O Relatório de Impacto à Proteção de Dados (RIPD) é um documento previsto pela Lei Geral de Proteção de Dados (LGPD), destinado a organizações que realizam o tratamento de dados pessoais com potenciais impactos na privacidade. Sua função é identificar e mitigar os riscos ligados ao tratamento de dados pessoais, proporcionando transparência sobre como as informações são tratadas, os riscos envolvidos e as medidas de proteção adotadas.
Conforme a LGPD, qualquer organização que processe dados pessoais deve seguir as orientações da lei e, de forma antecipada, avaliar os impactos que suas atividades podem ter sobre a privacidade dos titulares desses dados, ou seja, quando o tratamento de dados pode gerar riscos à proteção da privacidade, a criação do RIPD é necessária.
Quando é necessário elaborar o RIPD?
A obrigatoriedade de elaboração do RIPD surge sempre que uma empresa inicia um novo processo ou projeto que envolva dados pessoais. Alguns exemplos são a implementação de novas tecnologias, mudanças nos processos de coleta ou uso de dados, ou a expansão para novos mercados que exigem conformidade com requisitos legais específicos.
Recentemente, o caso envolvendo a Meta ilustra essa necessidade. A empresa foi obrigada pela Agência Nacional de Proteção de Dados (ANPD) a divulgar os relatórios internos sobre o uso de dados pessoais dos usuários brasileiros, inclusive o uso desses dados para treinar sistemas de inteligência artificial.
O RIPD também é essencial quando há lançamento de campanhas de marketing, parcerias envolvendo o compartilhamento de dados pessoais ou a introdução de novos produtos que utilizam dados sensíveis. É importante que o relatório seja revisado periodicamente para que haja conformidade com as normas de proteção de dados, adaptando-se a novos riscos ou modificações operacionais.
Responsáveis pela elaboração do RIPD
O responsável pela criação do RIPD é o controlador, ou seja, a pessoa ou entidade que decide sobre o tratamento dos dados pessoais. No entanto, esse papel pode ser desempenhado tanto por uma pessoa física quanto jurídica. Nas empresas de maior porte, o encarregado de proteção de dados (DPO) costuma estar envolvido na elaboração do relatório, assegurando que a organização esteja alinhada com a legislação de proteção de dados. Além disso, uma equipe multidisciplinar, composta por profissionais das áreas jurídica, de segurança da informação e de TI, também pode colaborar na criação do RIPD.
Conteúdo do RIPD
O relatório deve ter uma série de informações definidas pela LGPD, começando pela identificação dos responsáveis pelo tratamento dos dados, como controlador, operador e encarregado. Além disso, deve detalhar as operações de tratamento de dados, inclusive o tipo de dados coletados, as finalidades do tratamento e as medidas de segurança adotadas para proteção.
O RIPD também deve explicar de que forma os dados são utilizados e compartilhados, identificar as partes envolvidas no processo e justificar a necessidade e proporcionalidade do tratamento de dados, destacando a base legal que ampara esse tratamento.
O relatório também precisa abordar os riscos potenciais à proteção dos dados pessoais, avaliando sua probabilidade e impacto, e apresentar ações para mitigar esses riscos, como medidas técnicas e administrativas.
Quem pode solicitar o RIPD?
Conforme estabelecido pela LGPD, o RIPD pode ser requisitado pela ANPD. A autoridade pode solicitar o documento principalmente quando as operações de tratamento de dados pessoais, especialmente dados sensíveis, possam representar riscos para as liberdades e direitos fundamentais dos titulares dos dados.
Além disso, o controlador é obrigado a elaborar o RIPD sempre que o tratamento de dados pessoais possa representar riscos à privacidade e à proteção das informações dos titulares. O controlador é, portanto, legalmente responsável por garantir que as práticas de tratamento de dados estejam em conformidade com a legislação vigente.
Como elaborar um RIPD conforme a LGPD?
A elaboração do RIPD exige identificar os riscos do tratamento de dados pessoais e as estratégias para mitigá-los. O relatório precisa ser claro, completo e detalhado.
- Identificação dos responsáveis: Comece identificando o controlador (responsável pelas decisões de tratamento) e o encarregado de proteção de dados (DPO), que supervisiona a conformidade com a LGPD;
- Descrição das operações de tratamento: Detalhe as atividades de processamento de dados, abordando os tipos de dados coletados, as finalidades e o escopo do tratamento, inclusive o volume de dados, a área geográfica afetada e o tempo de retenção;
- Avaliação da necessidade e proporcionalidade: Explique como o tratamento de dados é adequado aos objetivos estabelecidos e justifique o volume de dados coletados, para que sejam limitados ao necessário para a finalidade proposta;
- Análise de riscos: Identifique os riscos associados ao tratamento de dados, com ênfase na privacidade dos titulares e nos possíveis acessos não autorizados, vazamentos ou uso indevido das informações. Classifique os riscos por impacto e probabilidade;
- Medidas de mitigação de riscos: Indique as salvaguardas para reduzir os riscos identificados, tais como controles técnicos (como criptografia e anonimização), processos administrativos (como treinamentos e revisões de políticas internas) e medidas legais (contratos e cláusulas específicas);
- Consulta à ANPD (se necessário): Se os riscos forem elevados e não puderem ser totalmente mitigados, a ANPD deve ser consultada antes de continuar com o tratamento. Nesse caso, o RIPD também deve ser submetido à autoridade, que poderá sugerir ajustes nas práticas adotadas;
- Documentação: O RIPD deve ser bem documentado e acessível tanto à organização quanto à ANPD, caso necessário. O relatório deve ser claro, compreensível e passível de revisão periódica para garantir a conformidade contínua com a LGPD;
- Revisões: O RIPD deve ser revisado e atualizado sempre que houver mudanças significativas nas operações de tratamento de dados, como a implementação de novas tecnologias ou alterações no fluxo de dados.
Estrutura do RIPD
O relatório deve conter os seguintes pontos:
- Introdução com objetivos e escopo do documento;
- Descrição detalhada das operações de tratamento de dados;
- Avaliação dos riscos e medidas para mitigá-los;
- Identificação dos responsáveis e consulta às partes envolvidas;
- Conclusões e recomendações de melhorias.
Conclusão
O RIPD é o documento que detalha os processos de tratamento de dados pessoais que apresentam riscos significativos à proteção dos princípios estabelecidos pela LGPD, assim como às liberdades e direitos fundamentais dos titulares dos dados.
Desse modo, o RIPD é uma exigência para empresas que lidam com dados pessoais, pois é fundamental para identificar riscos e tomar as medidas necessárias para proteger as informações. Por isso, não basta fazer o relatório uma vez e esquecer, ou seja, sempre que houver mudanças, como novos processos ou tecnologias, ele precisa ser revisado. O objetivo é proteger a privacidade dos dados e se adequar à LGPD e legislações pertinentes.
Se você gostou desse conteúdo, deixe seu comentário e compartilhe com que ele possa ser útil!
