RIPD: o que é um Relatório de Impacto à Proteção de Dados?
Atualizado em 21 de março de 23 | Geral por
RIPD é a sigla utilizada para se referir ao Relatório de Impacto à Proteção dos Dados Pessoais, um documento que deve ser elaborado por toda empresa quando o tratamento de dados pode ocasionar risco para as liberdades civis e aos direitos fundamentais.
A Lei Geral de Proteção de Dados (LGPD), determina diversos critérios e exigências para as organizações que coletam informações sobre pessoas físicas, como por exemplo, o termo de consentimento. Dentre essas obrigações, está também a criação do RIPD.
Esta lei, sancionada em 2018 pelo então presidente Michel Temer, torna a segurança dos dados pessoais uma obrigação legal para todos, e o RIPD é parte deste processo de avaliação e gerenciamento dos riscos à privacidade dos indivíduos.
O que é o Relatório de Impacto à Proteção de Dados (RIPD)?
O RIPD é também conhecido como DPIA (Data Protection Impact Assessment). Ele é um documento que define a gestão de risco de uma empresa e esclarece quais as ações no tratamento de dados pessoais podem gerar riscos aos titulares dos dados. Além disso, ele também define medidas e mecanismos que possam controlar tais riscos.
Em outras palavras, o Relatório de Impacto à Proteção de Dados é um documento onde consta quais os dados pessoais são coletados, tratados, utilizados e compartilhados, assim como medidas tomadas para a mitigação dos riscos de lidar com essas informações.
Para desenvolver um documento como este, a empresa precisa avaliar suas ações e observar se estão em conformidade com as exigências previstas pela LGPD. Logo, ele ajuda na avaliação, implementação e no controle de tais medidas.
O que é contemplado no Relatório de Impacto?
Na própria Lei Geral de Proteção de Dados, nos artigos 5º e 38º, são descritas as finalidades e o que deve ser disposto neste documento:
Art. 5º Para os fins desta Lei, considera-se: XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
Abaixo, separamos alguns detalhes que precisam ser dispostos no documento.
1. Identificação dos responsáveis pelo tratamento e seu encarregado
Antes de tudo, é preciso identificar os agentes de tratamento e o encarregado deste processo, também conhecido como Data Protection Officer (DPO).
O controlador é o responsável pelo tratamento dos dados e a ele compete as decisões sobre as informações coletadas. Já o operador é quem processa e trata os dados pessoais em nome do controlador.
O encarregado é a pessoa responsável pelo controlador e pelo operador, ele atua como um canal de comunicação entre os agentes de tratamento, o titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
2. Descrição do tratamento de dados
É importante que o Relatório de Impacto contemple os processos de tratamento de dados pessoais, principalmente aqueles que possam ocasionar riscos. Para isso, é preciso especificar a natureza, o escopo, o contexto, bem como a finalidade do tratamento.
A natureza do tratamento mostra como a empresa busca tratar os dados sensíveis. É aqui que são coletadas e descritas quais as fontes utilizadas, com quem são compartilhadas as informações e mais.
O escopo é aquele que revela a abrangência do tratamento, são mencionados aqui o número de titulares afetados, a área geográfica contemplada, os tipos de dados coletados e o tempo que eles serão retidos.
Já o contexto diz respeito a quais fatores podem influenciar no tratamento de dados e as expectativas dos titulares. Por fim, a finalidade justifica a necessidade do tratamento dos dados pessoais.
3. Todas as partes interessadas consultadas
Neste ponto do documento é importante mencionar todas as partes consultadas no processo de tratamento de dados: encarregado, gestores, operador, advogado ou até mesmo os próprios titulares.
A ideia é registar o que os indivíduos indicaram ser importante e observar esses pontos no processo de tratamento de dados.
4. Necessidade e proporcionalidade
Descrição de como o tratamento de dados se enquadra nos requisitos de necessidade e proporcionalidade. São informadas nesta parte do documento qual a base legal para fundamentar o tratamento.
5. Riscos à Proteção de Dados Pessoais
O intuito do Relatório de Impacto é descrever medidas e mecanismos para diminuir riscos. Para que isso seja possível, é preciso identificar com clareza quais são essas ameaças, pois só assim poderá ser avaliado o possível impacto que elas podem gerar, caso aconteçam.
É preciso mencionar que esses perigos devem ser descritos de acordo com o seu grau de probabilidade e impacto. Quanto mais detalhado o documento, melhor será para avaliar a situação e as possíveis soluções.
6. Ações para mitigar os riscos
Depois de avaliar os riscos é necessário pensar em medidas para mitigá-los. Essas ações podem ser técnicas de segurança ou administrativa.
É preciso lembrar que você provavelmente não encontrará práticas para eliminar todos os riscos, alguns, se não a maioria, existirão, mesmo que em um nível menor. Por isso, é importante contemplar atitudes que devem ser tomadas se eles acontecerem.
O objetivo é trabalhar com um cenário hipotético até para as ameaças com pouca chance de acontecer, pois é melhor estar bem prevenido do que tomar decisões importantes no cenário de crise.
Como você viu por aqui, o Relatório de Impacto à Proteção de Dados está relacionado diretamente à Lei Geral de Proteção de Dados (LGPD) e a segurança dos negócios.
Quer saber mais sobre este tema?
Temos um conteúdo com as principais perguntas e respostas sobre a LGPD. Clique aqui e acesse!