O que é o Relatório de Impacto da Proteção de Dados Pessoais (RIPDP)
Gestão BR Segurança

O que é o Relatório de Impacto da Proteção de Dados Pessoais (RIPDP)

Abraão Almeida
Abraão Almeida

Tabela de conteúdos

O Relatório de Impacto da Proteção de Dados Pessoais passou a ser muito debatido depois que a LGPD completou seu primeiro ano de publicação.

A implementação e confecção deste documento no Brasil tem suas diretrizes traçadas pela Autoridade Nacional de Proteção de Dados (ANPD).

Isso significa que há padrões e regras a serem seguidos e nós vamos falar sobre eles ao longo deste artigo.

Mas vamos começar explicando melhor do que se trata o Relatório de Impacto da Proteção de Dados Pessoais para, em seguida, explicar como você deve montar o seu.

Veja nos tópicos seguintes.

Sobre o Relatório de Impacto da Proteção de Dados Pessoais

Para entender o conceito, a concepção e a necessidade do Relatório de Impacto da Proteção de Dados Pessoais (RIPDP), precisamos primeiro lembrar qual é o principal objetivo da LGPD.

Esta Lei tem o propósito de impedir que o tratamento de dados pessoais cause danos ou riscos à liberdade individual e aos direitos do titular desses dados.

Nesse contexto, o Relatório de Impacto da Proteção de Dados Pessoais é um instrumento que orienta a gestão dos riscos para evitar as possíveis violações de dados pessoais.

Ou seja, o RIPDP tem como finalidade a proteção dos direitos do titular dos dados. Veja a definição do RIPDP segundo a própria LGPD:

“Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas salvaguardas e mecanismos de mitigação de risco.

No caso, o controlador é a pessoa ou empresa que detém e lida com os dados, a quem cabe a tomada de decisões referentes ao tratamento deles.

Portanto, podemos dizer que o RIPDP ajuda as empresas na identificação de riscos que podem estar presentes em suas rotinas de tratamento de dados.

Além disso, ele ajuda também na compreensão sobre a eficácia ou não das medidas de segurança adotadas pelo negócio em relação aos riscos encontrados.

Caso as medidas e procedimentos sejam eficazes, é o RIPDP que vai mostrar à ANPD que a empresa está conseguindo manter seguros os dados pessoais com os quais lida.

Teste Hosts Green gratuito

Mas, além da ANPD, a empresa também pode usar o RIPDP para comprovar sua responsabilidade em relação aos dados para os próprios clientes, fornecedores, investidores e parceiros.

Ou seja, o RIPDP funciona tanto como um instrumento interno para a orientação dos próprios gestores quanto como um documento a ser apresentado para comprovar externamente a responsabilidade da empresa em relação aos dados pessoais.

Existem diversas situações em que a elaboração do relatório pode ser necessária, sobretudo quando ele é solicitado pela própria ANPD.

Mas é importante lembrar que, mesmo sem a solicitação pela ANPD, a elaboração do Relatório de Impacto da Proteção de Dados Pessoais é uma boa prática de gestão de riscos.

No tópico seguinte, vamos falar sobre as informações que devem estar contidas no RIPDP e como elaborá-lo.

Como montar o seu Relatório de Impacto da Proteção de Dados Pessoais

As informações mínimas que devem estar contidas no RIPDP são a descrição dos tipos de dados coletados, a metodologia usada na coleta e a análise feita pelo controlador a respeito das medidas e mecanismos de mitigação dos riscos.

Segundo recomendação do Governo Federal, o RIPDP deve ser elaborado antes do início do tratamento dos dados pessoais.

Vemos a seguir quais são as etapas de elaboração do Relatório de Impacto da Proteção de Dados Pessoais:

1 - Identificação dos agentes de tratamento e do encarregado dos dados pessoais

Estas informações devem estar no início do relatório. Os agentes de tratamento são o controlador e o operador dos dados e o encarregado dos dados pessoais é a pessoa indicada pelo controlador para estabelecer a comunicação entre ele, os titulares dos dados e a ANPD.

2 - Identificação da necessidade de elaborar o Relatório de Impacto da Proteção de Dados Pessoais

No início do documento, é preciso descrever os motivos que levaram à conclusão de que sua elaboração é necessária.

A empresa pode se basear em seus próprios processos e rotinas de tratamento de dados para definir essa justificativa.

Assim, nessa parte inicial, deve haver também uma explicação sobre quais objetivos o projeto em questão pretende alcançar e o tipo de tratamento de dados envolvido.

Podem ser citados ou consultados outros documentos da empresa, como os próprios relatórios anteriores.

3 - Descrição do tratamento de dados

Esta etapa corresponde à explicação sobre como os dados são coletados, utilizados, armazenados e excluídos.

É importante citar informações como:

  • Natureza dos dados;
  • Existência ou não de tratamento de dados sensíveis;
  • Volume de dados coletados e usados;
  • Frequência da coleta;
  • Tempo de manutenção dos dados;
  • Quantidade de titulares afetada;
  • Área geográfica que o tratamento abrange;
  • Detalhamento das fontes de dados;
  • Possível necessidade de compartilhamento com terceiros;
  • Fluxograma dos dados.

4 - Descrição da necessidade e da proporcionalidade do tratamento de dados pessoais

A necessidade e a proporcionalidade do tratamento de dados podem ser identificadas a partir das respostas a questões como as seguintes:

  • Qual é a base legal do tratamento?
  • O tratamento dos dados alcança o objetivo descrito?
  • Existem outras maneiras de alcançar o mesmo objetivo?
  • Como se dá a segregação de funções conflitantes na organização?
  • Quais informações serão disponibilizadas aos titulares dos dados?
  • Como a empresa apoia os direitos dos titulares?
  • Quais medidas garantem a conformidade dos operadores envolvidos?
  • Como a empresa protege os dados pessoais durante as transferências internacionais?

5 - Realização de processo de consulta

O processo de consulta corresponde à busca de informações sobre os procedimentos usados no tratamento de dados tanto nas diferentes áreas da própria empresa quanto com operadores de dados externos e especialistas, além dos próprios titulares dos dados.

Nesta etapa do relatório, é importante descrever quando e como a empresa buscou as opiniões dos titulares, especialistas e terceiros.

6 - Identificação dos riscos potenciais relativos ao tratamento de dados pessoais

Nesta etapa são documentadas as fontes de riscos, sua probabilidade de concretização e a natureza do potencial impacto, incluindo os riscos corporativos e de conformidade.

Nesse sentido, é importante mapear a fonte de cada risco, o nível de probabilidade, o nível de impacto e o nível de risco.

Nova call to action

7 - Identificação das medidas adotadas para tratar os riscos

A partir do conhecimento dos riscos e seus níveis de impacto é possível identificar as medidas a serem adotadas para mitigar esses riscos.

Nesta etapa, você deve deixar claro quais são os riscos considerados aceitáveis e quais são inadmissíveis.

Assim, você pode descrever os riscos, as opções de tratamento de risco, o efeito do tratamento de risco, o risco residual e a aprovação da opção escolhida para o tratamento do risco.

8 - Aprovação e assinatura do relatório

Esta é a etapa final da elaboração do Relatório de Impacto da Proteção de Dados Pessoais. Ela deve conter o resumo dos pareceres do encarregado e dos demais especialistas envolvidos, além da assinatura dos responsáveis pela elaboração do documento.

Se o tratamento adequado dos dados é uma das prioridades na gestão do seu negócio, você deve aderir às práticas de governança de TI.

Isso vai tornar a rotina de cuidados com os dados muito mais organizada e facilitar a composição do Relatório de Impacto da Proteção de Dados Pessoais. Leia: Governança de TI: o que é e como implementá-la.

Junte-se à conversa.

Você também pode gostar
6 dicas para pequenos e médios empreendedores não passarem sufoco com gestão de dados
BR
members

6 dicas para pequenos e médios empreendedores não passarem sufoco com gestão de dados

Simples Agenda
O que são dados anonimizados e como realizar esse processo?
BR
members

O que são dados anonimizados e como realizar esse processo?

Abraão Almeida
Abraão Almeida
Gestão de TI: o que é e como diferenciar da governança de TI
TI
members

Gestão de TI: o que é e como diferenciar da governança de TI

Abraão Almeida
Abraão Almeida