Definição

O Inventário de Dados Pessoais (IDP) é um registro sistemático das operações de tratamento de dados pessoais realizadas por uma instituição. Este documento deve registrar e organizar informações sobre a coleta, armazenamento e tratamento de dados pessoais, garantindo a conformidade com legislações de proteção de dados, como a Lei Geral de Proteção de Dados Pessoais (LGPD). É crucial que o IDP seja constantemente atualizado para refletir a situação atual do tratamento desses dados, incluindo informações sobre a base legal para o tratamento, a finalidade, e os meios de armazenamento utilizados.

Fatos principais

  • O IDP deve incluir informações como agentes de tratamento, finalidades do uso dos dados, bases legais, instituições com as quais os dados são compartilhados e os meios de armazenamento utilizados [source].
  • A elaboração do IDP é uma exigência da LGPD e auxilia na avaliação de conformidade em relação à proteção de dados pessoais [source].
  • O IDP deve ser revisado e atualizado, no mínimo, anualmente, ou sempre que houver qualquer mudança que afete o tratamento de dados pessoais [source].
  • A identificação dos gestores de contratos possibilita a discussão de ajustes contratuais em conformidade com a LGPD [source].
  • O inventário é fundamental para a implementação de políticas de proteção de dados e para garantir a transparência em relação ao uso dessas informações [source].

Relações

Referências legais

  • LGPD, Art. 5º — definição de controlador e encarregado.
  • LGPD, Art. 7 — Disposições sobre o tratamento de dados pessoais.
  • LGPD, Art. 33 — exige que o controlador mantenha registro das atividades de tratamento de dados pessoais.

Contradições / incertezas

  • N/A

Notas

O IDP é um documento importante para a governança de dados pessoais, servindo como subsídio para a avaliação de impacto à proteção de dados, conforme as diretrizes do Controle 19 do Guia do Framework de Privacidade e Segurança da Informação [source]. Considera-se um documento "vivo", pois precisa ser atualizado sempre que houver alteração no tratamento de dados pessoais. A elaboração do IDP deve seguir os padrões e orientações estabelecidos pela LGPD e outras normas de segurança e privacidade aplicáveis, sendo uma prática considerada essencial para a conformidade com a Lei Geral de Proteção de Dados.