Layout do blog
nvseguros • 26 de agosto de 2021

5 passos simples para elaborar seu relatório de impacto de proteção de dados

>

Junto com a Lei Geral de Proteção de Dados, a LGPD, veio também uma série de regras e adequações para as organizações. Uma delas é o Relatório de Impacto de Proteção de Dados.

Mas o que é esse relatório, para que ele serve e como posso montar um para minha empresa? Acompanhe!

O que é o Relatório de Impacto de Proteção de Dados

Também conhecido pela sigla RIPD, o Relatório de Impacto de Proteção de Dados é uma ferramenta de análise de risco de quando a empresa precisa tratar dados que afetem seus titulares.

Segundo o artigo 5º, inciso XVII, da LGPD, é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Ele tem como base o Data Protection Impact Assessment, ou DPIA, que foi instituído pela legislação de proteção de dados da União Europeia, o GDPR.

Sua principal função é evitar que os dados pessoais sejam violados, bem como, ajudar a empresa a identificar os riscos que estão presentes nos seus processos e nas práticas de tratamento de dados.

Nesse documento deve conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos e também precisa constar as medidas e os mecanismos de mitigação desses riscos.

O RIPD serve para demonstrar toda a segurança dos dados pessoais tanto para clientes, fornecedores, quanto à ANPD, que é a Autoridade Nacional de Proteção de Dados, órgão que fiscaliza o cumprimento da LGPD, dentre outros.

Que tipo de empresa precisa ter um Relatório de Impacto de Proteção de Dados?

Não existe uma clareza sobre os critérios para a definição de quem precisa realizar o RIPD. No entanto, existem 9 diretrizes relevantes de avaliação das operações que podem levar à necessidade da construção do relatório.

Algumas dessas diretrizes são: se há tratamento na empresa de dados em larga escala, se há dados de titulares vulneráveis ou ainda, se há dados sensíveis ou de natureza altamente pessoal, entre outras.

5 dicas para criar o seu Relatório de Impacto de Proteção de Dados

Primeiramente, é importante salientar que a criação do RIPD deve ter a participação de todos que podem estar envolvidos com informações relevantes dentro da empresa. Mesmo que nem todos tenham as mesmas responsabilidades ou funções em sua criação.

Assim, elabora-se um documento com uma compilação dessas informações, de forma que todos possam analisá-lo posteriormente.

Além disso, é uma boa prática que esse documento seja criado na fase inicial do processo que incluirá o tratamento de dados.

Conheça agora os 5 passos básicos para a criação do RIPD:

1. Compreender e analisar a sua empresa

O primeiro passo é fazer um raio x da empresa para identificar a necessidade de um RIPD. Para isso, deve analisar todos os processos e como é feito o tratamento de dados pessoais, além de checar as diretrizes que mencionamos anteriormente.

Deve-se também identificar os agentes de tratamento e o encarregado, ou DPO, que é a pessoa indicada pelo controlador e pelo operador para ser o canal de comunicação entre os agentes, os titulares dos dados e a ANPD.

O operador é quem processa e trata os dados pessoais e pode ser pessoa física ou jurídica. Já o controlador, é o responsável pelo tratamento dos dados. Este também pode ser pessoa física ou jurídica.

2. Mapear os dados coletados

Durante essa etapa serão analisadas várias informações sobre os dados, tais como:

  • Qual a sua natureza e sua área geográfica;
  • Qual o volume de dados;
  • Se hoje existe tratamento de dados;
  • Com que frequência há coleta de dados e por quanto tempo eles são mantidos, entre outros.

3. Criar processos e fundamentar os conceitos das bases legais

Nessa etapa, a equipe deve buscar quais são os procedimentos de tratamento de dados tanto dentro da empresa quanto com especialistas ou até com os titulares desses dados. Deve haver uma metodologia para coleta das informações para que esta tenha sua segurança garantida.

Essa busca precisa de um registro, de modo que se saiba todos os envolvidos e suas opiniões.

Após decidir o tipo de tratamento, deve-se procurar as bases legais do mesmo e verificar se ele alcança o objetivo.

4. Identificar os riscos

Agora, a empresa irá descrever e documentar todas as fontes de risco, qual a probabilidade de ele acontecer e qual o impacto que ele causaria.

5. Criar medidas de mitigação dos riscos

Conhecendo todos os riscos e o que eles podem causar, pode-se, nessa última etapa, definir as  medidas  que serão adotadas para tratá-los.

Pode-se descrever quais os riscos e seus efeitos, as opções de tratamento e sua aprovação.

Após o registro dos resultados, conclui-se o Relatório. Nele deve conter os pareceres, as assinaturas dos responsáveis, a diretoria da organização e todos os que participaram da elaboração do mesmo.

Se você quer mais dicas como essa, acesse  nosso blog  e fique sempre por dentro de tudo o que tem a ver com a LGPD.

Fale conosco

Compartilhe o Artigo

Gostou do conteúdo? Confira outros posts recentes: 

Um homem está digitando em um notebook enquanto está sentado em uma mesa.

Violação de dados: como prevenir e reagir a incidentes cibernéticos

29 de novembro de 2024
Descubra o que é uma violação de dados, como ela ocorre e as melhores práticas para prevenir e responder a incidentes de segurança. Proteja suas informações e evite crimes cibernéticos!
Um close de um laptop com vários códigos nele

Vulnerabilidades cibernéticas: O que são e como proteger sua empresa

27 de novembro de 2024
Descubra como as vulnerabilidades cibernéticas podem expor dados e operações. Veja como proteger sua empresa com práticas de segurança e soluções eficazes.
Uma tela de computador com vários códigos

Ransomware: o que é e como se proteger

22 de novembro de 2024
O ransomware é uma das maiores ameaças no ambiente digital atual, afetando empresas de todos os portes. Este artigo explica tudo sobre o ransomware, como ele funciona, os impactos que pode causar e como você pode se proteger contra ele.
Homens trabalhando com um computador em cima da mesa

Plano de continuidade de negócios: estratégias para resiliência

20 de novembro de 2024
Descubra como as vulnerabilidades cibernéticas podem expor dados e operações. Veja como proteger sua empresa com práticas de segurança e soluções eficazes.
Um hacker sentado em frente a um computador em um quarto escuro

Engenharia Social: O que é e como se proteger

15 de novembro de 2024
A engenharia social é uma técnica de manipulação usada por cibercriminosos para explorar falhas humanas e obter informações privadas ou acesso a sistemas.
Um malhete em cima da mesa

LGPD: O que é e como proteger sua empresa de multas e vazamentos

14 de novembro de 2024
Entenda a LGPD e adote práticas que garantem a segurança de dados, evitando penalidades e ganhando a confiança do consumidor.
Mais Posts
Share by: