RIPD – Dicas para a criação do Relatório de Impacto a Proteção de Dados Pessoais

Esta nova lei, traz consigo uma nova exigência para as empresas: Relatório de Impacto a Proteção de Dados, que serve como um documento legal caso ocorra alguma eventualidade de extravio ou vazamento de dados.

De um modo geral, este relatório deve prever quais são as medidas de tratamento que a empresa faz, qual é o esforço que ela desempenha na proteção dos dados coletados e quais serão as ações que ela desempenhará em caso de vazamento.

A urgência deste documento diminui quando uma empresa adota rapidamente este relatório e expõe de maneira clara e simples, quais foram as boas práticas de segurança adotas por ela no processamento de dados. Este relatório não irá eximir a empresa de suas resposabilidades, porém, dará um amplo apoio em caso fortuito.

A Lei ainda prevê, no seu artigo 52, que a ANPD (Agência Nacional de Proteção de Dados) deverá levar em consideração, alguns pontos antes de aplicar qualquer sansão legal para a empresa infratora, como a boa-fé da empresa, vantagem auferida ou pretendida pelo infrator, sua condição econômica, sua reincidência, o grau do dano causado e a sua cooperação para sanar o mesmo.

Este relatório fica a cargo da controladora dos dados criar, pois é ela quem decide o ciclo de vida do dado, desde quais dados irá coletar especificando detalhadamente o motivo, passando pelo modo como irá fazer o tratamento, proteção e garantia da privacidade e finalizando com o modo de descarte.

No teor da lei, o artigo Sexto, demonstra 10 princípios de boa-fé para a coleta dos dados, que devem ser levados em conta:

  • Finalidade: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequação: Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Necessidade: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Livre Acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • Qualidade dos dados: Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  •  Transparência: Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Segurança: Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Não Discriminação: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • Responsabilização e Prestação de Contas: Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Vale salientar que no RIPD, é aconselhável demonstrar como a empresa irá mitigar os riscos e de uma maneira geral expor como o títular pode checar quais dados a controladora possuí, e como poderá fazer a solicitação de exclusão.

De uma simples, estes pontos trazidos devem auxiliar a criação deste documento legal, porém, é altamente recomendado a validação deste documento com um escritório jurídico e também com a prestadora de serviços de TI, para assegurar que todos os pontos foram vistos e adequados.

AboutXamã Sistemas