O que deve conter o Relatório de impacto à proteção de dados pessoais (RIPD)

O relatório de impacto à proteção de dados pessoais (RIPD) ou na versão em inglês data protection impact assessments (DPIA) é um relatório elaborado ou atualizado sempre que existir a possibilidade de ocorrer impacto na privacidade dos dados pessoais.

Conforme o art.38 ele pode ser solicitado a qualquer momento sob determinação da ANPD ou quando houver infração da LGPD em decorrência do tratamento de dados pessoais. O documento deve conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais. O RIPD pode e deve ser criando contendo:

Descrição do tratamento

Qual o contexto e finalidade do tratamento de dados pessoais, a finalidade é a razão ou motivo pelo qual sua empresa treta os dados pessoais. É importantíssimo descrever a finalidade, pois é ela que justifica o tratamento com base nas hipóteses legais.

Natureza do tratamento

Qual o ciclo de vida dos dados , qual a fonte de origem, como são coletados, armazenados, tratados, usados e eliminados.
Cabe um diagrama que demonstre o fluxo dos dados.
Com quais órgãos, entidades ou empresas os dados pessoais serão compartilhados. Quais medidas de segurança atualmente adotadas

Escopo do tratamento

Destacar quais os tipos dos dados pessoais tratados, ressaltando quais dos dados são considerados dados pessoais sensíveis.
O volume dos dados pessoais a serem coletados e tratados e qual o período de retenção no qual os dados pessoais serão mantidos.
Quantidade de titulares de dados podem ser afetados pelo tratamento e qual a abrangência da área geográfica do tratamento.
Importante destacar se o tratamento envolve crianças, adolescentes ou outro grupo vulnerável.

Partes interessadas (internas e externas)

Descreva as partes interessadas, ou seja todos aqueles que foram consultados a fim de obter opiniões legais, técnicas ou administrativas. O que foi proposto e aplicado. Uma boa opção é ter um comitê gestor para tratar sobre os temas.

Necessidade e proporcionalidade

Com base no que foi descrito acima é necessário demonstrar que as operações se limitam ao mínimo necessário para a realização de suas finalidades Destaque a fundamentação legal para o tratamento dos dados pessoais (Exemplo, legítimo interesse). É importante também detalhes sobre transferências internacionais de dados.

Identificar e avaliar os riscos

Avaliação de risco é parte da análise de risco, é um método de identificar vulnerabilidades e ameaças para avaliar os possíveis impactos e determinar como implementar controles de segurança. Recomendo a leitura do artigo a seguir:

Medidas para tratar os riscos

Uma vez que tenha sido feira a analise de risco e detalhado no documento é importante discriminar as medidas técnicas, ou administrativas utilizadas para tratar os riscos.

Nem sempre é possível ou necessário eliminar todos os riscos. Mas se houver um risco muito alto identificado e não é possível mitigar ou eliminar então é altamente recomendável consultar a ANPD antes de prosseguir com as operações de tratamento dos dados pessoais.

Consideração final sobre o RIPD

O documento deve ser atualizado anualmente ou quando houver mudanças relacionadas ao tratamento de dados. Um vez terminado a primeira versão é necessário a aprovação do documento por meio das assinaturas do
responsável pela elaboração do documento, pelo encarregado e pelas autoridades que representam o controlador e operador .
O responsável pela elaboração do Relatório pode ser o próprio encarregado ou qualquer outra pessoa designada pelo controlador com conhecimento necessário para realizar tal tarefa.

Download do Modelo de relatório de Impacto

👉🏻 Faça o download do modelo do word (.docx) como fonte inicial para criar o seu RIPD.


Recursos atualizados através do site “Guias Operacionais para adequação à LGPD”

Fonte de pesquisa: Este artigo e o modelo disponível para download foram baseado no documento “Guia de Boas Práticas – Lei Geral de Proteção de Dados (LGPD)” https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd

Guias Operacionais para adequação à LGPD – https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-operacionais-para-adequacao-a-lgpd

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*