À primeira vista, devemos atentar para a relevância do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) na implementação da LGPD. Não por outra razão a demanda das empresas por um modelo é tão recorrente no dia a dia corporativo.
Tendo em vista que a abordagem do curso é predominantemente prática, disponibilizaremos esse documento em nossos módulos. Todavia, para facilitar a compreensão do tema, vamos trazer algumas noções pertinentes sobre o tão solicitado documento.
Antes de mais nada, é preciso saber que o relatório é também chamado DPIA, que significa Data Protection Impact Assessment. Assim, para facilitar a assimilação, vamos nos referir a ele como DPIA.
O que é um DPIA?
De antemão, trata-se da documentação emitida pelo controlador, a qual contém a descrição dos processos de tratamento de dados pessoais.
Ao mesmo tempo, não se está a falar de quaisquer dados pessoais, mas daqueles que podem gerar riscos às liberdades civis e aos direitos fundamentais.
Além disso, constará do DPIA as medidas, salvaguardas e mecanismos para mitigação de tais riscos.
Ou seja, o DPIA nada mais é do que a análise, identificação e minimização dos riscos relacionados a incidentes de segurança.
Ademais, o documento objetiva a indicação da viabilidade do tratamento de dados pretendido pela empresa.
Agora que entendemos em que consiste o DPIA, passemos à análise de sua importância.
Qual é a sua importância?
Em regra, trata-se de um documento de emissão facultativa; entretanto, sua confecção só traz benefícios à empresa. Vejamos.
Quando a autoridade nacional poderá requisitar o DPIA ao Controlador?
- Quando o tratamento de dados tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial (artigo 10,§ 3.º).
- Para os tratamentos de dados pessoais pelo Poder Público (artigo 32)
- Para dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial (artigo 38).
De acordo com a lei, a Autoridade Nacional de Proteção de Dados (ANPD), poderá, para sua própria análise, exigir o DPIA sempre que entender necessário, ou quando da ocorrência de um incidente de segurança ou qualquer outro relacionado a vazamento de dados pessoais. É um risco presente.
Em conclusão, diante da eventualidade da Autoridade Nacional exercer seu poder requisitório, o Controlador tem de estar preparado para apresentar o DPIA no momento oportuno. É uma questão de previdência.
Quando o DPIA é compulsório?
De fato, há quatro exceções nas quais a LGPD prevê a obrigatoriedade do DPIA. Em síntese, dizem respeito ao tratamento de dados relativos à segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais (artigo 4.º, III, §3.º, LGPD).
Sobre a boa prática e accountability
A princípio, além de ser um instrumento profilático, o DPIA é visto como boa prática, de modo a atender o princípio da prestação de contas (accountability). O respeito a tais princípios não passará despercebido pelas autoridades na ocorrência de eventual incidente de segurança.
Em outras palavras, a elaboração do DPIA poderá ser considerada “atenuante” quando da aplicação de eventuais sanções pela ANPD. Nesses termos, é o que dispõe o artigo 52 da Lei Geral de Proteção de Dados.
Nesse contexto, veja uma breve síntese:
O que deve conter no DPIA?
Informações Mínimas
A LGPD, em seu artigo 38, elenca o rol de informações mínimas a constar do DPIA. Veja a seguir:
Sobre a descrição e coleta de dados
Mas que dados são inseridos no DPIA?
Com relação à descrição dos tipos de dados coletados, o controlador deverá informar, de forma detalhada, quais são os dados dos titulares que serão coletados e tratado. Por exemplo, nome, CPF, RG, endereço de IP, etc.
Logo, é de extraordinária importância que o controlador sempre esteja atento em relação à coleta de dados sensíveis. Parece difícil mas não é.
Metodologia da Coleta
Sob o mesmo ponto de vista, o controlador deverá especificar a metodologia de captação de dados. Por conseguinte, especificará se a coleta ocorre por meios públicos, por fornecimento ativo do titular (através de formulário), e etc.
Ao passo que é necessária a observação da metodologia de coleta e atenção severa aos princípios da segurança da informação, é recomendável o auxílio de técnico da área de segurança da informação.
Como elaborar um relatório eficaz?
Com a finalidade de elaborar um relatório eficaz, o controlador deverá descrever detalhadamente as medidas de identificação de riscos. Dessa forma, demonstrará como pretende evitar eventual incidente de segurança e como minimizará as consequências de tal incidente.
Exemplo de Relatório de Impacto à Proteção de Dados Pessoais ou DPIA
Quer ver uma prévia do nosso modelo de DPIA ou Relatório de Impacto à Proteção e Dados Pessoais? Podem contar conosco.
Abaixo você verá uma demonstração do template fornecido em nosso curso:
Só para ilustrar, veja mais esta sinopse do material fornecido:
Assim, fica mais claro, não é mesmo?
No curso teremos tempo para destrinchar o uso de modelos.
Considerações finais acerca do DPIA
Acima de tudo, o DPIA possibilitará à Autoridade a análise das providências e cuidados adotados pelo controlador em relação ao tratamento de dados dos titulares.
Logo, é fácil perceber que o DPIA é um documento de fundamental importância na sua empresa. Conforme mencionamos, trata-se de uma demonstração não só de zelo com a LGPD, mas de transparência e responsabilidade social empresarial.
Desta maneira, ao desenvolver previamente um relatório que descrimina a boa prática de proteção de dados, o empresário está se posicionando abertamente para um mercado protetivo ao usuário. Vale a pena.
Em conclusão, se você ainda não elaborou o DPIA ou Relatório de Impacto à Proteção de Dados Pessoais ou não sabe fazê-lo, não precisa mais se preocupar; nós do Curso Implementando a LGPD queremos te ajudar nesta jornada de adequação.
Juntamente com essa matéria, você pode complementar a leitura com nosso ebook, clicando aqui.
Por fim, se você quer ficar por dentro de tudo que estamos preparando no Curso Implementando a LGPD clique aqui.
Agradecemos a atenção.
Até a próxima.
3 Comments
Pingback: Modelos de documentos para adequação à LGPD - Curso de LGPD - Blog Implementando a LGPD
Pingback: Inteligência Artificial e Proteção de Dados
Pingback: Cultura de Privacidade e Proteção de Dados LGPD - Implementando a LGPD