Blog

RIPD: o que é um Relatório de Impacto à Proteção de Dados?

O que é o Relatório de Impacto à Proteção de Dados (RIPD)?

O RIPD (também chamado de DPIA, da língua inglesa Data Protection Impact Assessment) é um documento que estabelece a gestão de riscos de uma organização, esclarecendo quais os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Ao elaborar o RIPD, a organização realiza a avaliação da conformidade de suas operações de tratamento de dados em relação ao previsto pela LGPD – Lei Geral de Proteção de Dados, além de corroborar com a aderência da instituição ao princípio da responsabilização e prestação de contas, conforme apresentado no art. 6º, X, da referida legislação, ao demonstrar a adoção de medidas eficazes no cumprimento das normas de proteção de dados.

Leia também: Como o RPA pode ajudar na adequação à LGPD – Trade Technology

Qual o fundamento legal?

A LGPD tem o intuito de proteger e minimizar os impactos causados pelos tratamentos de dados pessoais. Assim, a própria Lei determinou, no art.  5º, inciso XVII, a elaboração do relatório de impacto de proteção de dados pessoais, como uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

Ainda, dispôs no art. 38 que a ANPD (Autoridade Nacional de Proteção de Dados) poderá determinar ao controlador que elabore tal relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial. A ANPD também poderá solicitar RIPD ao Controlador quando o tratamento for realizado com base em seu legítimo interesse (art. 10, §3º, LGPD), ou aos agentes do Poder Público (art. 32 da LGP).

Mas estes não são os únicos casos em que é necessário redigir um RIPD. Confira no tópico a seguir!

Quando é necessário realizar o RIPD?

A elaboração do RIPD se faz necessária nos casos em que:

  • O tratamento dos dados tiver como Base Legal apenas o interesse legítimo do Controlador ou de terceiros (art. 10º, inciso II, §3º);

  • O tratamento gerar riscos às liberdades civis e aos direitos fundamentais dos Titulares (art. 5º, inciso XVII e art. 17º);

  • Ocorrer tratamento de dados sensíveis em grande volume (art. 50º, § 2º, inciso I, alínea c);

  • O tratamento envolver dados provenientes do exterior, sem comunicação com agentes brasileiros ou transferência internacional para o país de origem (art. 4º, inciso IV);

  • Houver rastreamento de localização ou outras ações para formação de perfil comportamental (art. 12º, § 2º);

  • O tratamento envolver dados de crianças e/ou adolescentes (art. 14º);

  • Houver decisões automatizadas com efeitos legais ou relevantes, como definição de perfil pessoal, profissional, de consumo ou crédito (art. 20º);

  • Ocorrerem outras situações de alto risco, conforme o art. 55º-J;

  • Houver solicitação da Autoridade Nacional de Proteção de Dados (ANPD) (art. 38º);

  • Houver uso de novas tecnologias, serviços ou alterações organizacionais relevantes, como fusões e cisões, com impacto no tratamento de dados.

Quem deve elaborar o RIPD?

O RIPD é de responsabilidade do CONTROLADOR, ou seja, o responsável pelas decisões acerca do tratamento dos dados. Sendo assim, é importante ressaltar que o Encarregado pelo Tratamento de Dados Pessoais (ou DPO) é a pessoa nomeada pelo Controlador para realizar a gestão dos dados pessoais na empresa. Ele pode ser o responsável por redigir ou, quando não, deve avaliar o relatório e dar um parecer.

LGPD: Preciso de um DPO, o que fazer?

O que deve conter no relatório?

Um RIPD é um documento projetado para descrever e avaliar a necessidade dos tratamentos, auxiliar a identificação dos riscos para os direitos dos Titulares, bem como determinar e apresentar as medidas necessárias para a mitigação e tratamento destes.

Assim, ele deve conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Para entender melhor como preparar um RIPD na prática, acompanhe nosso Blog, postaremos em breve um artigo explicando “As sete etapas para elaboração de um RIPD”.

Artigos relacionados

Comments (0)

Deixe um comentário

Back To Top
Buscar