Inventario de Dados Pessoais (IDP)

O Inventário de Dados Pessoais – IDP consiste no registro das operações de tratamento dos dados pessoais, em formulário específico, realizados pela instituição (LGPD. Art. 37).
De uma forma geral, esse registro mantido pelo IDP envolve descrever informações em relação ao tratamento de dados pessoais realizado pelo órgão ou entidade como:

• atores envolvidos (agentes de tratamento e o encarregado);
• finalidade (o que a instituição faz com o dado pessoal);
• hipótese (arts. 7º e 11 da LGPD);
• previsão legal;
• dados pessoais tratados pela instituição;
• categoria dos titulares dos dados pessoais;
• tempo de retenção dos dados pessoais;
• instituições com as quais os dados pessoais são compartilhados;
• transferência internacional de dados (art. 33 LGPD); e
• medidas de segurança atualmente adotadas.

O IDP representa um documento importante de governança de dados pessoais e de subsídio para avaliação de impacto à proteção de dados pessoais com vistas a verificar a conformidade da instituição no que se refere ao preconizado pela LGPD e sua finalidade consiste em identificar as operações de tratamento de dados pessoais realizadas pela instituição no papel de controlador (LGPD, art. 5º, VI).

O IDP foi estruturado em formato de formulário eletrônico com uma abordagem top/down, onde o serviço e os processos de negócio, e não os dados propriamente ditos, são analisados. O inventário permitirá atender tanto o requisito de manter um registro das operações de tratamento de dados pessoais, quanto o de auxiliar no controle do atendimento aos princípios, ambos estabelecidos pela LGPD.

O formulário para registro das operações de tratamento dos dados pessoais deve ser preenchido apenas por Setores e/ou Responsáveis que tenham acesso a Dados Pessoais e que executem algumas das seguintes atividades:

1. COLETA – Obtenção, recepção ou produção de dados pessoais independente do meio utilizado (documento em papel, documento eletrônico, sistema de informação, etc.);

2. RETENÇÃO/ARMAZENAMENTO – Arquivamento ou armazenamento de dados pessoais independente do meio utilizado (documento em papel, documento eletrônico, banco de dados, arquivo de aço, etc.);

3. PROCESSAMENTO/UTILIZAÇÃO – Qualquer operação que envolva classificação, utilização, reprodução, processamento, avaliação ou controle da informação, extração e modificação de dados pessoais;

4. COMPARTILHAMENTO – Qualquer operação que envolva transmissão, distribuição, comunicação, transferência, difusão e compartilhamento de dados pessoais;

5. ELIMINAÇÃO – Qualquer operação que visa apagar, excluir ou eliminar dados pessoais. Esta fase também contempla descarte dos ativos organizacionais nos casos necessários ao negócio da instituição.