Curso de LGPD GRÁTIS - Semana de LGPD na Prática (5, 6 e 7 de março)
Geral

Relatório de Impacto à Proteção de Dados

À primeira vista, devemos atentar para a relevância do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) na implementação da LGPD. Não por outra razão a demanda das empresas por um modelo é tão recorrente no dia a dia corporativo.

Tendo em vista que a abordagem do curso é predominantemente prática, disponibilizaremos esse documento em nossos módulos. Todavia, para facilitar a compreensão do tema, vamos trazer algumas noções pertinentes sobre o tão solicitado documento.

Antes de mais nada, é preciso saber que o relatório é também chamado DPIA, que significa Data Protection Impact Assessment. Assim, para facilitar a assimilação, vamos nos referir a ele como DPIA.

O que é um DPIA?

Relatório de Impacto à Proteção de Dados

De antemão, trata-se da documentação emitida pelo controlador, a qual contém a descrição dos processos de tratamento de dados pessoais.

Ao mesmo tempo, não se está a falar de quaisquer dados pessoais, mas daqueles que podem gerar riscos às liberdades civis e aos direitos fundamentais.

Além disso, constará do DPIA as medidas, salvaguardas e mecanismos para mitigação de tais riscos.

Ou seja, o DPIA nada mais é do que a análise, identificação e minimização dos riscos relacionados a incidentes de segurança.

Ademais, o documento objetiva a indicação da viabilidade do tratamento de dados pretendido pela empresa.

Agora que entendemos em que consiste o DPIA, passemos à análise de sua importância.

Qual é a sua importância?

Em regra, trata-se de um documento de emissão facultativa; entretanto, sua confecção só traz benefícios à empresa. Vejamos.

Quando a autoridade nacional poderá requisitar o DPIA ao Controlador?

  • Quando o tratamento de dados tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial (artigo 10,§ 3.º).
  • Para os tratamentos de dados pessoais pelo Poder Público (artigo 32)
  • Para dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial (artigo 38).

De acordo com a lei, a Autoridade Nacional de Proteção de Dados (ANPD), poderá, para sua própria análise, exigir o DPIA sempre que entender necessário, ou quando da ocorrência de um incidente de segurança ou qualquer outro relacionado a vazamento de dados pessoais. É um risco presente.

Em conclusão, diante da eventualidade da Autoridade Nacional exercer seu poder requisitório, o Controlador tem de estar preparado para apresentar o DPIA no momento oportuno. É uma questão de previdência.

Quando o DPIA é compulsório?

De fato, há quatro exceções nas quais a LGPD prevê a obrigatoriedade do DPIA. Em síntese, dizem respeito ao tratamento de dados relativos à segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais (artigo 4.º, III, §3.º, LGPD).

Sobre a boa prática e accountability

A princípio, além de ser um instrumento profilático, o DPIA é visto como boa prática, de modo a atender o princípio da prestação de contas (accountability). O respeito a tais princípios não passará despercebido pelas autoridades na ocorrência de eventual incidente de segurança.

Em outras palavras, a elaboração do DPIA poderá ser considerada “atenuante” quando da aplicação de eventuais sanções pela ANPD. Nesses termos, é o que dispõe o artigo 52 da Lei Geral de Proteção de Dados.

Nesse contexto, veja uma breve síntese:

Relatório de Impacto à Proteção de Dados

O que deve conter no DPIA?

Informações Mínimas

A LGPD, em seu artigo 38, elenca o rol de informações mínimas a constar do DPIA. Veja a seguir:

Relatório de Impacto à Proteção de Dados

Sobre a descrição e coleta de dados

Mas que dados são inseridos no DPIA?

Com relação à descrição dos tipos de dados coletados, o controlador deverá informar, de forma detalhada, quais são os dados dos titulares que serão coletados e tratado. Por exemplo, nome, CPF, RG, endereço de IP, etc.

Logo, é de extraordinária importância que o controlador sempre esteja atento em relação à coleta de dados sensíveis. Parece difícil mas não é.

Metodologia da Coleta

Sob o mesmo ponto de vista, o controlador deverá especificar a metodologia de captação de dados. Por conseguinte, especificará se a coleta ocorre por meios públicos, por fornecimento ativo do titular (através de formulário), e etc.

Ao passo que é necessária a observação da metodologia de coleta e atenção severa aos princípios da segurança da informação, é recomendável o auxílio de técnico da área de segurança da informação.

Como elaborar um relatório eficaz?

Com a finalidade de elaborar um relatório eficaz, o controlador deverá descrever detalhadamente as medidas de identificação de riscos. Dessa forma, demonstrará como pretende evitar eventual incidente de segurança e como minimizará as consequências de tal incidente.

Exemplo de Relatório de Impacto à Proteção de Dados Pessoais ou DPIA

Quer ver uma prévia do nosso modelo de DPIA ou Relatório de Impacto à Proteção e Dados Pessoais? Podem contar conosco.

Abaixo você verá uma demonstração do template fornecido em nosso curso:

Só para ilustrar, veja mais esta sinopse do material fornecido:

Assim, fica mais claro, não é mesmo?

No curso teremos tempo para destrinchar o uso de modelos.

Considerações finais acerca do DPIA

Relatório de Impacto à Proteção de Dados

Acima de tudo, o DPIA possibilitará à Autoridade a análise das providências e cuidados adotados pelo controlador em relação ao tratamento de dados dos titulares.

Logo, é fácil perceber que o DPIA é um documento de fundamental importância na sua empresa. Conforme mencionamos, trata-se de uma demonstração não só de zelo com a LGPD, mas de transparência e responsabilidade social empresarial.

Desta maneira, ao desenvolver previamente um relatório que descrimina a boa prática de proteção de dados, o empresário está se posicionando abertamente para um mercado protetivo ao usuário. Vale a pena.

Em conclusão, se você ainda não elaborou o DPIA ou Relatório de Impacto à Proteção de Dados Pessoais ou não sabe fazê-lo, não precisa mais se preocupar; nós do Curso Implementando a LGPD queremos te ajudar nesta jornada de adequação.

Juntamente com essa matéria, você pode complementar a leitura com nosso ebook, clicando aqui.

Por fim, se você quer ficar por dentro de tudo que estamos preparando no Curso Implementando a LGPD clique aqui.

Agradecemos a atenção.

Até a próxima.