A LGPD Lei Geral de Proteção de Dados) estabelece uma série de exigências e critérios às empresas que tratam dados pessoais. Dentre eles, está a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

A segurança dos dados pessoais tratados é uma obrigação legal geral imposta aos agentes de tratamento, e o RIPD insere-se neste contexto.

O relatório é previsto como sendo um documento que deve ser elaborado pelo controlador sempre que o processo de tratamento de dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais.

Porém, mais do que um documento, o RIPD é um verdadeiro processo composto de etapas voltadas à avaliação e gerência dos riscos à privacidade em um determinado projeto. Conheça as etapas para preparação de um RIPD

Identifique dos agentes de tratamento e do encarregado

Apresente a Necessidade de elaborar o relatório

Descreva o tratamento de dados realizado

Apresente as Partes interessadas consultadas

Defina e proporcionalidade

Demonstre como administra Riscos à Proteção de Dados Pessoais

Medidas para mitigar os riscos

Aprovação do relatório

Conheça nosso treinamento sobre como prepara um relatório de impacto RIPD

Basicamente, o RIPD cumpre a função de demonstrar que o controlador avaliou os riscos nas operações de tratamento de dados pessoais e adotou medidas para mitigá-los. Em outras palavras, constitui uma ferramenta de gestão de riscos à privacidade. Um risco é um cenário no qual descreve-se um evento e suas respectivas consequências, mensuradas sob o seu impacto e probabilidade. A gestão de riscos, por outro lado, pode ser definida como as atividades voltadas ao controle sobre o risco pela organização. Além disso, está previsto que que a ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por fiscalizar o cumprimento da lei, poderá solicitar este relatório a qualquer momento. Por isso, é fundamental manter-se em dia com essa obrigação.

O RIPD não é apenas uma obrigação legal a ser cumprida, ele se configura em uma boa prática da organização para mitigar os riscos envolvidos em determinada operação de tratamento de dados pessoais.

Detalhamos abaixo de forma mais sucinta como o relatório deve ser elaborado. Lembrando, claro, que o desenvolvimento do Relatório de Impacto é um processo complexo e cuja confecção não está predefinida em lei e sim nos processos de privacidade de dados de uma organização.

Portanto, isso são apenas sugestões que devem ser avaliadas e adaptadas caso a caso nos contexto de cada empresa, não existe copiar e colar em um RIPD, pois considerando organização e a natureza da operação de tratamento de dados mudam completamente.

O RIPD deve ser elaborado, preferencialmente, na fase inicial do programa ou projeto que incluirá o tratamento de dados. Isto é, deve ele ser realizado desde a fase de concepção dos trabalhos de implementação de um SGSI. Trata-se, assim, de boa prática para a mitigação de riscos de forma antecipada, antecipando problemas, evitando gastos exacerbados de mudança do projeto quando já desenvolvido ou mesmo evitando a decisão pela sua inviabilidade. No entanto, ele também pode e deve ser elaborado para operações de tratamento já em andamento, ou aquelas que já fazem parte do sistema da organização.

Segundo o que está previsto no artigo 38 da LGPD, o Relatório de Impacto deve conter no mínimo: – as medidas e mecanismos de mitigação de risco adotados. – a descrição dos tipos de dados coletados; – a metodologia usada para a coleta e para a garantia da segurança dos dados;

Para englobar esses requisitos mínimos, o RIPD deve seguir uma elaboração por etapas, que descreveremos a seguir.

Fique atento pois LGPD determina que o relatório de impacto poderá ser solicitado nas seguintes circunstâncias conforme previsto na Lei

A qualquer momento, sob determinação da ANPD;

• Quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do controlador;

• Para tratamento de dados pessoais realizados para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (exceções previstas pelo inciso III do art.4º).

Há outras circunstâncias em que também deve ser considerada a necessidade de elaborar um RIPD. Por exemplo, no caso do tratamento de dados pessoais sensíveis e no tratamento de dados de crianças e adolescentes.

Espero que esse artigo tenha lhe ajudado, clique aqui e solicite o material com mais informações gratuitamente.

Vagner Santos

Consultor em Sistemas de Gestão e Privacidade de Dados

vagner@santosegozetto.com.br

Quando uma organização inventaria os seus ativos é inevitável a atividade de mapear as ameaças, riscos bem como as vulnerabilidades que esses ativos estão sujeitos bem como o controle dessas vulnerabilidades e dos riscos associados. Para uma proteção adequada, a instituição pode utilizar de treinamentos, medidas técnicas e políticas formalizadas e religiosamente seguidas.

Relacionando aos dados pessoais e informações, tudo aquilo que pode ferir a confidencialidade, integridade e a disponibilidade deve ser incluído nesse mapeamento.

Nesse contexto, o backup entra como uma medida preventiva para manter a integridade e disponibilidade das informações. Assim, para que seja efetivo, a empresa precisa ter um procedimento definindo os critérios de armazenamento (incluindo o lapso temporal), compartilhamento, criptografia, testes e acompanhamento. Devido a importância do tema e sua relação com um ataque com posterior perda de dados a regra é: façam backup, testem o backup e coloque o T.I olhando o backup como prioridade!

Fontes para consulta

(1) Livro Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002 de Jule Hintzbergen [et al.];

(2) https://lnkd.in/gMVV26sE - Episódio de perda de dados lojas Renner

Desde que iniciou suas atividades, em agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) tem apresentado ao público às sanções administrativas que serão aplicadas em todo território nacional. Apresentaremos aqui no blog da S&G Academy apresentaremos as principais informações para você. Confira!

O que é privacidade de dados, de acordo com a LGPD? De acordo com a Lei, toda e qualquer operação realizada com dados pessoais que se referem a coleta, produção, recepção, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão, extração, ou seja, qualquer manipulação de um dado pessoal está relacionada ao tratamento de dados pessoais. Para que sejam tratado deve haver uma hipótese, uma finalidade, um consentimento e principalmente a legitimidade.

Outros órgãos podem aplicar sanções às empresas?

A Autoridade reforçou que suas competências prevalecem perante outros órgãos na hora de aplicar multas. Não deixando de valer aplicações de sanções administrativas, civis ou penais definidas, por exemplo, pelo Código de Defesa do Consumidor (CDC). Entretanto, a ANPD pode se articular sim com outros órgãos, como é o caso da cooperação técnica com a Secretaria Nacional do Consumidor (Senacon), para atividades em conjunto com temas que gerem repercussões nas áreas de atuação dos órgãos envolvidos.

Como será a abordagem no caso de incidentes de privacidade?

Quanto à abordagem a eventuais infrações cometidas por empresas do país, até o momento, a ANPD terá uma atuação gradual baseada no monitoramento dos setores, priorizando temas segundo seu risco, gravidade, atualidade e relevância. Como é o caso da Indústria Farmacêutica, que já tem um estudo conduzido pela Autoridade Nacional junto às entidades representativas que visa incentivar as associações a promoverem boas práticas no setor em relação à adequação à LGPD.

A ANPD já tem equipe formada para aplicar sanções? A Coordenação-Geral de Fiscalização teve seu Regimento Interno aprovado em 8 de março de 2021 e já possui todos os cargos preenchidos. A unidade é a responsável por receber denúncias e aplicar as sanções relacionadas à LGPD.

O CNPD já tem membros escolhidos?

O decreto que designa os membros do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade foi publicado e representou a consolidação do grupo. O Conselho é um órgão consultivo que integra a ANPD e possui 23 membros titulares e suplentes com representantes governamentais e da sociedade civil. Entre suas competências estão propor diretrizes estratégicas, fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e sugerir ações a serem realizadas pela ANPD.

É apenas em caso de vazamentos que sanções serão aplicadas? O que as empresas precisam se atentar.

A LGPD prevê diversas obrigações e requisitos para além do incidente de vazamento de dados pessoais que poderão ser passíveis de punições pela ANPD. Por exemplo:

• Proteger os dados de acessos não autorizados;

• Controlar os Incidentes de Segurança;

• Estabelecer as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos;

• Implantar programa de governança;

• Realizar monitoramento contínuo e avaliações periódicas;

• Elaborar Relatório de Impacto à Proteção de Dados Pessoais (RIPD);

• Demonstrar o cumprimento desta Lei.

Qual o valor e o processo de multa?

Vale lembrar que a famosa multa de até 2% do faturamento, limitada ao total de R$50.000.000,00 por infração, e a multa diária no limite de R$50.000.000,00 mas essa é menor das penalidades, pois existem outras que podem influenciar os negócios de forma muito negativa.

• Advertência: com a indicação de prazo para adotar medidas corretivas;

• Sequestro dos dados pessoais tratados;

• Suspensão do funcionamento das operações;

• O bloqueio ou suspensão do exercício da atividade de tratamento de dados pessoais referente à infração pelo período máximo de 6 meses, prorrogável por igual período;

• Divulgação e ampla exposição da infração (Publicização)
  

Deseja iniciar a adequação à LGPD? Entre em contato! Clicando aqui!