O Relatório de Impacto à Proteção de Dados (RIPD) é um documento exigido pela Lei Geral de Proteção de Dados (LGPD) para empresas que lidam com dados tem um impacto direto na privacidade e nos direitos do cidadão. Criado com o objetivo de mitigar riscos relacionados ao tratamento de dados, o relatório detalha as operações realizadas, os riscos envolvidos e as medidas adotadas para preservar a proteção dos dados.
De acordo com a LGPD, toda organização que processa dados pessoais deve observar as diretrizes legais e avaliar de maneira antecipada os potenciais impactos sobre a privacidade dos titulares dos dados. Quando uma atividade de tratamento pode gerar riscos à proteção dessas informações, é necessário elaborar o RIPD.
A elaboração do RIPD é obrigatória sempre que uma empresa inicia um novo projeto ou processo que envolva o tratamento de dados pessoais, tal como a implementação de novas tecnologias, mudanças nos processos de coleta e uso de dados, ou até mesmo a entrada em novos mercados com requisitos legais específicos.
Um exemplo recente divulgado na mídia, envolveu a empresa Meta, no caso em tela, a Agência Nacional de Proteção de Dados (ANPD) determinou que a Meta, responsável pelas plataformas Facebook, Instagram e WhatsApp, torne públicos os relatórios internos que detalham o uso de dados pessoais de usuários brasileiros, incluindo o uso dessas informações para treinar sistemas de inteligência artificial (IA).
O relatório em questão também é fundamental quando há a criação de campanhas de marketing, parcerias que envolvam troca de informações pessoais ou lançamento de novos produtos que exigem o uso de dados sensíveis. Além disso, o RIPD deve ser periodicamente revisado para que a empresa continue em conformidade com as normas de proteção de dados, adaptando-se a novos riscos ou mudanças nas operações.
O controlador, que é o agente responsável pelas decisões sobre o tratamento dos dados pessoais, é quem tem a responsabilidade legal de elaborar o RIPD. O controlador pode ser uma pessoa física ou jurídica, e é quem define as finalidades e os meios de tratamento de dados. Em empresas maiores, o encarregado de proteção de dados (DPO) atua na elaboração do relatório para que a organização esteja em conformidade com as leis de proteção de dados. Além disso, uma equipe multidisciplinar composta por profissionais de diversas áreas, como jurídico, segurança da informação e TI, pode ser envolvida no processo de criação do RIPD.
O Relatório de Impacto à Proteção de Dados deve abranger uma série de elementos descritos na LGPD, começando com a identificação dos responsáveis pelo tratamento de dados e suas respectivas funções, como o controlador, operador e encarregado. A descrição detalhada dos processos de tratamento de dados, como o tipo de dados coletados, a finalidade do tratamento e os meios de segurança adotados, tudo isso é essencial para avaliar os riscos associados.
Além disso, o RIPD deve explicar como os dados são utilizados e compartilhados, identificar as partes interessadas consultadas durante o processo de análise e justificar a necessidade e proporcionalidade do tratamento de dados, destacando a base legal para o tratamento.
O relatório também precisa abordar os riscos à proteção de dados pessoais, avaliando sua probabilidade e impacto, e propor ações para mitigar esses riscos, incluindo medidas técnicas e administrativas.
De acordo com a Lei Geral de Proteção de Dados (LGPD), o Relatório de Impacto à Proteção de Dados (RIPD) pode ser solicitado pela Autoridade Nacional de Proteção de Dados (ANPD). A ANPD tem a autoridade para determinar que o controlador elabore o RIPD, principalmente quando suas operações de tratamento de dados pessoais, incluindo dados sensíveis, possam representar riscos às liberdades e Direitos Fundamentais dos titulares.
Além disso, o RIPD deve ser elaborado pelo controlador sempre que a organização planeja iniciar um processo ou atividade que envolva o processamento de dados pessoais com risco potencial à privacidade e proteção desses dados. O controlador, por sua vez, é o responsável legal por garantir a conformidade com as regulamentações de proteção de dados.
Para elaborar um Relatório de Impacto à Proteção de Dados (RIPD) conforme a LGPD, é necessário seguir um processo que ajude a identificar os riscos associados ao tratamento de dados pessoais e as medidas para mitigá-los. O documento deve ser claro, detalhado e abrangente.
Comece identificando os responsáveis pelo tratamento de dados pessoais, ou seja, o controlador (quem toma as decisões sobre o tratamento de dados) e o encarregado de proteção de dados (DPO), que pode ser responsável por monitorar a conformidade com a LGPD.
Detalhe as operações de tratamento de dados pessoais que serão realizadas. Isso inclui informações sobre:
Descreva como o tratamento de dados atende aos critérios de necessidade e proporcionalidade. Ou seja, justifique se o tratamento é necessário para atingir os objetivos propostos e se o volume de dados coletados é adequado e limitado ao necessário para essa finalidade.
Identifique os riscos potenciais relacionados ao tratamento dos dados pessoais, especialmente no que diz respeito à privacidade e aos direitos dos titulares. Avalie os riscos de acessos não autorizados, vazamento de dados ou uso inadequado das informações. Classifique os riscos de acordo com seu impacto e probabilidade.
Indique as medidas e salvaguardas que serão adotadas para mitigar os riscos identificados. Isso pode incluir:
Caso o tratamento de dados envolva riscos elevados e não seja possível mitigar completamente esses riscos, a LGPD prevê que a ANPD deve ser consultada antes de dar continuidade ao tratamento. Nesse caso, o RIPD também deve ser apresentado à ANPD, que pode solicitar ajustes nas práticas adotadas pela organização.
O RIPD deve ser bem documentado e acessível tanto para a organização quanto para a ANPD, se necessário. É importante garantir que o relatório seja claro e compreensível, com a possibilidade de revisão periódica para garantir a conformidade contínua com a LGPD.
Recomenda-se revisar e atualizar o RIPD sempre que houver mudanças significativas nos processos de tratamento de dados, como a implementação de novas tecnologias, alterações nos fluxos de dados ou mudanças no escopo de operações.
Estrutura do RIPD
O relatório geralmente contém:
A elaboração do RIPD é uma parte fundamental do processo de conformidade com a LGPD e visa proteger os direitos dos titulares de dados pessoais, assegurando que o tratamento de dados seja realizado de maneira responsável e transparente.
O RIPD não é apenas uma exigência legal, mas também uma ferramenta de gestão de riscos que assegura a proteção dos dados pessoais e a conformidade com a LGPD, pois reflete o compromisso da organização com a segurança e privacidade das informações que coleta e processa, demonstrando que as práticas de tratamento de dados são conduzidas de forma ética e responsável.
Os processos de Compliance da sua empresa podem ser muito mais eficientes! A plataforma de compliance a Kronoos, automatiza a coleta e análise de informações de mais de 3500 fontes. Nossos relatórios integram dados de tribunais, órgãos reguladores e outras bases de dados, permitindo uma ampla consulta. A automação de processos reduz o tempo necessário para compilar informações e minimiza o risco de erros. Para saber mais sobre as soluções da Kronoos para Compliance, entre em contato com nossos especialistas e descubra como podemos apoiar sua empresa.