com a LGPD em vigor desde Setembro de 2020, adequações e investimentos tiveram que ser providenciados, e um deles envolve a possível exigência da elaboração de um Relatório de Impacto à Proteção de Dados.
E para saber do que se trata e em que situações ele deve ser elaborado, continue acompanhando este artigo.
Conceito de Relatório de Impacto à Proteção de Dados
Também representado pela sigla RIPD, o Relatório de Impacto à Proteção de Dados se trata de um documento que detalha a forma como uma organização calcula a sua proteção e o seu tratamento de dados, ou seja, ele contém os processos do tratamento de acordo com o que é determinado pelo controlador (pessoa física ou jurídica que toma as decisões sobre essa função), as medidas e os mecanismos para redução de riscos.
Assim sendo, o RIPD deve incluir as seguintes informações:
- Análise do controlador sobre as medidas e os mecanismos voltados para minimizar os riscos de vazamento;
- Descrição dos tipos de dados coletados;
- Método utilizado para a coleta do conteúdo;
- Metodologia usada para garantir a segurança da informação.
E conforme brevemente explicado, esse documento pode ser solicitado pela ANPD (Autoridade Nacional de Proteção de Dados) por diferentes motivos, tais como: ser um agente do Poder Público, se tratar de uma transferência internacional do conteúdo ou quando o tratamento contém dados sensíveis, ao incluir casos em que possa provocar riscos às liberdades civis e aos direitos fundamentais, ou por legítimo interesse, excluindo os segredos comercial e industrial.
Benefícios do RIPD
Apesar de não ser obrigatório em algumas situações, ao elaborá-lo por conta própria, a empresa adota uma prática de gestão de risco, passa uma boa imagem aos parceiros e possíveis investidores, e tende a indicar o seu cuidado e a sua proatividade com relação à segurança de todos os indivíduos que têm seus dados coletados.
Sem contar que a organização:
- Passa a ter melhor compreensão dos riscos envolvendo os dados e do que pode ser feito para evitá-los ou resolvê-los;
- Analisa se a necessidade de tratar as informações pessoais compensam os riscos envolvidos;
- Pode contar com o documento caso precise elaborar uma declaração sobre os riscos para qualquer um dos interessados;
- Consegue identificar a necessidade e as oportunidades para adotar outras ferramentas em seus projetos;
- Tem a chance de evitar violações de dados, vazamentos em massa, assim como as sanções administrativas, como multas e danos à imagem e reputação, que são consequências após a comprovação de ações como essas que comprometem os pilares básicos da Lei Geral de Proteção de Dados (privacidade, transparência e segurança).
Elaboração do Documento
Sendo assim, ao ser exigido, é importante que o documento seja providenciado, no mínimo, com os seguintes quesitos, com exceção dos segredos comercial e industrial:
Agentes de Tratamento e Encarregado
Primeiramente, é preciso identificar o controlador e operador, que são responsáveis por tomar decisões a respeito do tratamento das informações pessoais e por colocá-las em prática, e fazer o tratamento, respectivamente – dependendo, pode acrescentar o Encarregado dos Dados Pessoais (DPO), que atua como canal de comunicação entre o controlador, os titulares e a ANPD.
Justificativa
Depois, é preciso explicar o motivo do RIPD, que pode envolver qualquer prática relacionada ao tratamento do conteúdo ou que possa resultar em risco à privacidade dos dados e/ou aos seus respectivos titulares.
Tratamento de Dados
Nesta parte, são descritos os processos do tratamento, que devem incluir a Natureza (modo como é feito), Escopo (abrangência), Contexto (fatores internos e externos que impactam nessa ação) e Finalidade (motivo).
Partes Consultadas e Interessadas
Devem ser listadas as pessoas internas e externas que foram consultadas, tais como consultores jurídicos, encarregado, especialistas em segurança da informação, gestores e operador, assim como suas respectivas impressões sobre a questão analisada.
Finalidade
Em seguida, é necessário indicar que o tratamento ocorre de acordo com as necessidades, finalidades e quantidades apontadas aos seus titulares.
Avaliação
Também precisam ser inseridos os riscos que podem ser identificados e analisados pelo controlador com o auxílio de um questionário, disponibilizado pelo Governo, sobre privacidade e segurança da informação.
Soluções
São detalhadas as medidas administrativas, técnicas ou de segurança que podem ser adotadas com o intuito de proteger as informações pessoais.
Aprovação e Revisão
Após ser elaborado, o Relatório de Impacto à Proteção de Dados é formalizado depois que são coletadas as assinaturas dos responsáveis pela sua aprovação. E conforme surjam necessidades de alterações que possam impactar o tratamento do conteúdo ou o período destinado anualmente chegue, são feitas revisões.
Por isso, o ideal é que todas as informações relevantes sejam acrescentadas no Relatório de Impacto à Proteção de Dados Pessoais e todos os colaboradores sejam consultados como fontes informativas.
Logo, o aconselhável é procurar o setor responsável ou contratar os serviços jurídicos de uma equipe especialista no assunto para que todos os quesitos sejam analisados, incluindo a devida adequação às determinações da LGPD.
