Relatório de Impacto à Proteção de Dados (RIPD)

Com o objetivo de orientar e esclarecer a sociedade sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), este artigo abordará suas diversas facetas. Vale ressaltar que o processo de regulamentação do tema está em constante evolução, de maneira que novas obrigações e parâmetros adicionais podem ser estabelecidos futuramente.

1. Definindo o RIPD

O RIPD é um documento que descreve os processos de tratamento de dados pessoais que podem apresentar alto risco para os princípios gerais de proteção de dados pessoais, conforme estabelecido na Lei Geral de Proteção de Dados Pessoais (LGPD). Ele também deve conter as medidas, salvaguardas e mecanismos de mitigação de risco.

2. Responsabilidade pela Elaboração do RIPD

A responsabilidade pela elaboração do RIPD recai sobre o controlador, que é o agente de tratamento de dados. Isso está de acordo com os artigos 5º, inciso XVII, e 38 da LGPD.

3. Contexto de Elaboração do RIPD

O RIPD deve ser elaborado sempre que as operações de tratamento de dados pessoais possam representar alto risco para os princípios gerais de proteção de dados pessoais. A LGPD também lista situações específicas em que o RIPD pode ser exigido, como nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, entre outros.

4. Momento de Elaboração do RIPD

A elaboração do RIPD deve ocorrer antes do início do tratamento dos dados pessoais para a finalidade desejada. Isso permite que o controlador possa avaliar antecipadamente os possíveis riscos associados a esse tratamento. No entanto, caso não seja possível elaborar o RIPD antes do início do tratamento, recomenda-se que ele seja feito assim que se identifique um tratamento que possa gerar alto risco.

5. Critérios e Metodologias para Gestão de Riscos

A gestão de riscos é um processo sistemático da gestão organizacional que determina a aplicação equilibrada de controles diante do perfil de riscos. A identificação e análise dos fatores de risco devem ser documentadas e justificadas. A gestão de risco pode ser feita por diferentes metodologias, sendo recomendado adotar aquelas que são reconhecidas como boas práticas pela comunidade técnica de segurança, privacidade e proteção de dados.

6. Requisitos Mínimos do RIPD

Conforme o art. 38 da LGPD, o RIPD deve conter, pelo menos, a descrição dos tipos de dados pessoais coletados ou tratados, a metodologia usada para o tratamento e para a garantia da segurança das informações, e a análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de riscos adotados.

7. Publicidade do RIPD

Embora a divulgação do RIPD não seja, em regra, obrigatória, permitir o acesso ao público em geral pode demonstrar a preocupação do controlador com a segurança dos dados pessoais e seu compromisso com a privacidade dos titulares.

8. Quantidade de RIPD por Operação de Tratamento

Um RIPD corresponde a cada projeto/processo do controlador que contenha um conjunto de operações de tratamento voltadas para uma mesma finalidade. Em alguns casos, isso pode se traduzir em relatórios diferentes para cada operação de tratamento.

9. Identificação de “Alto Risco” para Elaboração do RIPD

Os controladores podem adotar como parâmetro o conceito de tratamento de alto risco definido no art. 4º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte. No entanto, esses critérios não são exaustivos, cabendo ao controlador avaliar as circunstâncias relevantes do caso concreto.

10. Encaminhamento do RIPD para a ANPD

A LGPD não determina, como regra geral, o encaminhamento do relatório à ANPD. No entanto, a Autoridade pode requerer ao controlador o encaminhamento do RIPD, além de cópia de documentos, físicos ou digitais, e de dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais.

11. Consulta à ANPD sobre Salvaguardas e Medidas de Mitigação de Riscos

A ANPD não responde individualmente consultas jurídicas em tese ou que demandem a emissão de pronunciamento específico sobre uma condição hipotética ou concreta. No entanto, o controlador pode encaminhar suas dúvidas e questionamentos para a ANPD, por meio de canais de atendimento apropriados.

12. Participação do Encarregado na Elaboração do RIPD

É desejável que o encarregado seja consultado na elaboração e na análise das conclusões do RIPD. O controlador também poderá consultar outros membros de sua organização, eventuais operadores ou o público externo.

13. Registro de Opiniões Divergentes no RIPD

Embora não exista exigência específica da necessidade de registro de diferentes opiniões identificadas no processo de elaboração do RIPD, esse registro pode ser considerado uma boa prática em termos de transparência, responsabilização e prestação de contas.

14. Pós-Elaboração do RIPD

Após elaborar o RIPD, o controlador verificará a viabilidade de prosseguir ou não com os processos de tratamento de dados pessoais que ensejaram a elaboração do relatório ou a necessidade de modificação na forma do tratamento.

15. Dados e Informações para Incluir no RIPD

É recomendável que o RIPD reúna dados e informações como identificação dos agentes de tratamento e do encarregado, outras partes interessadas/envolvidas, justificativa da necessidade de elaboração do relatório, projeto/processo que justifica a elaboração do RIPD, sistemas de informação relacionados ao projeto/processo que justifica a elaboração do RIPD, entre outros.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é uma ferramenta fundamental para a gestão segura e transparente dos dados pessoais. A sua elaboração requer conhecimento, comprometimento e responsabilidade por parte do controlador, a fim de garantir a proteção dos dados pessoais e o cumprimento da legislação.