6 elementos-chave a serem incluídos no relatório de impacto de proteção de dados

Relatório de impacto a proteção de dados
Relatório de impacto a proteção de dados

A proteção de dados se tornou uma preocupação central para empresas de todos os setores, com a implementação de regulamentos de privacidade cada vez mais rigorosos.

A elaboração de um relatório de impacto de proteção de dados é um passo crucial para garantir a conformidade com essas regulamentações, supervisionadas pela ANPD. Mas quais são os elementos essenciais que devem ser incluídos em um relatório desse tipo?

Neste artigo, exploraremos os 6 elementos principais que devem ser considerados ao criar um relatório de impacto de proteção de dados.

Leia também: Relatório de Impacto à Proteção de Dados (RIPD)


Requisitos legais para relatórios de impacto de proteção de dados

Antes de mergulharmos nos detalhes dos elementos-chave a serem incluídos em um relatório de impacto de proteção de dados, é importante entender os requisitos legais que regem esses relatórios.

Em muitos países, a legislação de proteção de dados exige que as organizações realizem uma avaliação de impacto antes de iniciar qualquer processamento de dados pessoais que possa representar um risco para os direitos e liberdades das pessoas.

Essa avaliação deve ser documentada em um relatório de impacto de proteção de dados.



Quais são as sanções que podem ser aplicadas pela ANPD?

As sanções que podem ser aplicadas pela ANPD são aquelas previstas no artigo 52 da Lei Geral de Proteção de Dados Pessoais (LGPD), que entrou em vigor em 1º de agosto de 2021. Segundo esse artigo, a ANPD pode aplicar as seguintes sanções administrativas aos agentes que violarem a LGPD:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
  • multa diária, observado o limite total da multa simples;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

A aplicação dessas sanções depende da gravidade e da natureza das infrações cometidas, bem como dos direitos de ampla defesa e do contraditório dos agentes envolvidos. A ANPD é o único órgão competente para aplicar essas sanções, mas isso não impede que outros órgãos públicos atuem segundo as suas próprias competências e legislações específicas .



Propósito e importância dos relatórios de impacto de proteção de dados

Os relatórios de impacto de proteção de dados têm um objetivo fundamental: identificar, avaliar e mitigar os riscos associados ao processamento de dados pessoais.

Eles são uma ferramenta essencial para garantir que as organizações estejam em conformidade com as regulamentações de proteção de dados e que estejam adotando medidas adequadas para proteger a privacidade dos indivíduos.

Além disso, esses relatórios também ajudam as empresas a demonstrar transparência e responsabilidade em relação ao tratamento de dados pessoais.



Quais os 3 tipos de Relatório de Impacto a Proteção de Dados?

Os 3 tipos de relatório de impacto à proteção de dados são: relatório preliminar, relatório parcial e relatório final.

O relatório preliminar é elaborado antes do início do tratamento de dados pessoais, com o objetivo de identificar os riscos e as medidas de mitigação.

O relatório parcial é elaborado durante o tratamento de dados pessoais, com o objetivo de monitorar a eficácia das medidas de mitigação e a conformidade com a legislação.

O relatório final é elaborado após o término do tratamento de dados pessoais, com o objetivo de avaliar os resultados e as lições aprendidas.



Principais elementos a serem incluídos em um relatório de impacto de proteção de dados


1. Identificação e avaliação dos riscos de proteção de dados

O primeiro elemento-chave em um relatório de impacto de proteção de dados é a identificação e avaliação dos riscos associados ao processamento de dados pessoais.

Isso envolve uma análise detalhada das atividades de processamento de dados, identificando possíveis vulnerabilidades e ameaças à segurança dos dados.

Além disso, é importante avaliar o impacto potencial desses riscos nos direitos e liberdades das pessoas afetadas.



2. Avaliação da necessidade e proporcionalidade das atividades de processamento de dados

Outro elemento fundamental em um relatório de impacto de proteção de dados é a avaliação da necessidade e proporcionalidade das atividades de processamento de dados.

Isso significa analisar se as atividades de processamento de dados são realmente necessárias para atingir os objetivos pretendidos e se estão em conformidade com os princípios de proteção de dados, como minimização e finalidade.

Se as atividades de processamento de dados forem consideradas desnecessárias ou desproporcionais, medidas adequadas devem ser tomadas para minimizar os riscos.



3. Medidas de mitigação e salvaguardas para proteção de dados pessoais

Uma parte essencial de um relatório de impacto de proteção de dados é a definição de medidas de mitigação e salvaguardas para proteger os dados pessoais.

Isso pode incluir a implementação de medidas técnicas e organizacionais, como criptografia de dados, controle de acesso e políticas de retenção de dados. É importante documentar essas medidas e garantir sua eficácia na proteção dos dados pessoais.



4. Demonstração de conformidade com as regulamentações de proteção de dados

Um relatório de impacto de proteção de dados deve incluir uma demonstração clara da conformidade da organização com as regulamentações de proteção de dados aplicáveis.

Isso pode ser feito através da documentação de políticas e procedimentos relacionados à proteção de dados, bem como de relatórios de auditoria e resultados de testes de segurança. Essa demonstração de conformidade é fundamental para garantir a confiança dos indivíduos e das autoridades reguladoras.



5. Envolvimento e consulta das partes interessadas no processo de avaliação de impacto de proteção de dados

Um elemento muitas vezes negligenciado em um relatório de impacto de proteção de dados é o envolvimento e consulta das partes interessadas no processo de avaliação de impacto.

Isso inclui indivíduos afetados, funcionários da organização, parceiros de negócios e autoridades reguladoras relevantes.

Ao envolver as partes interessadas, é possível obter insights valiosos e garantir que todas as perspectivas sejam consideradas na análise de riscos e na definição de medidas de proteção de dados.



6. Requisitos de relatórios e documentação para relatórios de impacto de proteção de dados

Por fim, um relatório de impacto de proteção de dados deve atender aos requisitos de relatórios e documentação estabelecidos pelas regulamentações de proteção de dados.

Isso inclui a criação de um documento claro e conciso que descreva todas as etapas do processo de avaliação de impacto, bem como os resultados obtidos e as medidas de mitigação implementadas.

Além disso, é importante manter registros adequados e atualizados para fins de auditoria e conformidade contínua.



Conclusão

Em suma, elaborar um relatório de impacto de proteção de dados pode parecer uma tarefa complexa, mas seguindo os 6 elementos-chave discutidos neste artigo, você estará no caminho certo para criar um relatório robusto e abrangente.

Lembre-se de que a proteção de dados é uma responsabilidade de todos e que a conformidade com as regulamentações de privacidade não é apenas uma obrigação legal, mas também uma necessidade para garantir a confiança dos clientes e a reputação da sua organização.

Portanto, não deixe de investir tempo e recursos em um relatório de impacto de proteção de dados eficaz.

Leia também

Abrir chat
1
Olá, tudo bem?
A Avantis é uma consultoria focada em soluções de privacidade de dados para empresas e startups.

Conte-nos um pouco sobre o que você precisa e em breve entraremos em contato.
Aviso de Privacidade

AVISO DE PRIVACIDADE 

 

QUEM SOMOS 

 

AvantisCompliance –  (“Empresa”, “nós”, “a nós” ou “nosso”) coleta seus dados pessoais de acordo com este Aviso de Privacidade e em conformidade com as legislações de proteção de dados relevantes, em especial o Regulamento Geral sobre a Proteção de Dados (“RGPD”) e a Lei n.º 58/2019, de 8 de agosto (“Lei de Execução”). Este Aviso fornece as informações necessárias sobre seus direitos e obrigações e explica como, por que e quando tratamos seus dados pessoais.   

 

A Avantis Compliance está estabelecida em na rua  e somos uma empresa registrada sob o número de CNPJ . Estamos registrados em cartório e atuamos como controlador ao tratar seus dados pessoais.  

 

 

INFORMAÇÕES QUE COLETAMOS 

 

A Empresa trata suas informações pessoais para cumprir nossas obrigações legais contratuais e fornecer-lhe nossos produtos e serviços. Nunca coletaremos dados pessoais desnecessários de você e não trataremos suas informações de quaisquer outras formas que não as especificadas neste Aviso. 

 

Os dados pessoais que coletamos são: 

 

Nome e Sobrenome 
E-mail profissional e/ou pessoal (se aplicável) 
Número de telefone celular 
Mensagem (texto e descrição) 

 

Coletamos informações das maneiras abaixo: 

 

Quando o usuário preenche o formulário de “Agende uma conversa”;   
Quando o usuário preenche o formulário de “Fale conosco – Quero divulgar minha empresa”;   

 

2.3 - Como usamos seus dados pessoais  

 

Nós levamos sua privacidade muito a sério e nunca divulgaremos, compartilharemos ou venderemos seus dados sem o seu consentimento, a menos que seja necessário fazê-lo por lei. Nós mantemos seus dados pelo período necessário para que possamos atingir a(s) finalidade(s) especificada(s) neste Aviso. Se você consentiu em receber nossas ofertas promocionais e marketing, poderá revogar este consentimento a qualquer momento. As finalidades e as razões para o tratamento de seus dados pessoais estão detalhadas abaixo: 

 

Solicitações Comerciais - Coletamos seus dados pessoais para a execução de um contrato ou fornecer um serviço e para garantir que os pedidos sejam concluídos e prestados com sucesso. 
Coletamos e armazenamos seus dados pessoais como parte de nossa obrigação legal para fins de contabilidade empresarial e tributária 
 Ocasionalmente, enviaremos informações de marketing em que avaliamos o que pode ser benéfico para você como nosso consumidor. Tais informações não serão intrusivas e são tratadas com base em nossos interesses legítimos. Você pode optar a qualquer momento por não receber estas informações. 
Demais dúvidas 

 

DADOS PESSOAIS OBTIDOS DE OUTRAS FORMAS 

 

Nós coletamos os seguintes dados pessoais de nossos usuários: 

 

Endereço IP   
Geolocalização 

 

A coleta destes dados ocorre nos seguintes momentos: 

 

Durante o acesso e uso do site, gera estatísticas e métricas dos acessos. 

 

Estes dados são coletados com as seguintes finalidades: 

 

Análise de uso e navegação dos usuários dentro do site, para que seja possível compreender o comportamento do usuário em nosso website, gerando estatísticas que são avaliadas em resultados das nossas campanhas. Todos os dados são anonimizados, não identificamos titulares de dados ao analisar o tráfego do website. 

 

DADOS SENSÍVEIS 

 

 

Não serão coletados dados sensíveis de nossos usuários, assim entendidos aqueles definidos nos arts. 11 e seguintes da Lei de Proteção de Dados Pessoais.  

 

Não haverá coleta de dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. 

 

COOKIES 

 

Cookies são pequenos arquivos de texto baixados automaticamente em seu dispositivo quando você acessa e navega por um site. Eles servem, basicamente, para seja possível identificar dispositivos, atividades e preferências de usuários. 

Os cookies não permitem que qualquer arquivo ou informação sejam extraídos do disco rígido do usuário, não sendo possível, ainda, que, por meio deles, se tenha acesso a informações pessoais que não tenham partido do usuário ou da forma como utiliza os recursos do site. 

 

Cookies de terceiros 

Alguns de nossos parceiros podem configurar cookies nos dispositivos dos usuários que acessam nosso site. 

Estes cookies, em geral, visam possibilitar que nossos parceiros possam oferecer seu conteúdo e seus serviços ao usuário que acessa nosso site de forma personalizada, por meio da obtenção de dados de navegação extraídos a partir de sua interação com o site. 

 

O usuário poderá obter mais informações sobre os cookies de terceiro e sobre a forma como os dados obtidos a partir dele são tratados, além de ter acesso à descrição dos cookies utilizados e de suas características, acessando o seguinte link: 

 

Facebook: https://pt-br.facebook.com/policy.php  
Google Analytics: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage?hl=pt-br   

Instagram: https://help.instagram.com/1896641480634370?ref=ig 

Linkedin: https://www.linkedin.com/legal/cookie-policy?
 

As entidades encarregadas da coleta dos cookies poderão ceder as informações obtidas a terceiros. 

 

Gestão de cookies 

 

O usuário poderá se opor à utilização de cookies pelo site, bastando que os desative no momento em que começa a utilizar o serviço, seguindo as seguintes instruções: 

 

Ao acessar o site, o usuário terá a opção de bloquear ou de permitir a utilização de cookies, bastando que selecione a opção correspondente na caixa de diálogo (pop-up) carregada automaticamente assim que nossa página é acessada. 

 

Ao desativar os cookies, é importante ter em mente que a experiência do usuário poderá ser prejudicada, uma vez que informações utilizadas para personaliza-la deixarão de ser utilizadas. 

 

COLETA DE DADOS NÃO PREVISTO EXPRESSAMENTE 

 

Eventualmente, outros tipos de dados não previstos expressamente neste Aviso de Privacidade poderão ser coletados, desde que sejam fornecidos com o consentimento do usuário, ou, ainda, que a coleta seja permitida com fundamento em outra base legal prevista em lei. 

 

Em qualquer caso, a coleta de dados e as atividades de tratamento dela decorrentes serão informadas aos usuários do site. 

 

Compartilhamento de dados pessoais com terceiros 

 

Nós compartilhamos alguns dos dados pessoais mencionados nesta seção com terceiros. 

 

Os dados compartilhados são os seguintes: 

 

Os dados, informações e estatísticas coletados são disponibilizados ao nosso fornecedor BI. 
Estes dados são compartilhados pelas seguintes razões e para as seguintes finalidades: 
Melhorias nos resultados de campanhas de marketing; 
Análise de navegabilidade do usuário dentro do site. 
 

Além das situações aqui informadas, é possível que compartilhemos dados com terceiros para cumprir alguma determinação legal ou regulatória, ou, ainda, para cumprir alguma ordem expedida por autoridade pública. 

 

Em qualquer caso, o compartilhamento de dados pessoais observará todas as leis e regras aplicáveis, buscando sempre garantir a segurança dos dados de nossos usuários, observados os padrões técnicos empregados no mercado. 

 

POR QUANTO TEMPO SEUS DADOS SERÃO ARMAZENADOS 

 

Os dados pessoais coletados pelo site são armazenados e utilizados por período de tempo que corresponda ao necessário para atingir as finalidades elencadas neste documento e que considere os direitos de seus titulares, os direitos do controlador do site e as disposições legais ou regulatórias aplicáveis. 

 

Uma vez expirados os períodos de armazenamento dos dados pessoais, eles são removidos de nossas bases de dados ou anonimizados, salvo nos casos em que houver a possibilidade ou a necessidade de armazenamento em virtude de disposição legal ou regulatória. 

 

BASES LEGAIS PARA O TRATAMENTO DE DADOS 

 

Cada operação de tratamento de dados pessoais precisa ter um fundamento jurídico, ou seja, uma base legal, que nada mais é que uma justificativa que a autorize, prevista na Lei Geral de Proteção de Dados Pessoais. 

 

Todas as nossas atividades de tratamento de dados pessoais possuem uma base legal que as fundamenta, dentre as permitidas pela legislação. Mais informações sobre as bases legais que utilizamos para operações de tratamento de dados pessoais específicas podem ser obtidas a partir de nossos canais de contato, informados ao final desta Política. 

 

SEUS DIREITOS 

 

Você tem o direito de acessar qualquer informação pessoal que nós tratamos a seu respeito, e pode também solicitar informações sobre: 

 

Quais dados pessoais temos sobre você 
As finalidades do tratamento 
As categorias de dados pessoais em causa 
Os destinatários a quem os dados pessoais foram/serão divulgados 
Quanto tempo pretendemos armazenar seus dados pessoais 
Se não coletamos os dados diretamente de você, informações sobre a fonte 

 

Se você acredita que temos quaisquer dados incompletos ou imprecisos sobre você, você tem o direito de nos pedir para corrigir e/ou completar as informações e nos esforçaremos  para  fazê-lo o mais rapidamente possível, a menos que haja uma razão válida para não fazê-lo. Caso ocorra esta última situação você será devidamente notificado. 

 

Você também tem o direito de solicitar o apagamento de seus dados pessoais ou de restringir o tratamento (quando aplicável) de acordo com a legislação de proteção de dados, bem como o direito de se opor a qualquer marketing direto. Quando aplicável, você tem o direito à portabilidade de dados de suas informações e o direito de ser informado sobre qualquer tomada de decisão automatizada que possamos usar. 

 

Se recebermos uma solicitação sua para exercer qualquer um dos direitos acima, podemos pedir que você confirme sua identidade antes de agirmos com base em sua solicitação. Esta confirmação é necessária para garantirmos que seus dados estão protegidos e são mantidos em segurança. 

 

 

MEDIDAS DE SEGURANÇA NO TRATAMENTO DE DADOS PESSOAIS 

 

Nós levamos sua privacidade a sério e tomamos todas as medidas e precauções razoáveis para proteger seus dados pessoais. Trabalhamos duro para protegê-lo, e aos seus dados pessoais, contra acesso não autorizado, alteração acidental ou ilícita, divulgação ou destruição de seus dados pessoais, e temos várias camadas de medidas de segurança em vigor. 

 

 

TRANSFERÊNCIAS DE DADOS FORA DO TERRITÓRIO BRASILEIRO 

Nós utilizamos alguns produtos ou serviços (ou partes deles) que estão hospedados nos Estados Unidos, o que significa que podemos transferir qualquer informação que nos seja enviada por você para fora do Espaço Econômico Brasileiro para as finalidades abaixo indicadas: 

 Hospedagem de website
Banco de Dados
Otimização de imagens

Portanto, quando você, usa nosso site, envia-nos um e-mail, cadastra-se em nossa newsletter, os dados pessoais que nos envia podem ser armazenadas em servidores que estão hospedados em países como: Estados Unidos. Nesse caso, tomaremos as medidas exigidas pelas legislações de proteção de dados para garantir que  esses fornecedores garantam o nível de proteção adequado para seus dados pessoais e cumpram com acordos e medidas rigorosamente estabelecidas para proteger seus dados e cumprir as leis de proteção de dados relevantes. 

 

 

DIREITO DE FAZER UMA RECLAMAÇÃO À AUTORIDADE DE CONTROLE 

 

A Avantis Compliance apenas trata seus dados pessoais em conformidade com este Aviso de Privacidade e de acordo com a legislação de proteção de dados relevante. Se, no entanto, você deseja fazer uma reclamação sobre nossas atividades de tratamento em relação aos seus dados pessoais ou estiver insatisfeito com a forma como lidamos com suas informações, você tem o direito de apresentar uma reclamação à autoridade de controle responsável, conforme abaixo: 

 

 

Autoridade Nacional de Proteção de Dados - ANPD 

https://www.gov.br/anpd/pt-br/canais_atendimento/fale-conosco 

+ 55 (11) 2149-5400