Com as mudanças na legislação acerca dos dados sensíveis nos ambientes online, é preciso uma série de adequações para que as empresas ajam com responsabilidade e ética. Para isso, uma das primeiras medidas que devem ser implementadas é a criação de um relatório de impacto à proteção de dados pessoais.
Para lhe ajudar a entender melhor este cenário e como elaborar este documento na sua empresa, criamos este artigo. Acompanhe a leitura!
Entenda o que é o Relatório de Impacto à Proteção de Dados Pessoais
Depois de um ano de vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) regulamentou o Relatório de Impacto à Proteção de Dados Pessoais (RIPDP), com o objetivo de definir diretrizes para a implementação do documento no Brasil.
A principal função dessa nova documentação é descrever os processos de tratamento dos dados pessoais capazes de trazer riscos à liberdade civil e aos direitos fundamentais, além de medidas, salvaguardas e mecanismos de mitigação de risco.
Em todos os casos, o relatório de impacto à proteção de dados pessoais deve conter:
- A descrição dos tipos de dados coletados;
- A técnica da coleta e os mecanismos para garantir a segurança das informações.
- As formas de mitigação de risco.
O RIPDP deve ser providenciado pelo controlador dos dados, seja ele uma pessoa natural ou jurídica, de direito público ou privado.
Etapas do Relatório de Impacto
Diante disso, o Governo Federal recomenda que o relatório de impacto à proteção de dados pessoais seja feito antes do início do tratamento dos dados. Nesse processo, o controlador deve seguir as seguintes etapas:
- Identificação da necessidade de elaborar o relatório de impacto;
- Descrição de como será o tratamento;
- Identificação das partes interessadas;
- Descrição da necessidade e proporcionalidade do tratamento dos dados pessoais;
- Avaliação dos riscos potenciais e inerentes ao tratamento;
- Identificação das medidas de mitigação de riscos adotadas;
- Aprovação do relatório;
- Revisão periódica do documento.
Qual a relação entre o relatório e a LGPD?
Assim como todas as outras avaliações de riscos que pautam a LGPD, o relatório de impacto à proteção de dados pessoais é focado nos direitos dos indivíduos, já que a sua elaboração acontece quando as atividades podem gerar riscos às liberdades civis e direitos fundamentais.
Dessa forma, a ANPD deve regulamentar o documento quando os casos de tratamento das informações representam um alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na lei.
Ou seja, mais do que se basear em riscos regulatórios, o relatório também prevê uma abordagem normativa baseada em direitos. Em todos os casos, a LGPD deve servir como uma espécie de mapa para que as organizações sejam éticas, responsáveis e seguras em relação aos dados.
Nesse sentido, o relatório de impacto à proteção de dados pessoais também é uma questão de competitividade, manutenção da imagem e cumprimento de direitos fundamentais, regulamentados pela ANPD.
Além disso, a publicação do documento também deve cumprir a finalidade de garantir a transparência e compreensão para o titular dos dados, evitando uma linguagem estritamente jurídica ou técnica.
O que é necessário para elaborar o da sua empresa?
Um dos fatores mais importantes do Relatório de Impacto é descrever como o tratamento se enquadra dentro dos requisitos de necessidade e proporcionalidade.
Outro ponto é que ele deve ser elaborado de preferência na fase inicial do projeto que inclui o tratamento de dados, agindo de forma antecipada e com o objetivo de evitar gastos desnecessários, além de trabalhar em etapas.
Identificação dos agentes de tratamento e encarregado
O primeiro passo da elaboração do documento é a identificação dos agentes de tratamento, ou seja, do controlador e do operador.
Além disso, é importante identificar o encarregado, pessoa indicada pelos agentes para atuar como canal de comunicação entre eles, o titular e a ANPD.
Necessidade de elaborar o relatório
O próximo passo é determinar a necessidade de realização do RIPDP em relação aos processos, projetos, produtos e serviços elegíveis para a realização do relatório.
Contudo, mesmo sem a clareza da legislação acerca dos critérios para a definição deste item, considere questões como decisões que produzam efeitos jurídicos, monitoramento sistemático, tratamento de dados em larga escala e informações sensíveis e relacionados a preferências pessoais
Descrição do tratamento de dados
O relatório de impacto à proteção de dados pessoais também deve conter informações relevantes sobre o tratamento de dados. Algumas informações indispensáveis são:
- A descrição da natureza do tratamento;
- Abrangência;
- Escopo;
- Contexto e finalidade;
- Definição de como são coletados os dados;
- Quais as fontes;
- Com quem são compartilhados e por quanto tempo serão retidos.
Partes interessadas
É preciso também destacar todas as partes consultadas no relatório além dos agentes e do encarregado, incluindo gestores, consultores, advogados, titulares e as demais partes interessadas.
Necessidade e proporcionalidade
Outro ponto bastante importante é como o tratamento se enquadra dentro dos requisitos de necessidade e proporcionalidade. É imprescindível que seja informada a base legal, demonstrando a necessidade do tratamento em vista do cumprimento da sua finalidade.
Identificação dos riscos e medidas para mitigá-los
Além disso, é preciso identificar os riscos com clareza, como acesso ou divulgação não autorizados, perda e roubo.
Depois de listar os riscos, é preciso definir as medidas para mitigá-los, através de técnicas de segurança e administrativas.
Aprovação do documento e revisão periódica
Por último, o relatório deve ser registrado e aprovado, contendo as assinaturas do responsável, encarregado e agentes do tratamento, além de prever a revisão periódica do documento.
Sua empresa cumpre as regras da LGPD?
Mais do que elaborar o relatório de impacto à proteção de dados pessoais, as empresas precisam adequar as suas políticas de coleta e tratamento de dados em virtude da LGPD e das sanções previstas.
De acordo com uma pesquisa da BluePex, apenas 4% das pequenas e médias empresas estão totalmente preparadas para a legislação. A pesquisa também afirma que 55% delas estão em busca de adequação à LGPD e outras 27% se consideram apenas parcialmente preparadas.
Nesse cenário, uma assessoria jurídica pode ajudar inúmeras empresas e startups tanto com o relatório de impacto à proteção de dados pessoais quanto com a lei, já que não se trata de um projeto de início, meio e fim, mas sim um processo contínuo. Quer saber o que muda nos seus contratos em relação ao relatório e à Lei Geral de Proteção de Dados Pessoais? Confira este artigo e fique por dentro.
