Petição
Histórico de Revisões
|
Data |
Versão |
Descrição |
Autores |
|
22/xx/20xx |
1.0 |
Relatório de Impacto (RIPD) |
$[geral_nome_generico] OAB/UF XXX.XXX $[geral_nome_generico] OAB/UF XXX.XXX $[geral_nome_generico] OAB/UF XXX.XXX |
|
07/xx/20xx |
2.0 |
Relatório de Impacto (RIPD) |
$[geral_nome_generico] OAB/UF XXX.XXX $[geral_nome_generico] OAB/UF XXX.XXX $[geral_nome_generico] OAB/UF XXX.XXX |
|
18/xx/20xx |
3.0 |
Relatório de Impacto (RIPD) |
$[geral_nome_generico] OAB/UF XXX.XXX $[geral_nome_generico] OAB/UF XXX.XXX $[geral_nome_generico] OAB/UF XXX.XXX |
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS - RIPD
|
OBJETIVO |
|
O Relatório de Impacto à Proteção de Dados Pessoais visa descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Referência: Art. 5º, XVII da Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD). |
|
1 – IDENTIFICAÇÃO DOS AGENTES DE TRATAMENTO E DO ENCARREGADO |
|
Controlador |
|
$[geral_empresa_generica] |
|
Operador |
|
$[geral_empresa_generica] |
|
Encarregado |
|
|
|
$[geral_nome_generico] |
|
|
|
E-mail Encarregado |
Telefone Encarregado |
|
|
$[geral_email_generico] |
$[geral_telefone_generico] |
|
|
2 – NECESSIDADE DE ELABORAR O RELATÓRIO |
Conforme preceitua o artigo 5º, inciso XVII, da Lei Geral de Proteção de Dados Pessoais (LGPD), o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é um documento, do Controlador, que deve conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
A Autoridade Nacional de Proteção de Dados (ANPD) poderá solicitar ao Controlador o presente Relatório de Impacto à Proteção de Dados Pessoais (RIPD), inclusive de dados sensíveis, referente as suas operações de tratamento de dados, observados os segredos comercial e industrial.
Com base nos dados que são tratados pela $[geral_empresa_generica], se faz necessária a elaboração do presente RIPD em razão do previsto no artigo 38 da Lei Geral de Proteção de Dados (LGPD):
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. (grifo nosso)
Em busca de se manter em acordo com as determinações legais, se faz necessária a elaboração do presente relatório, bem como todo o processo de implementação das medidas concernentes à Lei Geral de Proteção de Dados Pessoais (LGPD), buscando adequar todos os fluxos de tratamento de dados realizados na empresa $[geral_empresa_generica], buscando mitigar eventuais riscos, em especial no que tange os dados considerados sensíveis, os quais sempre merecem mais atenção quando falamos no tratamento dessas informações.
Além dos casos específicos previstos pela LGPD relativas à elaboração do RIPD, é indicada a elaboração ou atualização do presente documento sempre que existir a possibilidade de ocorrer impacto na privacidade dos dados pessoais, resultante de:
• uma tecnologia, serviço ou outra nova iniciativa em que dados pessoais e dados pessoais sensíveis sejam ou devam ser tratados;
• rastreamento da localização dos indivíduos ou qualquer outra ação de tratamento que vise a formação de perfil comportamental de pessoa natural, se identificada (LGPD, art. 12 § 2º);
• tratamento de dado pessoal sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (LGPD, art. 5º, II);
• processamento de dados pessoais usado para tomar decisões automatizadas que possam ter efeitos legais, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (LGPD, art. 20);
• tratamento de dados pessoais de crianças e adolescentes (LGPD, art. 14);
• tratamento de dados que possa resultar em algum tipo de dano patrimonial, moral, individual ou coletivo aos titulares de dados, se houver vazamento (LGPD, art. 42);
• tratamento de dados pessoais realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais (LGPD, art. 4º, § 3º);
• tratamento no interesse legítimo do controlador (LGPD, art. 10, § 3º);
• alterações nas leis e regulamentos aplicáveis à privacidade, política e normas internas, operação do sistema de informações, propósitos e meios para tratar dados, fluxos de dados novos ou alterados, entre outros;
• reformas administrativas que implicam em nova estrutura organizacional resultante da incorporação, fusão ou cisão de órgãos ou entidades.
|
3 – DESCRIÇÃO DO TRATAMENTO |
Conforme estabelecido no artigo 5º, inciso X da LGPD, o conceito de tratamento é:
Art. 5º, X: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
O principal objetivo de descrever o fluxo de tratamento dos dados pessoais é entender o cenário atual relativo aos processos que envolvem esses dados dentro da $[geral_empresa_generica], buscando sua melhor compreensão e avaliação, objetivando a mitigação dos riscos relativos ao seu tratamento.
3.1 – NATUREZA DO TRATAMENTO
A empresa $[geral_empresa_generica] busca criar soluções práticas e inovadoras de $[geral_informacao_generica], especialmente no que se refere ao $[geral_servico_generico], destacando-se na gestão, administração e exploração de $[geral_servico_generico] em locais públicos e privados, bem como na prestação de serviços de assessoria e assistência técnica na implantação, instalação e locação de sistemas para o controle de $[geral_servico_generico] em $[geral_informacao_generica].
O tratamento dos dados é realizado, principalmente, quanto aos dados dos colaboradores e candidatos a vagas de emprego da empresa, entretanto também pode obter informações pessoais de bancos de dados de clientes e no decorrer da prestação de serviços, por isso sua atenção quanto à segurança desses dados.
Com intuito de manter a excelência na prestação dos serviços, aprimorando as questões envolvendo segurança da informação, a $[geral_empresa_generica] vem buscando se atualizar e aprimorar sua cultura interna em relação a questão envolvendo Proteção de Dados Pessoais.
Quanto ao tratamento dos dados pessoais dos funcionários da empresa, sendo que também existem dados pessoais de candidatos a vagas na empresa que também são tratados para efeitos de análise para possível contratação, a empresa vem buscando a melhor forma de adequar seus processos para minimizar eventuais impactos voltados a possíveis incidentes de segurança.
Todos os dados são armazenados em ambientes seguros e são tratados apenas para o seu devido fim, sendo descartados quando necessário.
Durante o atendimento remoto, por solicitação dos clientes, existe a possibilidade de acesso a dados pessoais e dados pessoais sensíveis de terceiros, pois o acesso remoto possibilita a visualização do próprio computador do usuário, que solicitou o suporte técnico, logo existe maior cuidado durante essa questão, não existindo qualquer armazenamento desses dados que possam ser visualizados pelos funcionários da $[geral_empresa_generica].
Em relação a empresas terceiras, existe limitação no compartilhamento de dados pessoais, minimizando os riscos quanto ao tratamento indevido desses dados.
3.2 – ESCOPO DO TRATAMENTO
Por se tratar de empresa de desenvolvimento de soluções digitais para diversos clientes, especialmente no que se refere a mobilidade urbana, a empresa acaba tendo acesso a dados pessoais e dados pessoais sensíveis, bem como suas soluções podem efetuar o tratamento de dados, assim a necessidade de adequação e cumprimento as leis voltadas à proteção de dados e segurança da informação.
Dessa forma, todas as soluções buscam resguardar os titulares de eventuais tratamentos de dados indevidos, pois o objetivo da empresa é oferecer produtos que tragam benefícios para seus clientes e os respectivos usuários, mas sempre pautado na segurança e privacidade dos dados.
3.3 – CONTEXTO DO TRATAMENTO
Todos os dados que são tratados resultam, necessariamente, de requerimento do titular dos dados, onde tais informações são utilizadas apenas para finalidades específicas, sem necessidade de coleta de dados desnecessários ou tratamento indevido, que possa trazer algum prejuízo para os titulares.
Em relação aos dados dos funcionários, são mantidos os níveis de segurança, sem distinção no que se refere aos aspectos de segurança inerentes a todas as atividades $[geral_empresa_generica].
Destacamos que todo o fluxo de tratamento possui medidas de segurança que são adotadas pela empresa, a fim de minimizar os riscos eventuais de incidente de segurança relativo ao tratamento desses dados.
3.4 – FINALIDADE DO TRATAMENTO
Conforme determina o artigo 6º, inciso I da LGPD, o tratamento dos dados deve possuir uma finalidade específica: “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.”
Em relação aos dados pessoais, existe o tratamento dos dados para que seja realizada a execução de contrato (relativo a prestação do serviço de atendimento) dos titulares que entram em contato para contratação dos serviços oferecidos pela empresa bem como solucionar os pedidos feitos junto ao suporte técnico, sendo que reforçamos que os dados coletados são apenas os essenciais para cumprir com o solicitado pelo usuário, conforme Art. 7º, inciso V da LGPD.
No que tange os dados sensíveis que possam ser tratados pela empresa, os dados que são coletados pela $[geral_empresa_generica] tem sua finalidade pautada no Art. 11, inciso II, especialmente as alíneas “a”, “b” e “d”:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
Na mesma linha, eventuais dados de crianças e adolescentes são tratados com a mesma finalidade dos dados pessoais e dados pessoais sensíveis que destacamos acima, porém sempre com a anuência de pelo menos um dos pais ou responsável legal, conforme determina o artigo 14, §1º da LGPD.
Quanto aos dados referentes aos funcionários, os dados são tratados para cumprimento de obrigação legal (artigo 7º, inciso II da LGPD) e para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular (Artigo 7º, inciso V da LGPD).
|
4 – PARTES INTERESSADAS CONSULTADAS |
Buscando a adequação em relação a Lei Geral de Proteção de Dados Pessoais, a empresa $[geral_empresa_generica] buscou a contratação do escritório de advocacia especializado no seguimento para implementação da referida legislação no fluxo de atuação da empresa.
Para a realização do mapeamento de dados, foi realizada uma pesquisa inicial, para entendimento da situação da empresa e …