Um dos maiores “mistérios” da LGPD é, sem dúvida alguma, o Relatório de Impacto à Proteção de Dados (“RIPD”). Ainda que o Artigo 38 da lei traga o conteúdo do RIPD, ainda pairam dúvidas a respeito não apenas de quando realizá-lo, mas também como realizá-lo. E estas dúvidas existem porque o RIPD, no fundo, é uma análise de risco à proteção de dados. E para tentar te auxiliar com o “como fazer”, compartilho um modelo de análise de risco simples e gratuito que eu mesmo utilizo de vez em quando, a depender do escopo da atividade de tratamento que estou realizando.
O modelo se chama Gestiona EIPD e foi criado pela Autoridade Espanhola de Proteção de Dados (“AEPD”). É claro que existirão aqueles que irão torcer o nariz para esta sugestão porque dirão que é um modelo “baseado no Regulamento europeu e não na LGPD”. É claro que isto faz sentido, mas quando pensamos em boas práticas é melhor ter um modelo baseado em uma lei que é a fonte da LGPD do que não ter nada, não é mesmo?
Segundo a AEPD, o Gestiona EIPD “é um pré-assistente para preparar a gestão de risco para direitos e liberdades de proteção de dados e avaliações de impacto da proteção de dados.” A ferramenta “é destinada aos controladores e operadores, bem como aos encarregados da proteção de dados, sobre aspectos básicos que devem ser levados em conta antes da implementação de uma gestão de risco adequada para os direitos e liberdades em relação à proteção de dados pessoais.”
É importante ter em mente que “a simples obtenção dos documentos fornecidos pelas ferramentas da AEPD não implica, em nenhuma circunstância, o cumprimento automático das obrigações que o RGPD estabelece para os controladores e operadores de dados pessoais.” Os documentos fornecidos pelo Gestiona EIPD “são documentos iniciais de ajuda destinados a facilitar a compreensão destas obrigações e a tratá-las, inicialmente, de maneira apropriada.”
Continua a AEPD: “Com base nos documentos obtidos, os controladores e operadores de dados pessoais farão as adaptações necessárias, caso a caso, para cada tratamento de dados pessoais, levando em conta os riscos aos direitos e liberdades das pessoas físicas que possam resultar do tratamento de dados pessoais de acordo com sua natureza, escopo, contexto e finalidades.”
O Gestiona EIPD é bastante útil para pequenas e médias empresas (PMEs), que não precisam ter (ou, muitas vezes, não têm condições de ter) um sistema de gestão de riscos robusto, completo e complexo. O Gestiona EIPD “é uma ferramenta para ajudar e apoiar a decisão e cujo uso gera a documentação básica e, de uma forma não exaustiva, sobre a qual uma análise e gestão de risco deve ser realizada pelos responsáveis e encarregados a fim de cumprir as disposições do RGPD.”
A ferramenta Gestiona EIPD é gratuita e está disponível em espanhol e em inglês neste link. Que tal fazer um exercício analisando os cookies de algum site por meio da ferramenta?
Não deixe de conhecer também o Guia para gestão de risco e avaliação de impacto no tratamento de dados pessoais, também da AEPD. É um documento robusto, de 160 páginas, que com certeza vai te levar um passo adiante na realização de RIPDs e outras avaliações de impacto à privacidade. Vale muito a leitura – inclusive utilizei este material para a minha Oficina de Privacidade Como Elaborar um relatório de Impacto sobre a Proteção de Dados.
Dê uma olhadinha no Gestiona EIPD e depois volte aqui para compartilhar conosco a sua visão prática sobre a plataforma!