top of page
Buscar

O que é, e saiba como elaborar o Relatório de Impacto à Proteção de Dados Pessoais - RIPD

  • Foto do escritor: Vagner Santos
    Vagner Santos
  • 20 de dez. de 2021
  • 3 min de leitura

Atualizado: 3 de ago. de 2022


A LGPD Lei Geral de Proteção de Dados) estabelece uma série de exigências e critérios às empresas que tratam dados pessoais. Dentre eles, está a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

A segurança dos dados pessoais tratados é uma obrigação legal geral imposta aos agentes de tratamento, e o RIPD insere-se neste contexto.


O relatório é previsto como sendo um documento que deve ser elaborado pelo controlador sempre que o processo de tratamento de dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais.

Porém, mais do que um documento, o RIPD é um verdadeiro processo composto de etapas voltadas à avaliação e gerência dos riscos à privacidade em um determinado projeto. Conheça as etapas para preparação de um RIPD


Identifique dos agentes de tratamento e do encarregado

Apresente a Necessidade de elaborar o relatório

Descreva o tratamento de dados realizado

Apresente as Partes interessadas consultadas

Defina e proporcionalidade

Demonstre como administra Riscos à Proteção de Dados Pessoais

Medidas para mitigar os riscos

Aprovação do relatório


Basicamente, o RIPD cumpre a função de demonstrar que o controlador avaliou os riscos nas operações de tratamento de dados pessoais e adotou medidas para mitigá-los. Em outras palavras, constitui uma ferramenta de gestão de riscos à privacidade. Um risco é um cenário no qual descreve-se um evento e suas respectivas consequências, mensuradas sob o seu impacto e probabilidade. A gestão de riscos, por outro lado, pode ser definida como as atividades voltadas ao controle sobre o risco pela organização. Além disso, está previsto que que a ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por fiscalizar o cumprimento da lei, poderá solicitar este relatório a qualquer momento. Por isso, é fundamental manter-se em dia com essa obrigação.

O RIPD não é apenas uma obrigação legal a ser cumprida, ele se configura em uma boa prática da organização para mitigar os riscos envolvidos em determinada operação de tratamento de dados pessoais.

Detalhamos abaixo de forma mais sucinta como o relatório deve ser elaborado. Lembrando, claro, que o desenvolvimento do Relatório de Impacto é um processo complexo e cuja confecção não está predefinida em lei e sim nos processos de privacidade de dados de uma organização.

Portanto, isso são apenas sugestões que devem ser avaliadas e adaptadas caso a caso nos contexto de cada empresa, não existe copiar e colar em um RIPD, pois considerando organização e a natureza da operação de tratamento de dados mudam completamente.


O RIPD deve ser elaborado, preferencialmente, na fase inicial do programa ou projeto que incluirá o tratamento de dados. Isto é, deve ele ser realizado desde a fase de concepção dos trabalhos de implementação de um SGSI. Trata-se, assim, de boa prática para a mitigação de riscos de forma antecipada, antecipando problemas, evitando gastos exacerbados de mudança do projeto quando já desenvolvido ou mesmo evitando a decisão pela sua inviabilidade. No entanto, ele também pode e deve ser elaborado para operações de tratamento já em andamento, ou aquelas que já fazem parte do sistema da organização.

Segundo o que está previsto no artigo 38 da LGPD, o Relatório de Impacto deve conter no mínimo: – as medidas e mecanismos de mitigação de risco adotados. – a descrição dos tipos de dados coletados; – a metodologia usada para a coleta e para a garantia da segurança dos dados;

Para englobar esses requisitos mínimos, o RIPD deve seguir uma elaboração por etapas, que descreveremos a seguir.



Fique atento pois LGPD determina que o relatório de impacto poderá ser solicitado nas seguintes circunstâncias conforme previsto na Lei

A qualquer momento, sob determinação da ANPD;

  • Quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do controlador;

  • Para tratamento de dados pessoais realizados para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (exceções previstas pelo inciso III do art.4º).

Há outras circunstâncias em que também deve ser considerada a necessidade de elaborar um RIPD. Por exemplo, no caso do tratamento de dados pessoais sensíveis e no tratamento de dados de crianças e adolescentes.


Espero que esse artigo tenha lhe ajudado, clique aqui e solicite o material com mais informações gratuitamente.

 

Vagner Santos

Consultor em Sistemas de Gestão e Privacidade de Dados

vagner@santosegozetto.com.br







 
 
 

Comments

bottom of page