Organizações

O Registro de operações de tratamento de dados pessoais (popularmente chamado de Inventário) é uma exigência  da Lei Geral de Proteção de Dados. O artigo 37 da Lei define que as organizações mantenham um registro de todas as atividades de processamento envolvendo dados pessoais.

O objetivo do Inventário é fornecer uma visão abrangente de como os dados pessoais estão sendo processados ​​dentro de uma organização, incluindo os tipos de dados sendo processados, as finalidades para as quais os dados estão sendo processados, as categorias dos titulares de dados cujos dados estão sendo processados, e quaisquer terceiros com quem os dados estão sendo compartilhados.

O Inventário das operações de tratamento de dados pessoais atende a vários propósitos sob a LGPD, incluindo:

• Conformidade: é um componente essencial para demonstrar a conformidade com o princípio de Responsabilidade da LGPD, que exige que as organizações sejam capazes de demonstrar sua conformidade com os requisitos da LGPD.
• Transparência: ajuda a garantir a transparência, fornecendo aos titulares de dados informações sobre como seus dados pessoais estão sendo processados.
• Gestão de riscos: pode ser utilizado como ferramenta de identificação e gestão de riscos associados ao tratamento de dados pessoais.
• Avaliações de impacto de proteção de dados (RIPD): pode ser usado para dar suporte ao RIPD, que são um requisito obrigatório para certos tipos de atividades de processamento sob a LGPD.

O Inventário deve ser um documento vivo, revisado e atualizado regularmente para garantir que permaneça preciso e atualizado. A LGPD prevê a disponibilização do registro das operações de tratamento de dados pessoais (Inventário) pelas organizações à  Autoridades de Proteção de Dados (ANPD), mediante solicitação.

O Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer - DPO) é uma pessoa designada pela organização pública ou empresa para supervisionar a proteção de dados pessoais e garantir que a organização esteja em conformidade com os regulamentos de proteção de dados. 

As responsabilidades do encarregado incluem:

• Informar e aconselhar a organização e seus funcionários sobre suas obrigações sob as leis de proteção de dados.
• Monitorar a conformidade da organização com os regulamentos e políticas de proteção de dados.
• Realizar avaliações de impacto de proteção de dados (RIPD) para identificar e mitigar os riscos de proteção de dados.
• Atuar como o principal ponto de contato entre a organização e as autoridades reguladoras para questões de proteção de dados.
• Coordenar com outros departamentos dentro da organização para garantir que a proteção de dados seja integrada a todos os processos e sistemas relevantes.

O encarregado é uma função importante para qualquer organização que processa dados pessoais, pois ajuda a garantir que a organização esteja protegendo os direitos de privacidade dos indivíduos e cumprindo os requisitos legais.

As disposições sobre o encarregado na LGPD encontram-se nos artigos 5º VIII e 41.

A Comunicação de Incidente de Segurança (CIS), art. 48, LGPD, exige que os controladores de dados relatem incidentes de segurança  que “crie um risco ou danos relevantes aos indivíduos a quem os dados pessoais se referem" à Autoridade Nacional de Proteção de Dados (ANPD) e aos indivíduos afetados.

O CIS deve ser feito sem atraso indevido, preferencialmente em até 72 horas após o conhecimento do incidente. A notificação, em suma,  deve incluir uma descrição do incidente, o tipo de dados afetados, as medidas tomadas ou que serão tomadas para mitigar os efeitos do incidente e os dados de contato do responsável pelo tratamento ou seu representante.

Esse é um elemento crucial do princípio de responsabilidade da LGPD, pois exige que as organizações assumam a responsabilidade pela segurança dos dados pessoais que processam e sejam transparentes sobre incidentes que possam ocorrer. O não cumprimento dos requisitos do CIS pode resultar em penalidades significativas e danos à reputação, portanto, as organizações devem tomar medidas proativas para evitar incidentes de segurança e estar preparadas para responder de forma eficaz caso ocorram.

Para informações sobre o Procedimento para Comunicação de Incidente à Autoridade de Proteção de Dados, acesse  o site da ANPD.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) - também chamado de DPIA, da língua inglesa Data Protection Impact Assessment - é um documento pensado para estabelecer a gestão de processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação desses riscos. 

A elaboração do RIPD é de responsabilidade do controlador, que é a pessoa responsável pelas decisões sobre o tratamento de dados. É importante ressaltar que o Encarregado pelo Tratamento de Dados Pessoais (DPO), nomeado pelo controlador, é responsável por gerenciar os dados pessoais na instituição. O encarregado pode ser designado para elaborar o RIPD ou, caso não seja, deve avaliar o relatório e emitir um parecer.

O RIPD deverá ser elaborado  sempre que houver uma nova operação de tratamento de dados, ou quando houver alterações significativas em uma operação existente nos casos a seguir: 

• O tratamento dos dados tiver como Base Legal apenas o interesse legítimo do controlador ou de terceiros (art. 10º, inciso II, §3º);
• O tratamento gerar riscos às liberdades civis e aos direitos fundamentais dos titulares (art. 5º, inciso XVII e art. 17º);
• Ocorrer tratamento de dados sensíveis em grande volume (art. 50º, § 2º, inciso I, alínea c);
• O tratamento for relativo a dados provenientes de fora do território nacional e não sejam objeto de comunicação, no uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência (art. 4º, inciso IV);
• Haja rastreamento da localização dos indivíduos ou qualquer outra ação de tratamento que vise a formação de perfil comportamental (art. 12º, inciso § 2º);
• O tratamento seja de dados de crianças e/ou adolescentes (art. 14º);
• O tratamento seja realizado para tomar decisões de forma automatizadas que possam ter efeitos legais, incluídas decisões destinadas a definir o perfil pessoal, profissional, de consumo e crédito ou aspectos da personalidade do titular (art. 20º);
• Em outras situações de alto risco, conforme apresentado pelo art. 55º-J;
• Conforme solicitação da ANPD (art. 38º);
• Haja utilização de uma nova tecnologia, serviço ou outra iniciativa que tratará dados pessoais, bem como, alterações na estrutura organizacional, resultante da incorporação, fusão ou cisão de instituições, a fim de atender o proposto pela Lei Geral de Proteção de Dados e garantir os direitos estabelecidos por esta.

 A LGPD também exige que o RIPD seja disponibilizado à Autoridade Nacional de Proteção de Dados (ANPD) mediante solicitação.

O RIPD é  uma ferramenta importante para garantir a conformidade com a LGPD, pois permite que as empresas e organizações públicas avaliem os riscos envolvidos no tratamento de dados pessoais e implementem medidas adequadas de proteção de dados. Além disso, este também pode ser utilizado para demonstrar a conformidade da empresa ou organização com a LGPD em caso de fiscalização ou ação judicial.

A seguir, as disposições do RIPD na Lei Geral de Proteção de Dados:

Art. 5º Para os fins desta Lei, considera-se:

XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; 

Enquanto o art. 5º, inciso XVII, define o que é um RIPD, o seu conteúdo mínimo é indicado pelo parágrafo único do art. 38, grifado abaixo.

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

O Comitê Estadual de Proteção de Dados (CEPD) possui como uma de suas competências a promoção da capacitação em LGPD àqueles pertencentes à Administração Pública direta, bem como a orientação dos mesmos quanto à implementação da Lei. 

Por meio da Escola de Governo do Estado, estão sendo desenvolvidos cursos voltados à capacitação da Rede de Encarregados do Estado de Goiás e dos demais servidores diretamente ligados ao processo de adequação do estado à LGPD, que serão disponibilizados no decorrer deste ano.

Com vistas a dar uma orientação prévia sobre esses materiais, indica-se a realização dos seguintes cursos e leituras:

Legislações

• Lei Geral de Proteção de Dados (Lei n° 13.709/2018)
• Decreto estadual n° 10.0092/2022: Aplicação LGPD, no âmbito da administração pública direta e indireta do Poder Executivo estadual (Goiás). 
• Documentos e publicações da ANPD

Cursos gratuitos

• Introdução à Lei Geral de Proteção de Dados da Escola de Governo de Goiás (EGOV): EAD - Síncrono, 20 horas (ainda não há previsão de nova data).
• Introdução à Lei Brasileira de Proteção de Dados Pessoais da Escola Virtual de Governo (ENAP): EAD - Assíncrono, 10 horas. 
• Fundamentos da Lei Geral de Proteção de Dados da Escola Virtual de Governo (ENAP): EAD - Assíncrono, 15 horas. 
• Proteção de Dados Pessoais no Setor Público da Escola Virtual de Governo (ENAP): EAD - Assíncrono, 15 horas. 

Cursos avançados (pagos)

• Encarregado de Proteção de Dados Certificado no Brasil (CDPO/BR) – IAPP
• Data Protection Officer – DPO EXIN
• DPO (Encarregado de Dados Pessoais) – SERPRO