Relatório de Impacto

As empresas são obrigadas a efetuar um relatório de impacto à proteção de dados pessoais,  obrigação distribuída, conforme a  Lei cita :

Artigo 5 Inciso XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;​

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

DPIA não elimina os riscos, porem ajuda a minimizar eles,  gera uma série de benefícios que ao próprio negócio, uma vez que a sua metodologia pode implicar em revisões de processos, alinhando assim a organização a uma visão mais abrangente de compliance, trazendo a reboque a possibilidade de gerar ganhos financeiros e de reputação perante seus clientes.

Para um melhor trabalho, assim como compreensão, pode-se dividir um RIPD/DPIA em 3 etapas:

  • Entendimento dos nossos clientes, negócios  e processos envolvidos.

  • Risk Assessment  para avaliação dos riscos.

  • Risk Management  para gerenciamento dos riscos.

Onde nossos consultores desenvolvem um trabalho junto ao cliente  em fases, onde podemos nomear  algumas:

  • Detalhe  do processamento

  • Análise do processamento, considerando possíveis relações com terceiros e respectivo contato para colaboração na elaboração das fases seguintes.

  • Identificação de controles.

  • Listagem e análise de eventos e ameaças para o titular de dados.

  • Produção de relatório com sumário de análise, controles existentes e mitigação de risco, bem como propostas de medidas técnicas e organizacionais apropriadas.

  • Envio para aprovação ou recusa ao DPO.