Ver categorias

Relatório de impacto à proteção de dados pessoais

5 minutos de leitura

Publicado em:

Atualizado em:

Responsável pelo processo de negócio:

Gestor de Segurança da Informação

São atividades relacionadas a elaboração do documento de comunicação e transparência que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como propõe medidas, salvaguardas e mecanismos de mitigação.

💻 Saiba mais

mi·ti·ga·ção
sf
1  Ato ou efeito de mitigar, ou de aliviar; conforto, lenitivo, suavização.
Fonte: https://michaelis.uol.com.br/palavra/la71K/mitiga%C3%A7%C3%A3o/

Procedimento

Para o bom desempenho dessa atividade, segue abaixo o procedimento operacional padrão a ser adotado.

Quem faz?

💻 Saiba mais

O controlador é o agente de tratamento responsável pela elaboração do Relatório de impacto à proteção de dados pessoais – RIPD, nos termos dos art. 5º, inciso XVII, e 38, da LGPD.
O DETRAN/AL é o controlador em relação aos tratamentos de dados pessoais realizados em seu âmbito ou em nome desta e sob os quais detém o poder de decisão.
Os gestores dos contratos, convênios ou instrumentos congêneres que tratem dados pessoais pelo DETRAN/AL são responsáveis designados pelo controlador para elaborar o RIPD, sob a orientação do encarregado.
Os responsáveis pelos processos de negócio de antigos e novos serviços que tratem dados pessoais também devem elaborar o RIPD.

Passo-a-passo

🔹 Elaborar RIPD

Esta atividade é executada pelo responsável pelo processo de negócio ou pelo gestor do contrato, convênio ou instrumento congênere, sob a orientação do encarregado.

💻 Melhores práticas

Para elaborar o RIPD recomenda-se ao responsável pelo processo de negócio e ao gestor do contrato, convênio ou instrumento congênere ouvir as partes interessadas, com especial atenção aos analistas de segurança da informação e técnicos da área de negócio.

  1. Acesse o link https://sei.al.gov.br/
    • Efetue login no sistema
  2. Localize e abra o processo relacionado já existente
  3. No menu superior, clique em Incluir documento
    • Escolha o tipo do documento SEI Relatório
    • Preencha os campos
      • Texto inicial > Documento modelo: Digite 18287085
      • Classificação por assunto: conforme classificação do processo já existe
      • Nível de acesso: público
      • Os demais são opcionais
      • Clique em Confirmar dados
    • Preencha todos os campos do documento (saiba mais)
  4. Clique em Salvar
  5. Clique em Assinar
    • Assine eletronicamente o documento SEI
  6. Disponibilize em bloco de assinatura para as demais responsáveis pela elaboração.
💻 Saiba mais: ações pós-elaboração do RIPD

Após elaborar o RIPD, o DETRAN/AL verificará a viabilidade de prosseguir ou não com os processos de tratamento de dados pessoais que ensejaram a elaboração do relatório ou a necessidade de modificação na forma do tratamento.
O agente de tratamento observará as recomendações provenientes do RIPD, especialmente no que se refere à implementação de medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
Por fim, recomenda-se ao responsável pelo processo de negócio e ao gestor do contrato, convênio ou instrumento congênere a revisão contínua do RIPD, em especial, quando houver fatos novos que possam ensejar mudanças nos riscos identificados, tais como alteração nas operações de tratamento, identificação de novos fatores de risco, agravamento dos fatores de risco anteriormente identificados, ou em caso de novas regulamentações ou orientações emitidas pela ANPD.

🔹 Publicar RIPD

Esta atividade é executada pela Assessoria de Governança e Transparência.

  1. Disponibilize o RIPD no site do DETRAN/AL na página de Acesso à informação: https://www.detran.al.gov.br/conteudo/acesso-a-informacao/
💻 Saiba mais

O DETRAN/AL pode disponibilizar o RIPD em meios de fácil acesso pelo titular, especialmente em seus sítios eletrônicos, com informações sobre suas atividades de tratamento de dados pessoais, de forma clara, adequada e ostensiva. Contudo, nesse caso a versão pública do RIPD pode ser distinta da versão interna, no intuito de resguardar segredos comercial e industrial e outras informações protegidas por lei.
O RIPD deverá ser publicado: (i) por determinação da ANPD, nos termos do art. 32 da LGPD; ou (ii) pelo próprio DETRAN/AL, quando não identificada hipótese de sigilo aplicável ao caso, conforme a Lei n.º 12.527, de 18 de novembro de 2011.

Perguntas frequentes

É necessário encaminhar o RIPD à ANPD?

O DETRAN/AL tem o dever de encaminhar o RIPD apenas quando requisitado pela ANPD, sujeitando-se a medidas de fiscalização em caso de descumprimento.

Como faço para consultar a ANPD sobre mitigação dos riscos identificados?

O DETRAN/AL pode encaminhar suas dúvidas e questionamentos para a ANPD, por meio do endereço eletrônico ouvidoria@anpd.gov.br. As demandas recebidas são avaliadas e consolidadas, podendo ser consideradas no processo de elaboração de regulamentos ou para fins de futuras orientações sobre o tema.

Informações ou condições necessárias

Recomenda-se elaborar o RIPD antes do DETRAN/AL iniciar o tratamento dos dados pessoais para a finalidade desejada, para poder avaliar, de antemão, os possíveis riscos associados a esse tratamento.

Dessa forma, o DETRAN/AL conseguirá, antes mesmo de usar os dados pessoais para aquela finalidade, identificar a probabilidade de ocorrência de cada fator de risco e o seu impacto sobre as liberdades e direitos fundamentais dos titulares e adotar as medidas, as salvaguardas e os mecanismos de mitigação de risco apropriados à hipótese.

Contudo, caso não seja possível elaborar o RIPD antes do início do tratamento, recomenda-se elaborá-lo assim que se identificar um tratamento que possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados.

De todo modo, o DETRAN/AL deverá, ainda, elaborar o RIPD caso seja solicitado pela ANPD.

Documentos ou formulários necessários

  1. Documento SEI: Relatório > Documento modelo: 18287085
Os modelos de documentos no SEI só podem ser acessados com login no sistema. Já os demais modelos, como formulários internos, só abrem em computadores conectados à rede do Estado (no trabalho ou via VPN).

Serviços relacionados

  1. Não há serviços relacionados

Trilha de aprendizagem

Proteção de Dados Pessoais no Setor Público
Saiba mais
Introdução à Lei Brasileira de Proteção de Dados Pessoais
Saiba mais
Segurança da informação no contexto da transformação digital
Saiba mais

Conformidade

Base legal

Gestão documental

CódigoDescriçãoFase correnteFase intermediáriaDestinação final
016.5Gerenciamento de desempenho5 anos9 anosGuarda permanente
067Contratação e prestação de serviçosAté a aprovação das contas pelo Tribunal de Contas5 ou 10 anos a contar da aprovação das contas pelo Tribunal de ContasEliminação
O conteúdo desta tabela não substitui o publicado na versão certificada.

Inventário de dados pessoais

O Inventário de Dados Pessoais – IDP consiste no registro das operações de tratamento dos dados pessoais realizados pela instituição (Art. 37 da Lei 13.709/2018 – LGPD).

Esta atividade não trata dados pessoais.

Histórico de versões

Neste espaço são registradas alterações relevantes no conteúdo do documento, decorrentes de mudanças nos procedimentos ou ajustes necessários para fins de conformidade.

Atualizações relacionadas a design, funcionalidades ou à sessão “Conteúdo relacionado” não são registradas aqui.

DataVersãoDescriçãoAutor
22/11/20231.0Criação do documentoComissão LGPD
Assessoria de Governança e Transparência, Comitê Estratégico de Segurança da Informação, Gabinete do Diretor Presidente, Todos os setores