O que é o relatório de impacto à proteção de dados? Saiba agora.
A Lei Geral de Proteção de Dados (LGDP) promoveu diversas mudanças que afetam as empresas que lidam com dados pessoais, trazendo expressões pouco conhecidas. Umas dessas novidades é o relatório de impacto à proteção de dados (RIPD), previsto na lei de proteção de dados europeia como Data Protection Impact Assessment (DPIA).
Através do documento, é possível verificar eventuais riscos no tratamento de dados pelo Controlador e sugerir ações a partir de então. Interessado em conhecer mais sobre o tema? Acompanhe a seguir!
O que é o relatório de impacto à proteção de dados pessoais?
Em seu artigo 5º, a LGPD define o relatório como uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Ou seja, o relatório traz o detalhamento dos processos de tratamento pelo qual os dados passam desde a chegada à empresa, assim como as medidas necessárias para a diminuição dos riscos.
Quais as etapas de elaboração do relatório?
A Information Commissioner’s Officer (ICO), autoridade independente do Reino Unido que defende o direito de informação, apresenta sete etapas para a elaboração do relatório de impacto a proteção de dados. São elas:
- identificação da necessidade de elaborar o relatório;
- descrição do processamento dos dados;
- verificação da necessidade de consulta aos titulares de dados;
- avaliação da necessidade e proporcionalidade;
- identificação e avaliação de riscos;
- definição das medidas para mitigar os riscos;
- assinatura e registro dos resultados.
As etapas auxiliam na identificação de todos os pontos que devem estar contidos no relatório, e para tanto a equipe designada para o trabalho deve ter acesso a todas as áreas que tratam da recepção e tratamento dos dados pessoais.
É importante que a empresa defina um setor ou grupo de trabalho que tenha acesso a todas as áreas que tratam da recepção e tratamento de dados pessoais, para que realize o relatório.
Quais os principais elementos devem estar contidos no relatório?
De acordo com o artigo 38 da LGPD, a autoridade nacional poderá estabelecer que o controlador realize o relatório de impacto à proteção de dados pessoais referente às operações de tratamento realizadas dentro da empresa. O parágrafo único do referido artigo traz os principais elementos que o relatório deve conter:
- descrição dos tipos de dados coletados;
- metodologia utilizada para a coleta e para a garantia da segurança das informações;
- análise do controlador em relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Estes são os elementos mínimos do relatório, mas ainda é possível especificar com maior clareza diversas informações, como o contexto de tratamento, suas finalidades específicas, dentre outros.
Qual a importância do relatório?
Em virtude de ter como base a documentação de todo o procedimento adotado pela empresa, o relatório pode ser uma excelente ferramenta para visualizar as operações empresariais, o que permite evitar os excessos e adotar melhores soluções na proteção de dados.
Além disso, o relatório de impacto pode ser exigido das empresas pela Autoridade Nacional de Proteção de Dados (ANPD) para análise, especialmente quando forem observados incidentes de vazamento ou problemas envolvendo dados pessoais.
Desse modo, o relatório demonstra o comprometimento da empresa em relação à proteção dos dados pessoais e ainda representa cautela com relação às avaliações da autoridade nacional que podem vir a ser realizadas.
O relatório de impacto à proteção de dados é um instrumento relevante na proteção das empresas que manejam os dados pessoais, representando uma necessidade daquelas que desejam estar em conformidade com as determinações da LGPD.
Interessado em conhecer mais sobre o relatório e divulgar as informações para mais pessoas? Compartilhe o conteúdo nas redes sociais!