Nosso Blog

Relatório de Impacto à Proteção de Dados (RIPD) – Conceito e Aplicação

Sumário

 

*Otávio Ronchi

 

 

Introdução

 

O Relatório de Impacto à Proteção de Dados (RIPD1) é um documento essencial, utilizado para descrever os processos de tratamento de dados pessoais, que auxilia a localizar locais de alto risco para a garantia dos princípios gerais de proteção de dados pessoais, estabelecidos pela Lei Geral de Proteção de Dados (LGPD2). Além disso, o RIPD também leva em consideração a proteção das liberdades civis e dos direitos fundamentais dos titulares de dados.

Esse relatório tem como objetivo principal identificar, analisar e documentar as ameaças associadas ao processamento de dados pessoais, além de fornecer medidas, salvaguardas e mecanismos de mitigação de risco adequados. Ele é, portanto, um instrumento fundamental para garantir a conformidade com a LGPD e para aprimorar a proteção dos dados pessoais dos indivíduos.

No RIPD, é necessário descrever detalhadamente todos os processos de tratamento de dados pessoais, para que sejam identificados aqueles que podem gerar alto risco. Isso inclui a identificação dos tipos de dados pessoais envolvidos, a finalidade do tratamento, a forma de coleta, o armazenamento, o acesso, a transferência e a exclusão dos dados. É importante considerar todos os pontos que possam representar um risco significativo para a privacidade e a segurança dos dados pessoais.

Além disso, o RIPD deve abordar as medidas, as salvaguardas e os mecanismos de mitigação de riscos adotados para enfrentar os desafios identificados. Isso pode incluir a implementação de políticas de segurança, o uso de criptografia, o controle de acesso aos dados, a realização de auditorias de segurança, a adoção de práticas de anonimização e pseudonimização, entre outras ações que visem à proteção dos dados pessoais.

A elaboração do RIPD é um processo que requer uma análise minuciosa e abrangente dos riscos e das medidas de proteção. Para isso, é recomendável envolver profissionais especializados em privacidade e proteção de dados nesse processo, a fim de garantir a eficácia e a conformidade legal do relatório, que são fundamentais para garantir a segurança e a privacidade dos dados pessoais. 

 

Etapas de Elaboração

 

  • Quem é o responsável pela elaboração?

 

Conforme estabelecido nos artigos 5º, inciso XVII, e 38 da Lei Geral de Proteção de Dados (LGPD), o controlador é o agente de tratamento responsável pela elaboração do Relatório de Impacto à Proteção de Dados (RIPD). O RIPD é uma documentação crucial que descreve os processos de tratamento de dados pessoais de alto risco, garantindo a conformidade com os princípios de proteção de dados estipulados pela LGPD. Por isso, é de responsabilidade do controlador identificar, analisar e documentar os riscos associados ao tratamento de dados, além de implementar medidas e mecanismos de mitigação apropriados para proteger os direitos dos titulares de dados.

 

  • Quando há necessidade de elaboração do relatório?

 

Em conformidade com a Lei Geral de Proteção de Dados (LGPD), a elaboração do Relatório de Impacto à Proteção de Dados (RIPD) desempenha um papel fundamental na garantia da proteção dos dados pessoais, bem como na preservação das liberdades civis e dos direitos fundamentais dos titulares de dados. O RIPD é um instrumento que visa identificar e mitigar os riscos envolvidos nas operações de tratamento de dados pessoais que possam representar um alto risco.

A LGPD estabelece diretrizes claras sobre quando a Autoridade Nacional de Proteção de Dados (ANPD) pode exigir a elaboração do RIPD. Entre essas situações específicas estão as operações de tratamento realizadas exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de crimes. Além disso, na hipótese de tratamento fundamentado em interesse legítimo, os agentes do poder público e os controladores em geral, também podem ser obrigados a elaborar o RIPD, especialmente aqueles que lidam com dados pessoais sensíveis.

Portanto, é responsabilidade do controlador, que é o agente de tratamento responsável, realizar a avaliação necessária para determinar se a elaboração do RIPD é requerida em determinado contexto. Essa avaliação deve levar em consideração os princípios gerais de proteção de dados pessoais estabelecidos na LGPD, bem como os direitos dos titulares de dados. Caso seja identificado um alto risco para a proteção de dados pessoais e para os direitos dos titulares, o controlador deve elaborar o RIPD como parte de sua responsabilização e prestação de contas (efeito de prevenção a incidentes).

Além disso, a LGPD incentiva os controladores a implementarem programas de governança em privacidade, a fim de garantir a conformidade com os princípios de segurança e prevenção. Esses programas podem incluir a definição de políticas e salvaguardas adequadas, baseadas em uma avaliação sistemática de impactos e riscos à privacidade. Nesse contexto, a elaboração do RIPD pode ser incorporada como uma etapa desse processo de governança em privacidade.

Essas medidas visam promover a transparência e a responsabilidade por parte dos controladores de dados, fortalecendo a proteção dos dados pessoais e aumentando a confiança dos titulares de dados. Ao elaborar o RIPD, o controlador demonstra seu compromisso em cumprir as disposições da LGPD, garantindo a privacidade e a segurança dos dados pessoais sob sua responsabilidade.

 

  • Qual é o momento adequado para elaborar o relatório? 

 

É altamente recomendado que o controlador elabore o Relatório de Impacto à Proteção de Dados (RIPD) antes de iniciar o tratamento dos dados pessoais para a finalidade pretendida. Essa prática permite uma avaliação prévia dos possíveis riscos associados a esse tratamento.

Ao elaborar o RIPD antecipadamente, o controlador tem a oportunidade de identificar, com antecedência, a probabilidade de ocorrência de cada fator de risco e avaliar o impacto desses riscos sobre as liberdades e direitos fundamentais dos titulares de dados. Essa análise permite ao controlador adotar medidas, salvaguardas e mecanismos apropriados para mitigar os riscos envolvidos na utilização dos dados pessoais para aquela finalidade específica.

No entanto, caso não seja viável elaborar o RIPD antes do início do tratamento, é recomendado que seja elaborado assim que for identificado um tratamento que possa representar um alto risco para a garantia dos princípios gerais de proteção de dados pessoais estabelecidos na LGPD, bem como para as liberdades civis e os direitos fundamentais dos titulares.

Independentemente do momento em que o RIPD é elaborado, é importante ressaltar que o controlador deve realizar essa avaliação sempre que necessário, com o objetivo de garantir a conformidade com a LGPD e proteger os direitos dos titulares de dados. Caso a Autoridade Nacional de Proteção de Dados solicite a elaboração do relatório, o controlador também deve cumprir essa exigência.

O RIPD é uma ferramenta essencial no contexto da proteção de dados, pois proporciona uma análise aprofundada dos riscos associados ao tratamento de dados pessoais. Ao conduzir essa avaliação, o controlador demonstra seu compromisso em proteger a privacidade e os direitos dos titulares de dados, além de estar em conformidade com as disposições da LGPD. Essa prática contribui para a conformidade com a LGPD, promovendo a transparência, a responsabilidade e a segurança no tratamento de dados pessoais.

 

  • Requisitos mínimos para o relatório segundo a LGPD

 

De acordo com o artigo 38 da Lei Geral de Proteção de Dados (LGPD), o Relatório de Impacto à Proteção de Dados (RIPD) deve conter, no mínimo, as seguintes informações:

 

a) Uma descrição detalhada dos tipos de dados pessoais coletados ou tratados em qualquer forma;

b) A metodologia utilizada para o tratamento dos dados e para garantir a segurança das informações;

c) Uma análise realizada pelo controlador em relação às medidas, salvaguardas e mecanismos de mitigação de riscos adotados.

É essencial que o relatório seja elaborado de forma minuciosa, de modo a proporcionar uma compreensão abrangente tanto para a Autoridade Nacional de Proteção de Dados (ANPD) quanto para o próprio controlador sobre como ocorre o tratamento dos dados pessoais e os possíveis riscos associados a ele.

Nesse sentido, é altamente recomendado que o controlador descreva de maneira clara os tipos de dados pessoais que são coletados ou tratados, abrangendo todas as operações de tratamento conforme definido no artigo 5º, inciso X, da LGPD. Além disso, é importante incluir informações sobre as finalidades do tratamento, incluindo interesses legítimos e hipóteses legais que fundamentam o tratamento em conformidade com a lei.

O controlador também deve realizar uma avaliação minuciosa da necessidade e proporcionalidade das operações de tratamento, levando em consideração os riscos para os direitos e liberdades dos titulares de dados. Essa análise deve ser abrangente e contemplar todos os possíveis impactos negativos que o tratamento dos dados pessoais possa gerar.

Com base nessa avaliação, o controlador deve identificar e descrever as medidas e salvaguardas adotadas para minimizar os riscos identificados. Essas medidas podem incluir, por exemplo, o uso de técnicas de criptografia, restrições de acesso aos dados, implementação de políticas de segurança e conscientização dos colaboradores, entre outras práticas de proteção de dados.

É válido ressaltar que a ANPD tem o poder de solicitar informações adicionais sempre que julgar necessário. Portanto, é imprescindível que o RIPD seja elaborado de forma completa e abrangente, a fim de atender às demandas da autoridade reguladora e fornecer uma visão clara e detalhada do tratamento de dados pessoais realizado pelo controlador.

 

  • Quais os dados mínimos devem constar no relatório?

 

É recomendável que o RIPD reúna os seguintes dados e informações3:

 

a) Identificação dos agentes de tratamento e do encarregado;

b) Outras partes interessadas/envolvidas. Informar se foram consultadas na elaboração do RIPD e pareceres emitidos;

c) Justificativa da necessidade de elaboração do relatório (por exemplo: alto risco, solicitação da ANPD, gestão de riscos e prevenção, outros);

d) Projeto/Processo que justifica a elaboração do RIPD;

e) Sistemas de informação relacionados ao projeto/processo que justifica a elaboração do RIPD;

 

f) Tratamento de dados;

 

            • Descrição do tratamento (desde a coleta até a eliminação);
            • Dados pessoais (informar todos os tipos de dados pessoais tratados, de forma completa);
            • Dados pessoais sensíveis (informar todos os tipos de dados pessoais sensíveis tratados, de forma completa);
            • Categorias de titulares (por exemplo, clientes, funcionários do controlador, filhos de funcionários do controlador, funcionários de clientes, autores de ações judiciais, beneficiários de apólices, terceiros prestadores de serviços);
            • Dados de crianças e adolescentes ou de outra categoria de vulneráveis, como idosos, se houver;
            • Volume de dados pessoais tratados e número de titulares envolvidos no tratamento;
            • Fonte de coleta;
            • Finalidade do tratamento (Justifique a finalidade de tratamento para cada dado);
            • Informar quais são os compartilhamentos internos e externos (inclusive transferência internacional, se houver);
            • Política de armazenamento (descrever os prazos de retenção e métodos de descarte);

 

g) Análise de hipótese legal. Justifique a escolha da hipótese legal para cada finalidade de tratamento;

h) Análise de princípios da LGPD;

i) Riscos identificados ao titular;

j) Resultado apurado com base na metodologia utilizada pelo agente de tratamento; 

k) Medidas, salvaguardas e mecanismos de mitigação de risco; e

l) Comentários e aprovações.

 

Conclusão

 

Em conclusão, o Relatório de Impacto à Proteção de Dados (RIPD) desempenha um papel crucial na implementação efetiva da Lei Geral de Proteção de Dados (LGPD) e no fortalecimento da proteção dos direitos dos titulares de dados. Ao exigir informações detalhadas sobre os tipos de dados pessoais, a metodologia de tratamento e segurança, bem como uma análise cuidadosa das medidas adotadas para mitigar os riscos, o RIPD busca proporcionar uma compreensão abrangente e transparente do tratamento de dados, garantindo a conformidade com a legislação e atendendo às exigências da ANPD.

Um dos aspectos fundamentais do RIPD é a necessidade de o controlador descrever de forma clara e precisa as finalidades do tratamento de dados. Isso inclui identificar os interesses legítimos e as hipóteses legais que justificam o tratamento, bem como avaliar a necessidade e proporcionalidade das operações de tratamento. Essa análise aprofundada permite ao controlador tomar decisões informadas sobre o tratamento de dados e garantir que as atividades realizadas sejam justificadas e proporcionais aos objetivos pretendidos, evitando o tratamento excessivo ou desnecessário.

Além disso, o RIPD incentiva o controlador a identificar e avaliar os riscos associados ao tratamento de dados pessoais. Essa avaliação abrangente permite ao controlador compreender os possíveis impactos negativos que o tratamento de dados pode ter sobre os direitos e liberdades dos titulares. Ao identificar esses riscos, o controlador pode implementar medidas adequadas de mitigação para reduzir ou eliminar tais riscos, protegendo assim os direitos e a privacidade dos titulares de dados. A transparência é um princípio fundamental da LGPD, e o RIPD desempenha um papel importante na promoção dessa transparência. É fundamental destacar que o RIPD não é um documento estático, mas sim um processo contínuo. O controlador deve revisar e atualizar regularmente o RIPD para refletir quaisquer mudanças nas operações de tratamento de dados ou na avaliação de riscos. Além disso, a ANPD tem o poder de solicitar informações adicionais sempre que necessário, o que ressalta a importância de manter o RIPD atualizado e disponível para pronta apresentação.

Para maiores informações e publicações relacionadas com direito societário, tributário, startups, empresas de base tecnológica e studios de games, fique conectado no site e nas redes sociais da Caputo Duarte Advogados.

 

 

 

 

*Otávio Ronchi – Advogado da Caputo Duarte Advogados, Mentor em programas de empreendedorismo como Tecnopuc e PreCapLab – Dimas Ventures, possui  LLM em Direito e Processo Tributário (FMP). Pós Graduado em Direito Digital e Proteção de Dados (EBRADI). MBA, em andamento, em Planejamento Tributário e Gestão de Operações Societárias (FBT).  Coordenador do Grupo de Estudos: “Direito das Startups e Inovação” da Escola Superior da Advocacia (ESA/RS).

 

 

Referências

1Relatório de Impacto à Proteção de Dados Pessoais. < Disponível em: https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/guias/guia_lgpd.pdf >

2Lei Nº 13.709, de 14 de Agosto de 2018 – Lei Geral de Proteção de Dados (“LGPD”)

3Disponível em: <https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd#p1> acesso em 21 de jul. 2024.

 

 

 

Vamos conversar?

Agende uma Call

Está gostando do conteúdo? Compartilhe !

Posts Recentes:

Caputo Duarte Advogados 2022 ®. Registro OAB/RS 6418. Todos os direitos reservados.

CONTATO

  • Instituto Caldeira - Tv. São José, 455 - 1º Andar - Navegantes - Porto Alegre - RS
  • contato@caputoduarte.com.br
  • (51) 99570-4514

Atendemos Startups em todo o território nacional

SERVIÇOS

SIGA-NOS

Facebook Instagram Linkedin

Desenvolvido por

error: Content is protected !!