Ao que tudo indica, o cenário da segurança cibernética global, segue sendo um dos principais…
RIPD: o que é um Relatório de Impacto à Proteção de Dados?
O que é o Relatório de Impacto à Proteção de Dados (RIPD)?
O RIPD (também chamado de DPIA, da língua inglesa Data Protection Impact Assessment) é um documento que estabelece a gestão de riscos de uma organização, esclarecendo quais os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Ao elaborar o RIPD, a organização realiza a avaliação da conformidade de suas operações de tratamento de dados em relação ao previsto pela LGPD – Lei Geral de Proteção de Dados, além de corroborar com a aderência da instituição ao princípio da responsabilização e prestação de contas, conforme apresentado no art. 6º, X, da referida legislação, ao demonstrar a adoção de medidas eficazes no cumprimento das normas de proteção de dados.
Leia também: Como o RPA pode ajudar na adequação à LGPD – Trade Technology
Qual o fundamento legal?
A LGPD tem o intuito de proteger e minimizar os impactos causados pelos tratamentos de dados pessoais. Assim, a própria Lei determinou, no art. 5º, inciso XVII, a elaboração do relatório de impacto de proteção de dados pessoais, como uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Ainda, dispôs no art. 38 que a ANPD (Autoridade Nacional de Proteção de Dados) poderá determinar ao controlador que elabore tal relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial. A ANPD também poderá solicitar RIPD ao Controlador quando o tratamento for realizado com base em seu legítimo interesse (art. 10, §3º, LGPD), ou aos agentes do Poder Público (art. 32 da LGP).
Mas estes não são os únicos casos em que é necessário redigir um RIPD. Confira no tópico a seguir!
Quando é necessário realizar o RIPD?
A elaboração do RIPD se faz necessária nos casos em que:
- O tratamento dos dados tiver como Base Legal apenas o interesse legítimo do Controlador ou de terceiros (art. 10º, inciso II, §3º);
- O tratamento gerar riscos às liberdades civis e aos direitos fundamentais dos Titulares (art. 5º, inciso XVII e art. 17º);
- Ocorrer tratamento de dados sensíveis em grande volume (art. 50º, § 2º, inciso I, alínea c);
- O tratamento for relativo a dados provenientes de fora do território nacional e não sejam objeto de comunicação, no uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência (art. 4º, inciso IV);
- Haja rastreamento da localização dos indivíduos ou qualquer outra ação de tratamento que vise a formação de perfil comportamental (art. 12º, § 2º);
- O tratamento seja de dados de crianças e/ou adolescentes (art. 14º);
- O tratamento seja realizado para tomar decisões de forma automatizadas que possam ter efeitos legais, incluídas decisões destinadas a definir o perfil pessoal, profissional, de consumo e crédito ou aspectos da personalidade do Titular (art. 20º);
- Em outras situações de alto risco, conforme apresentado pelo art. 55º-J;
- Conforme solicitação da ANPD (art. 38º);
- Haja utilização de uma nova tecnologia, serviço ou outra iniciativa que tratará dados pessoais, bem como, alterações na estrutura organizacional, resultante da incorporação, fusão ou cisão de instituições, a fim de atender o proposto pela Lei Geral de Proteção de Dados e garantir os direitos estabelecidos por esta.
É importante que a instituição tenha em mente que, mais do que aguardar a solicitação da ANPD, é necessário que tenha a proatividade de elaborar o relatório, para garantir a segurança dos dados pessoais e seu tratamento adequado.
O ideal é que o RIPD seja elaborado antes de a organização iniciar o tratamento dos dados, preferencialmente, na fase inicial do programa, projeto ou serviço.
Quem deve elaborar o RIPD?
O RIPD é de responsabilidade do CONTROLADOR, ou seja, o responsável pelas decisões acerca do tratamento dos dados. Sendo assim, é importante ressaltar que o Encarregado pelo Tratamento de Dados Pessoais (ou DPO) é a pessoa nomeada pelo Controlador para realizar a gestão dos dados pessoais na empresa. Ele pode ser o responsável por redigir ou, quando não, deve avaliar o relatório e dar um parecer.
LGPD: Preciso de um DPO, o que fazer?
O que deve conter no relatório?
Um RIPD é um documento projetado para descrever e avaliar a necessidade dos tratamentos, auxiliar a identificação dos riscos para os direitos dos Titulares, bem como determinar e apresentar as medidas necessárias para a mitigação e tratamento destes.
Assim, ele deve conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Para entender melhor como preparar um RIPD na prática, acompanhe nosso Blog, postaremos em breve um artigo explicando “As sete etapas para elaboração de um RIPD”.
Este artigo tem 0 comentários