O tratamento de dados pessoais, conforme a LGPD, requer uma série de procedimentos e diretrizes a serem adotados pelas empresas.
No art. 5º, XVII, a LGPD denomina o * Relatório de Impacto como a documentação elaborada por responsabilidade do **Controlador que deve conter a descrição de tratamento de dados e análise às informações que podem gerar riscos às liberdades civis e individuais, com o intuito de estabelecer mecanismos para reduzir esses riscos e demonstrar como a empresa se encontra em conformidade com a regulamentação.
Ao elaborar o Relatório de Impacto o Controlador, deverá usar o conhecimento e análise do mesmo, como base para a tomada das decisões sobre o tratamento de dados e para oferecer a garantia dos direitos do titular dos dados pessoais conforme exigências da LGPD.
O Relatório de Impacto no processo da privacidade dos dados é um dos procedimentos fundamentais para o Programa de Governança em Privacidade previsto na LGPD, não só pelo aspecto operacional da empresa, mas também nas consequências do tratamento de dados.
O Relatório de Impacto deve conter pelo menos:
descrição dos tipos de dados coletados;
metodologia utilizada para a coleta e para a garantia da segurança das informações;
análise do controlador com relação a medidas;
salvaguardas e mecanismos de ação de risco adotados.
* Relatório de Impacto (RIPD) à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. (LGPD, art. 5º, XVII)
** Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais. (LGPD, art. 5º, VI)