Publicado em:
Atualizado em:
Responsável pelo processo de negócio:
Gestor de Segurança da Informação
São atividades relacionadas a elaboração do documento de comunicação e transparência que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como propõe medidas, salvaguardas e mecanismos de mitigação.
💻 Saiba mais
mi·ti·ga·ção
sf
1 Ato ou efeito de mitigar, ou de aliviar; conforto, lenitivo, suavização.
Fonte: https://michaelis.uol.com.br/palavra/la71K/mitiga%C3%A7%C3%A3o/
Procedimento
Para o bom desempenho dessa atividade, segue abaixo o procedimento operacional padrão a ser adotado.
Quem faz?
- Gestor do contrato, convênio ou instrumento congênere, ou responsável pelo processo de negócio, lotado em qualquer setor do DETRAN/AL
- Comitê Estratégico de Segurança da Informação – CESI
- Assessoria de Governança e Transparência – ASSGT
- Gabinete do Diretor Presidente – GABDP
💻 Saiba mais
O controlador é o agente de tratamento responsável pela elaboração do Relatório de impacto à proteção de dados pessoais – RIPD, nos termos dos art. 5º, inciso XVII, e 38, da LGPD.
O DETRAN/AL é o controlador em relação aos tratamentos de dados pessoais realizados em seu âmbito ou em nome desta e sob os quais detém o poder de decisão.
Os gestores dos contratos, convênios ou instrumentos congêneres que tratem dados pessoais pelo DETRAN/AL são responsáveis designados pelo controlador para elaborar o RIPD, sob a orientação do encarregado.
Os responsáveis pelos processos de negócio de antigos e novos serviços que tratem dados pessoais também devem elaborar o RIPD.
Passo-a-passo
🔹 Elaborar RIPD
Esta atividade é executada pelo responsável pelo processo de negócio ou pelo gestor do contrato, convênio ou instrumento congênere, sob a orientação do encarregado.
💻 Melhores práticas
Para elaborar o RIPD recomenda-se ao responsável pelo processo de negócio e ao gestor do contrato, convênio ou instrumento congênere ouvir as partes interessadas, com especial atenção aos analistas de segurança da informação e técnicos da área de negócio.
- Acesse o link https://sei.al.gov.br/
- Efetue login no sistema
- Localize e abra o processo relacionado já existente
- No menu superior, clique em Incluir documento
- Escolha o tipo do documento SEI Relatório
- Preencha os campos
- Texto inicial > Documento modelo: Digite 18287085
- Classificação por assunto: conforme classificação do processo já existe
- Nível de acesso: público
- Os demais são opcionais
- Clique em Confirmar dados
- Preencha todos os campos do documento (saiba mais)
- Clique em Salvar
- Clique em Assinar
- Assine eletronicamente o documento SEI
- Disponibilize em bloco de assinatura para as demais responsáveis pela elaboração.
💻 Saiba mais: ações pós-elaboração do RIPD
Após elaborar o RIPD, o DETRAN/AL verificará a viabilidade de prosseguir ou não com os processos de tratamento de dados pessoais que ensejaram a elaboração do relatório ou a necessidade de modificação na forma do tratamento.
O agente de tratamento observará as recomendações provenientes do RIPD, especialmente no que se refere à implementação de medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
Por fim, recomenda-se ao responsável pelo processo de negócio e ao gestor do contrato, convênio ou instrumento congênere a revisão contínua do RIPD, em especial, quando houver fatos novos que possam ensejar mudanças nos riscos identificados, tais como alteração nas operações de tratamento, identificação de novos fatores de risco, agravamento dos fatores de risco anteriormente identificados, ou em caso de novas regulamentações ou orientações emitidas pela ANPD.
🔹 Publicar RIPD
Esta atividade é executada pela Assessoria de Governança e Transparência.
- Disponibilize o RIPD no site do DETRAN/AL na página de Acesso à informação: https://www.detran.al.gov.br/conteudo/acesso-a-informacao/
💻 Saiba mais
O DETRAN/AL pode disponibilizar o RIPD em meios de fácil acesso pelo titular, especialmente em seus sítios eletrônicos, com informações sobre suas atividades de tratamento de dados pessoais, de forma clara, adequada e ostensiva. Contudo, nesse caso a versão pública do RIPD pode ser distinta da versão interna, no intuito de resguardar segredos comercial e industrial e outras informações protegidas por lei.
O RIPD deverá ser publicado: (i) por determinação da ANPD, nos termos do art. 32 da LGPD; ou (ii) pelo próprio DETRAN/AL, quando não identificada hipótese de sigilo aplicável ao caso, conforme a Lei n.º 12.527, de 18 de novembro de 2011.
Perguntas frequentes
É necessário encaminhar o RIPD à ANPD?
O DETRAN/AL tem o dever de encaminhar o RIPD apenas quando requisitado pela ANPD, sujeitando-se a medidas de fiscalização em caso de descumprimento.
Como faço para consultar a ANPD sobre mitigação dos riscos identificados?
O DETRAN/AL pode encaminhar suas dúvidas e questionamentos para a ANPD, por meio do endereço eletrônico ouvidoria@anpd.gov.br. As demandas recebidas são avaliadas e consolidadas, podendo ser consideradas no processo de elaboração de regulamentos ou para fins de futuras orientações sobre o tema.
Informações ou condições necessárias
Recomenda-se elaborar o RIPD antes do DETRAN/AL iniciar o tratamento dos dados pessoais para a finalidade desejada, para poder avaliar, de antemão, os possíveis riscos associados a esse tratamento.
Dessa forma, o DETRAN/AL conseguirá, antes mesmo de usar os dados pessoais para aquela finalidade, identificar a probabilidade de ocorrência de cada fator de risco e o seu impacto sobre as liberdades e direitos fundamentais dos titulares e adotar as medidas, as salvaguardas e os mecanismos de mitigação de risco apropriados à hipótese.
Contudo, caso não seja possível elaborar o RIPD antes do início do tratamento, recomenda-se elaborá-lo assim que se identificar um tratamento que possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados.
De todo modo, o DETRAN/AL deverá, ainda, elaborar o RIPD caso seja solicitado pela ANPD.
Documentos ou formulários necessários
- Documento SEI: Relatório > Documento modelo: 18287085
Para acessar o modelo dos documentos ou formulários SEI é necessário se conectar ao sistema SEI.Atenção
Quanto aos demais documentos ou formulários, é necessário estar conectado a rede do estado.
Serviços relacionados
- Não há serviços relacionados
Conteúdo relacionado
Inovação
- Projeto Implantação da LGPD
Textos
- Guia e modelo de elaboração de Relatório de Impacto à Proteção de Dados Pessoais
- Guia orientativo: tratamento de dados pessoais pelo poder público
- Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais
Vídeos
Trilha de aprendizagem
Conformidade
Base legal
- Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD)
- Decreto Estadual nº 91.229, de 18 de maio de 2023, que dispõe sobre a aplicação da LGPD, no âmbito da administração pública direta e indireta do poder executivo estadual, e dá outras providências.
- Decreto Estadual n.º 91.677, de 19 de junho de 2023, que designa a composição do Comitê Estadual de Proteção de Dados Pessoais
- Portaria n.º 1268, de 21 de junho de 2023, que institui a Política de Segurança da Informação do DETRAN/AL.
Gestão documental
- Portaria n.º 1.396, de 18 de agosto de 2014, que aprova o Plano de Classificação e Tabela de Temporalidade do DETRAN/AL
- Alterada pela Portaria n.º 1084/2021
- Portaria n.º 47, de 14 de fevereiro de 2020, que dispõe sobre o Código de Classificação e Tabela de Temporalidade e Destinação de Documentos relativos às atividades-meio do Poder Executivo Federal.
- Orientação do Gabinete Civil: e-SIC 975/2023
| Código | Descrição | Fase corrente | Fase intermediária | Destinação final |
|---|---|---|---|---|
| 016.5 | Gerenciamento de desempenho | 5 anos | 9 anos | Guarda permanente |
| 067 | Contratação e prestação de serviços | Até a aprovação das contas pelo Tribunal de Contas | 5 ou 10 anos a contar da aprovação das contas pelo Tribunal de Contas | Eliminação |
Inventário de dados pessoais
O Inventário de Dados Pessoais – IDP consiste no registro das operações de tratamento dos dados pessoais realizados pela instituição (Art. 37 da Lei 13.709/2018 – LGPD).
Esta atividade não trata dados pessoais.
Histórico de versões
Aqui são registradas mudanças significativas no conteúdo do documento decorrentes de alterações procedimentais e de conformidade.
Não são registradas atualizações de design, funcionalidade, conteúdo relacionado ou trilha de aprendizagem.
| Data | Versão | Descrição | Autor |
|---|---|---|---|
| 22/11/2023 | 1.0 | Criação do documento | Comissão LGPD |
