Relatório de Impacto a Proteção de Dados Pessoais. DPIA.

Faz parte do processo de adequação  com a  Lei Geral de Protecao dos Dados, ter um relatório de impacto à proteção de dados pessoais,  obrigação distribuída, conforme descrito em alguns artigos:

Artigo 5.

Inciso XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;​

Artigo 10.

O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Art. 38.

A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

DPIA não elimina os riscos, porém ajuda a minimizá-los,  gera uma série de benefícios ao próprio negócio, uma vez que a sua metodologia pode implicar em revisões de processos, alinhando assim a organização a uma visão mais abrangente de compliance.

Alguns dos benefícios são:

  • Prevenir alterações de alto custo nos processos, redesenho de sistemas ou término de projetos.

  • Reduzir  efeitos colaterais  da supervisão e aplicação

  • Melhorar  a qualidade e proteção dos dados

  • Melhorar a prestação dos serviços no negócio. 

  • Melhorar a tomada de decisão de alterações nos processos,

  • Aumentar o reconhecimento da proteção de dados em uma organização

  • Melhorar a viabilidade do projeto

  • Fortalecer a confiança de clientes na maneira como os dados pessoais são processados ​​e a privacidade é respeitada

  • Melhorar a comunicação com relação à privacidade e proteção de dados pessoais.

Para um melhor trabalho, assim como compreensão, pode-se dividir um RIPD/DPIA em 3 etapas:

  • Entendimento dos nossos clientes, negócios  e processos envolvidos.

  • Risk Assessment  para avaliação dos riscos.

  • Risk Management  para gerenciamento dos riscos.

 

Onde nossos consultores desenvolvem um trabalho junto ao cliente  em fases, onde podemos nomear  algumas:

  • Análise do processamento, considerando possíveis relações com terceiros e respectivo contato para colaboração na elaboração das fases seguintes.

  • Detalhe  do processamento.

  • Identificação de controles.

  • Listagem e análise de eventos e ameaças para o titular de dados.

  • Produção de relatório com sumário de análise, controles existentes e mitigação de risco, bem como propostas de medidas técnicas e organizacionais apropriadas.

  • Envio para aprovação ou recusa ao DPO.