RIPD: O que é um relatório de impacto a proteção de dados?

O Relatório de Impacto à Proteção de Dados (RIPD) é um documento exigido pela Lei Geral de Proteção de Dados (LGPD) para empresas que lidam com dados tem um impacto direto na privacidade e nos direitos do cidadão. Criado com o objetivo de mitigar riscos relacionados ao tratamento de dados, o relatório detalha as operações realizadas, os riscos envolvidos e as medidas adotadas para preservar a proteção dos dados.

De acordo com a LGPD, toda organização que processa dados pessoais deve observar as diretrizes legais e avaliar de maneira antecipada os potenciais impactos sobre a privacidade dos titulares dos dados. Quando uma atividade de tratamento pode gerar riscos à proteção dessas informações, é necessário elaborar o RIPD.

Quando o RIPD é necessário?

A elaboração do RIPD é obrigatória sempre que uma empresa inicia um novo projeto ou processo que envolva o tratamento de dados pessoais, tal como a implementação de novas tecnologias, mudanças nos processos de coleta e uso de dados, ou até mesmo a entrada em novos mercados com requisitos legais específicos.

Um exemplo recente divulgado na mídia, envolveu a empresa Meta, no caso em tela, a Agência Nacional de Proteção de Dados (ANPD) determinou que a Meta, responsável pelas plataformas Facebook, Instagram e WhatsApp, torne públicos os relatórios internos que detalham o uso de dados pessoais de usuários brasileiros, incluindo o uso dessas informações para treinar sistemas de inteligência artificial (IA).

O relatório em questão também é fundamental quando há a criação de campanhas de marketing, parcerias que envolvam troca de informações pessoais ou lançamento de novos produtos que exigem o uso de dados sensíveis. Além disso, o RIPD deve ser periodicamente revisado para que a empresa continue em conformidade com as normas de proteção de dados, adaptando-se a novos riscos ou mudanças nas operações.

Responsáveis pela elaboração do RIPD

O controlador, que é o agente responsável pelas decisões sobre o tratamento dos dados pessoais, é quem tem a responsabilidade legal de elaborar o RIPD. O controlador pode ser uma pessoa física ou jurídica, e é quem define as finalidades e os meios de tratamento de dados. Em empresas maiores, o encarregado de proteção de dados (DPO) atua na elaboração do relatório para que a organização esteja em conformidade com as leis de proteção de dados. Além disso, uma equipe multidisciplinar composta por profissionais de diversas áreas, como jurídico, segurança da informação e TI, pode ser envolvida no processo de criação do RIPD.

Conteúdo do RIPD

O Relatório de Impacto à Proteção de Dados deve abranger uma série de elementos descritos na LGPD, começando com a identificação dos responsáveis pelo tratamento de dados e suas respectivas funções, como o controlador, operador e encarregado. A descrição detalhada dos processos de tratamento de dados, como o tipo de dados coletados, a finalidade do tratamento e os meios de segurança adotados, tudo isso é essencial para avaliar os riscos associados.

Além disso, o RIPD deve explicar como os dados são utilizados e compartilhados, identificar as partes interessadas consultadas durante o processo de análise e justificar a necessidade e proporcionalidade do tratamento de dados, destacando a base legal para o tratamento.

O relatório também precisa abordar os riscos à proteção de dados pessoais, avaliando sua probabilidade e impacto, e propor ações para mitigar esses riscos, incluindo medidas técnicas e administrativas.

Quem pode solicitar o RIPD?

De acordo com a Lei Geral de Proteção de Dados (LGPD), o Relatório de Impacto à Proteção de Dados (RIPD) pode ser solicitado pela Autoridade Nacional de Proteção de Dados (ANPD). A ANPD tem a autoridade para determinar que o controlador elabore o RIPD, principalmente quando suas operações de tratamento de dados pessoais, incluindo dados sensíveis, possam representar riscos às liberdades e Direitos Fundamentais dos titulares.

Além disso, o RIPD deve ser elaborado pelo controlador sempre que a organização planeja iniciar um processo ou atividade que envolva o processamento de dados pessoais com risco potencial à privacidade e proteção desses dados. O controlador, por sua vez, é o responsável legal por garantir a conformidade com as regulamentações de proteção de dados.

Como fazer relatório de impacto LGPD?

Para elaborar um Relatório de Impacto à Proteção de Dados (RIPD) conforme a LGPD, é necessário seguir um processo que ajude a identificar os riscos associados ao tratamento de dados pessoais e as medidas para mitigá-los. O documento deve ser claro, detalhado e abrangente.

1. Identificação do controlador e encarregado

Comece identificando os responsáveis pelo tratamento de dados pessoais, ou seja, o controlador (quem toma as decisões sobre o tratamento de dados) e o encarregado de proteção de dados (DPO), que pode ser responsável por monitorar a conformidade com a LGPD.

2. Descrição do tratamento de dados

Detalhe as operações de tratamento de dados pessoais que serão realizadas. Isso inclui informações sobre:

• Natureza do tratamento: tipos de dados pessoais coletados, incluindo dados sensíveis;
• Finalidade do tratamento: para que os dados estão sendo coletados e como serão usados;
• Escopo do tratamento: quantos dados serão tratados, a área geográfica afetada, o tempo de retenção e se haverá compartilhamento com terceiros.

3. Avaliação de necessidade e proporcionalidade

Descreva como o tratamento de dados atende aos critérios de necessidade e proporcionalidade. Ou seja, justifique se o tratamento é necessário para atingir os objetivos propostos e se o volume de dados coletados é adequado e limitado ao necessário para essa finalidade.

4. Análise de riscos

Identifique os riscos potenciais relacionados ao tratamento dos dados pessoais, especialmente no que diz respeito à privacidade e aos direitos dos titulares. Avalie os riscos de acessos não autorizados, vazamento de dados ou uso inadequado das informações. Classifique os riscos de acordo com seu impacto e probabilidade.

5. Medidas de mitigação de riscos

Indique as medidas e salvaguardas que serão adotadas para mitigar os riscos identificados. Isso pode incluir:

• Controles técnicos (criptografia, anonimização etc.)
• Processos administrativos (treinamento de equipe, revisão de políticas internas)
• Medidas legais (contratos de fornecimento, cláusulas contratuais específicas etc.).

6. Consulta à ANPD (se necessário)

Caso o tratamento de dados envolva riscos elevados e não seja possível mitigar completamente esses riscos, a LGPD prevê que a ANPD deve ser consultada antes de dar continuidade ao tratamento. Nesse caso, o RIPD também deve ser apresentado à ANPD, que pode solicitar ajustes nas práticas adotadas pela organização.

7. Documentação

O RIPD deve ser bem documentado e acessível tanto para a organização quanto para a ANPD, se necessário. É importante garantir que o relatório seja claro e compreensível, com a possibilidade de revisão periódica para garantir a conformidade contínua com a LGPD.

8. Revisões

Recomenda-se revisar e atualizar o RIPD sempre que houver mudanças significativas nos processos de tratamento de dados, como a implementação de novas tecnologias, alterações nos fluxos de dados ou mudanças no escopo de operações.

Estrutura do RIPD

O relatório geralmente contém:

• Introdução com objetivos e escopo do relatório;
• Descrição das operações de tratamento;
• Avaliação de riscos e medidas de mitigação;
• Identificação dos responsáveis e consultorias realizadas
• Conclusão e recomendações de melhoria.

A elaboração do RIPD é uma parte fundamental do processo de conformidade com a LGPD e visa proteger os direitos dos titulares de dados pessoais, assegurando que o tratamento de dados seja realizado de maneira responsável e transparente.

Conclusão

O RIPD não é apenas uma exigência legal, mas também uma ferramenta de gestão de riscos que assegura a proteção dos dados pessoais e a conformidade com a LGPD, pois reflete o compromisso da organização com a segurança e privacidade das informações que coleta e processa, demonstrando que as práticas de tratamento de dados são conduzidas de forma ética e responsável.

Os processos de Compliance da sua empresa podem ser muito mais eficientes! A plataforma de compliance a Kronoos, automatiza a coleta e análise de informações de mais de 3500 fontes. Nossos relatórios integram dados de tribunais, órgãos reguladores e outras bases de dados, permitindo uma ampla consulta. A automação de processos reduz o tempo necessário para compilar informações e minimiza o risco de erros. Para saber mais sobre as soluções da Kronoos para Compliance, entre em contato com nossos especialistas e descubra como podemos apoiar sua empresa.