RIPD: o que é um Relatório de Impacto à Proteção de Dados?
Atualizado em 27 de maio de 24 | Geral por
RIPD é a sigla utilizada para se referir ao Relatório de Impacto à Proteção dos Dados Pessoais, um documento que deve ser elaborado por toda empresa quando o tratamento de dados pode ocasionar risco para as liberdades civis e aos direitos fundamentais.
A Lei Geral de Proteção de Dados (LGPD), determina diversos critérios e exigências para as organizações que coletam informações sobre pessoas físicas, como por exemplo, o termo de consentimento. Dentre essas obrigações, está também a criação do RIPD.
Esta lei, sancionada em 2018 pelo então presidente Michel Temer, torna a segurança dos dados pessoais uma obrigação legal para todos, e o RIPD é parte deste processo de avaliação e gerenciamento dos riscos à privacidade dos indivíduos.
O que é o Relatório de Impacto à Proteção de Dados (RIPD)?
O RIPD é também conhecido como DPIA (Data Protection Impact Assessment). Ele é um documento que define a gestão de risco de uma empresa e esclarece quais as ações no tratamento de dados pessoais podem gerar riscos aos titulares dos dados. Além disso, ele também define medidas e mecanismos que possam controlar tais riscos.
Em outras palavras, o Relatório de Impacto à Proteção de Dados é um documento onde constam quais dados pessoais são coletados, tratados, utilizados e compartilhados, assim como medidas tomadas para a mitigação dos riscos de lidar com essas informações.
Para desenvolver um documento como este, a empresa precisa avaliar suas ações e observar se estão em conformidade com as exigências previstas pela LGPD.
Logo, ele ajuda na avaliação, implementação e no controle de tais medidas.
Quando é necessário realizar o RIPD?
O RIPD deve ser realizado sempre que uma organização planeja iniciar um novo projeto, processo ou atividade que envolva o processamento de dados pessoais e apresente potenciais riscos à proteção desses dados.
Isso se deve ao fato de que a legislação de proteção de dados, como a GDPR na União Europeia, ou leis equivalentes em outros países, exigem que as empresas avaliem e documentem os impactos potenciais de suas atividades sobre a privacidade e segurança dos dados pessoais dos indivíduos.
Além disso, o RIPD também é necessário em situações de mudanças relevantes nas operações da organização, tais como a implementação de novas tecnologias, como por exemplo sistemas de gerenciamento de dados, mudanças nos processos de negócios que afetam o fluxo de dados pessoais, ou mesmo a entrada em novos mercados que tenham requisitos legais diferentes em relação à proteção de dados.
A avaliação periódica de conformidade também é uma ocasião em que o RIPD se faz necessário. Mesmo em situações em que não haja mudanças importantes, é recomendado revisar periodicamente os processos existentes para que eles continuem em conformidade com as regulamentações vigentes e assim manter uma cultura de proteção de dados dentro da organização visando prevenir possíveis violações.
Neste contexto, vale frisar que projetos ou iniciativas específicas que envolvem o processamento de grandes volumes de dados pessoais também exigem a elaboração de um RIPD. Alguns exemplos desses projetos são campanhas de marketing direcionadas, lançamento de novos produtos ou serviços, ou parcerias estratégicas que envolvam a troca de informações pessoais entre organizações.
Concluindo, o RIPD é necessário sempre que uma organização planeja iniciar uma atividade que envolva o processamento de dados pessoais e que apresente potenciais riscos à privacidade e proteção desses dados.
Por esse motivo, ele é uma ferramenta fundamental para zelar pela conformidade com as regulamentações de proteção de dados e para mitigar os riscos inerentes ao tratamento de informações pessoais.
Quem deve elaborar o RIPD?
De acordo com a Lei Geral de Proteção de Dados (LGPD), o RIPD deve ser elaborado pelo controlador, que é o agente responsável por tomar decisões referentes ao tratamento de dados pessoais. Portanto, é o controlador quem tem a responsabilidade legal de elaborar o Relatório de Impacto à Proteção de Dados (RIPD), nos termos dos artigos 5º, inciso XVII, e 38 da LGPD.
Lembrando que o controlador, conforme definido pela Lei Geral de Proteção de Dados (LGPD), é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. Em termos mais simples, o controlador é aquele que decide como e para que finalidades os dados pessoais serão processados. Ele é responsável por determinar os meios de tratamento, podendo realizá-lo diretamente ou por meio de terceiros que atuem sob sua autoridade.
Por exemplo, em uma empresa, o controlador pode ser o próprio empresário individual ou o representante legal da empresa, como um diretor executivo. Em uma organização maior, o controlador pode ser uma equipe de gestão designada para tomar decisões sobre o tratamento de dados pessoais em nome da organização.
No entanto, na prática, em organizações maiores, o encarregado de proteção de dados (DPO) ou o responsável pelo cumprimento das regulamentações de proteção de dados dentro da organização participa ativamente na elaboração do RIDP.
Isso porque o encarregado de proteção de dados atua diretamente na efetiva promoção da conformidade com as leis de proteção de dados, como o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia. Desse modo, é sua responsabilidade fazer com que a organização esteja em conformidade com as obrigações legais relacionadas à proteção de dados e que medidas adequadas sejam implementadas para proteger os dados pessoais.
Além do DPO, em organizações maiores ou com estruturas mais complexas, uma equipe multidisciplinar geralmente é encarregada da elaboração do RIPD. Isso significa que representantes de vários setores, como jurídico, tecnologia da informação, segurança da informação, recursos humanos e áreas de negócios relevantes para o projeto ou atividade em questão também participam ativamente da elaboração do documento em análise.
Uma equipe multidisciplinar é importante pois o RIPD não consiste apenas em uma análise técnica dos riscos de segurança da informação, mas sim em uma avaliação dos impactos sobre os direitos e liberdades das pessoas cujos dados estão sendo processados. Portanto, a colaboração de diferentes partes interessadas é essencial para que seja feita uma análise abrangente e precisa dos riscos e impactos envolvidos.
Por fim, vale ressaltar que deve haver um entendimento claro das obrigações legais da organização em relação à proteção de dados e que o processo de elaboração do RIPD deve ser conduzido de maneira transparente e bem documentado para que a organização esteja de fato em conformidade com as regulamentações de proteção de dados e que as informações pessoais sejam tratados de forma ética e responsável.
O que é contemplado no Relatório de Impacto à Proteção de Dados?
Na própria Lei Geral de Proteção de Dados, nos artigos 5º e 38º, são descritas as finalidades e o que deve ser disposto neste documento:
- Art. 5º. Para os fins desta Lei, considera-se: XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
- Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial;
- Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
Abaixo, separamos alguns detalhes que precisam ser dispostos no documento:
1. Identificação dos responsáveis pelo tratamento e seu encarregado
Antes de tudo, é preciso identificar os agentes de tratamento e o encarregado deste processo, também conhecido como Data Protection Officer (DPO).
O controlador é o responsável pelo tratamento dos dados e a ele compete as decisões sobre as informações coletadas. Já o operador é quem processa e trata os dados pessoais em nome do controlador.
O encarregado é a pessoa responsável pelo controlador e pelo operador, ele atua como um canal de comunicação entre os agentes de tratamento, o titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
2. Descrição do tratamento de dados
É importante que o Relatório de Impacto contemple os processos de tratamento de dados pessoais, principalmente aqueles que possam ocasionar riscos. Para isso, é preciso especificar a natureza, o escopo, o contexto, bem como a finalidade do tratamento.
A natureza do tratamento mostra como a empresa busca tratar os dados sensíveis. É aqui que são coletadas e descritas quais as fontes utilizadas, com quem são compartilhadas as informações e mais.
O escopo é aquele que revela a abrangência do tratamento, são mencionados aqui o número de titulares afetados, a área geográfica contemplada, os tipos de dados coletados e o tempo que eles serão retidos.
Já o contexto diz respeito a quais fatores podem influenciar no tratamento de dados e as expectativas dos titulares. Por fim, a finalidade justifica a necessidade do tratamento dos dados pessoais.
3. Todas as partes interessadas consultadas
Neste ponto do documento é importante mencionar todas as partes consultadas no processo de tratamento de dados: encarregado, gestores, operador, advogado ou até mesmo os próprios titulares.
A ideia é registar o que os stakeholders indicaram ser importante e observar esses pontos no processo de tratamento de dados para que a análise de riscos seja abrangente e a definição de medidas de mitigação no processo de tratamento de dados seja eficaz.
4. Necessidade e proporcionalidade
Descrição de como o tratamento de dados se enquadra nos requisitos de necessidade e proporcionalidade. São informadas nesta parte do documento qual a base legal para fundamentar o tratamento.
Além de descrever como o tratamento de dados atende aos requisitos de necessidade e proporcionalidade, é recomendado que nesta seção do documento seja destacada a base legal que fundamenta o tratamento. Isso implica em identificar explicitamente a base legal específica conforme prevista na LGPD. Entre as bases legais possíveis estão o consentimento do titular dos dados, a execução de um contrato, o cumprimento de obrigações legais, o interesse legítimo do controlador ou de terceiros, entre outros.
Além disso, é importante explicar como o tratamento de dados é necessário para alcançar os objetivos pretendidos, demonstrando que não seria possível atingir esses objetivos de outra maneira ou com menos dados. Da mesma forma, é essencial mostrar que o tratamento é proporcional à finalidade pretendida, ou seja, que a quantidade e o tipo de dados coletados são adequados, pertinentes e limitados ao necessário para atingir a finalidade específica do tratamento.
Concluindo, essa análise detalhada da necessidade e proporcionalidade do tratamento de dados, juntamente com a identificação clara da base legal, contribui para a transparência na condução do tratamento de dados pessoais.
5. Riscos à proteção de dados pessoais
O intuito do Relatório de Impacto é descrever medidas e mecanismos para diminuir riscos. Para que isso seja possível, é preciso identificar com clareza quais são essas ameaças, pois só assim poderá ser avaliado o possível impacto que elas podem gerar, caso aconteçam.
É preciso mencionar que esses perigos devem ser descritos de acordo com o seu grau de probabilidade e impacto. Quanto mais detalhado o documento, melhor será para avaliar a situação e as possíveis soluções.
6. Ações para mitigar os riscos
Depois de avaliar os riscos é necessário pensar em medidas para mitigá-los. Essas ações podem ser técnicas de segurança ou administrativa.
É preciso lembrar que você provavelmente não encontrará práticas para eliminar todos os riscos, alguns, se não a maioria, existirão, mesmo que em um nível menor. Por isso, é importante contemplar atitudes que devem ser tomadas se eles acontecerem.
O objetivo é trabalhar com um cenário hipotético até para as ameaças com pouca chance de acontecer, pois é melhor estar bem prevenido do que tomar decisões importantes no cenário de crise.
Como você viu por aqui, o Relatório de Impacto à Proteção de Dados está relacionado diretamente à Lei Geral de Proteção de Dados (LGPD) e à segurança dos negócios.
Quer saber mais sobre este tema?
Nós elaboramos um artigo bem completo contando todos os detalhes que você precisa saber sobre a Lei Geral de Proteção de Dados. Clique aqui para conferi-lo!
Não deixe de assinar a nossa Newsletter e ficar por dentro de temas como este! Preencha o formulário abaixo e receba conteúdos quinzenalmente em seu e-mail.
Gabriela B. Maluf é Founder & CEO da Thebesttype, empreendedora, escritora, advogada com 18 anos de experiência, especialista em Compliance Trabalhista, Relações Trabalhistas, Sindicais e Governamentais, Direito Público e Previdenciário, palestrante com mais de 200 eventos realizados e produtora de conteúdo técnico otimizado em SEO para sites e blogs.
