***coloque aqui o timbrado do seu escritório para personalizar seu relatório***

MODELO DE RELATÓRIO DE IMPACTO NA PROTEÇÃO DE DADOS PESSOAIS - RIPDP

A seguir, preencha este modelo para preparar seu relatório segundo as exigências da LGPD e da
ANPD.

1
***coloque aqui o timbrado do seu escritório para personalizar seu relatório***

RELATÓRIO DE IMPACTO
À PROTEÇÃO DE DADOS
PESSOAIS

<cidade>, <dia> de <mês> de <ano>

2
 ***coloque aqui o timbrado do seu escritório para personalizar seu relatório***

1 - IDENTIFICAÇÃO DOS AGENTES DE TRATAMENTO E DO ENCARREGADO

Controlador: <inserir aqui os dados do seu escritório>

Operador(es):<inserir aqui a lista de todos os colaboradores que realizam os tratamentos

dos dados dos seus clientes>

Encarregado:<inserir aqui a identificação do DPO ou da empresa terceirizada que atende

seu escritório nesse quesito>

e-mail do encarregado: <endereço de e-mail válido> telefone:<telefone>

2 - NECESSIDADE DE ELABORAR O RELATÓRIO

Atendimento ao artigo 5o, inciso II, artigo 10, parágrafo 3o., artigo 14, artigo 42 todos da
Lei 13.907/2018 - Lei Geral de Proteção de Dados.

3 - DESCRIÇÃO DO TRATAMENTO

Relativamente à natureza, escopo, contexto e finalidade do tratamento, a

CONTROLADORA informa que, diante de sua atividade principal de prestação de
serviços de contabilidade, bem como dos fundamentos legais da necessidade de elaborar
o relatório, esclarece que:

a) coleta e trata dados pessoais e sensíveis relativos à filiação sindical e referente à

saúde ocupacional dos trabalhadores vinculados ao TITULAR, para fechamento e
cumprimento das regras da folha de pagamento mensal;
b) trata os dados no interesse legítimo do controlador em razão da sua necessidade
de responder solidariamente ao TITULAR dos dados pelas informações tributárias
e fiscais encaminhadas à autoridade tributária brasileira, na qualidade de
procurador técnico e profissional para fins de informação contábil, fiscal e tributária,
incluindo à relativas ao sigilo profissional;
c) trata dados de crianças e adolescentes para processamento de benefícios ligados
a folha de pagamento, em especial para fins de salário família e dedução de
imposto de renda de dependentes, além de plano de saúde familiar, dos
colaboradores do TITULAR;
d) trata dados que podem causar danos patrimoniais ao TITULAR, referente ao sigilo
fiscal, bancário, tributário e de informações relativas a faturamento e recolhimento
de impostos, bem como os dados e acessos do Certificado digital do TITULAR
enquanto pessoa jurídica ou de seus sócios na qualidade de pessoa física;

3
 ***coloque aqui o timbrado do seu escritório para personalizar seu relatório***

Todos dados são coletados e tratados no contexto da prestação de serviços, com a

finalidade do cumprimento de obrigações fiscais, tributárias e trabalhistas, além de
obrigações acessórias exigidas pela legislação brasileira. A título exemplificativo, porém
não exaustivo, segue link das principais que envolvem dados do TITULAR -
http://www.portaldecontabilidade.com.br/tematicas/obrigacoes.htm

4 - PARTES INTERESSADAS CONSULTADAS

Nessa parte do relatório você deve informar quais foram as pessoas, empresas e
envolvidos que seu escritório consultou para estruturar esse relatório e a sua política de
gestão de risco dos dados. Isso inclui o próprio encarregado, todos os operadores, a alta
direção, especialistas em segurança e tecnologia da informação (pessoal de TI),
assessores jurídicos e assessores técnicos.

Ter participado e se capacitado através deste treinamento é uma informação relevante

para constar nesse trecho do relatório, pois indica que sua organização propiciou
formação específica para questões de dados.

Se houver material, é interessante acrescentar aqui questionários que foram feitos, as

respostas e as tabulações ou conclusões de reuniões direcionadas à gestão dos dados.

5 - NECESSIDADE E PROPORCIONALIDADE

Fundamentação legal: artigo 5o, inciso II, artigo 10, parágrafo 3o., artigo 14, artigo 42
todos da Lei 13.907/2018 - Lei Geral de Proteção de Dados.

Tendo em vista que o legítimo interesse do controlador é uma das fundamentações em

razão de sua responsabilidade solidária ao TITULAR em caso de irregularidade fiscal e
tributária:
● o tratamento dos dados sensíveis é indispensável ao cumprimento das exigências
da legislação tributária, fiscal e trabalhista brasileira;
● não há outra base legal possível de se utilizar para alcançar o mesmo propósito;
● o processo atual de fato auxilia no propósito almejado.

Todos os dados coletados com essa finalidade são eliminados após o período exigido
pela legislação, que é de 5 (cinco) anos. Enquanto perdurar esse prazo, o encarregado
manterá todos os arquivos de backup criptografados em mídia física e armazenamento
adicional em nuvem com segurança e duplo fator de autenticação, inclusive para fins de
recuperação de arquivos de segurança e recibos de transmissão e evidência de
cumprimento de obrigação acessória e principal.

4
 ***coloque aqui o timbrado do seu escritório para personalizar seu relatório***

As informações de privacidade aos titulares seguem as diretrizes da obrigatoriedade de

se manterem arquivadas todas as evidências fiscais, tributárias e trabalhistas de todas as
informações enviadas aos sistemas oficiais da autoridade tributária brasileira.

A entidade CONTROLADORA poderá, a pedido do TITULAR, transferir a ele a guarda de

tais informações, ressalvadas àquelas que o próprio CONTROLADOR, por dever de
ofício, deve possuir pelo período constante da legislação.

6 - IDENTIFICAÇÃO E AVALIAÇÃO DE RISCOS (tabela exemplificativa - deve ser

atualizada com os itens do seu relatório de mapeamento de dados)

Neste item, deve ser apresentada uma tabela de Probabilidade x Impacto, para que se
possa classificar o nível de risco de cada tratamento de dados envolvido na operação do
seu escritório.

Geralmente essa é uma parte complexa e demanda muito tempo dos envolvidos, Por esta
razão, criamos uma forma personalizada para atividades contábeis, com a finalidade de
simplificar o processo, sem que ele perca sua funcionalidade e eficiência.

Importante deixar consignadas as terminologias para cada item desta tabela:

1) probabilidade (P) - chance de algo acontecer, não importando se definida, medida

ou determinada; - numerada em 3 gradações: 5(baixo), 10(médio) e 15(alto)
2) impacto ( I ) - resultado de um evento que afeta o titular; - numerado em 3
gradações: 5(baixo), 10(médio) e 15(alto)
3) nível de risco - magnitude de um risco ou combinação de riscos, combinando
probabilidade X impacto (multiplicação)
4) R00 - risco classificado pelo mapeamento de dados como presente na operação

N. DO ESPECIFICAÇÃO DO RISCO P I NÍVEL DE

RISCO RISCO

R01 acesso não autorizado 10 15 150

R02 perda 5 15 75

R03 retenção prolongada dos dados 10 5 50

R04 vinculação indevida, direta ou indireta 5 15 75

R05 falha ou erro de processamento 5 15 75

5
 ***coloque aqui o timbrado do seu escritório para personalizar seu relatório***

7 - MEDIDAS PARA TRATAR OS RISCOS

Elencar aqui todas as medidas de segurança, técnicas ou administrativas que os agentes

de tratamento devem adotar quando da ocorrência de qualquer dos riscos indicados na
tabela do item anterior.

IMPORTANTE: seu escritório não precisa conseguir ELIMINAR todos os riscos, mas sim,
tomar todas as MEDIDAS POSSÍVEIS E DISPONÍVEIS para reduzir ao mínimo aceitável
os graus de risco identificados em cada caso.

Desta forma, esse item ficaria assim:

RISCO MEDIDA EFEITO SOBRE MEDIDA APROVADA

O RISCO

R01 1.controle de reduzir sim

acesso lógico

R02 1.controle de
acesso lógico

2.controle reduzir sim

criptográfico

3.proteção física
do ambiente

8 - APROVAÇÃO

Aqui devem constar as assinaturas de todos os que aprovaram o relatório, em todos os

níveis envolvidos dentro do escritório. É fortemente recomendado que, sempre que um
novo colaborador for contratado para sua organização contábil, que ele tenha acesso a
esse relatório para compreender o nível de riscos, responsabilidades e de consequências,
já que ele ficará na qualidade de OPERADOR dos dados dos seus clientes.

Inclusive, recomendamos que após a familiarização do colaborador com este relatório,

que não deixe de ser assinado juntamente com o contrato de trabalho, o termo de sigilo,
confidencialidade e de cumprimento das regras do escritório quanto a LGPD (material
disponível na aula do Setor 1 - Administração)