Toda empresa, independente do assunto ou segmento de atuação, precisa se adequar à Lei Geral de Proteção de Dados (LGPD). Por isso, é muito importante aderir a ferramentas e soluções que ajudem nesse processo. Um documento muito importante para isso é o Relatório de Impacto à Proteção de Dados (RIPD).

Neste artigo, vamos explicar o que é o Relatório de Impacto à Proteção de Dados, quando e por quem ele deve ser feito, por quem ele pode ser solicitado e indicamos os passos para a elaboração. Continue a leitura e entenda!

O que é o Relatório de Impacto à Proteção de Dados (RIPD)?

O Relatório de Impacto à Proteção de Dados (RIPD), que em inglês é conhecido como DPIA (Data Protection Impact Assessment), é um documento que define a gestão de risco de uma empresa, esclarece quais as ações no tratamento de dados pessoais podem gerar riscos aos titulares dos dados e define medidas e mecanismos que possam controlar tais riscos.

Na própria Lei Geral de Proteção de Dados (LGPD), nos artigos 5º e 38º, são descritas as finalidades e o que deve ser disposto neste documento:

Art. 5º. Para os fins desta Lei, considera-se: XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial;

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de riscos adotados.

Quando o RIPD deve ser feito?

Pela LGPD, esse documento é obrigatório para os tratamentos que podem criar riscos para o titular. Os objetivos mais claros na elaboração do RIPD envolvem garantir que os processos de tratamento estejam alinhados à necessidade. Também é preciso avaliar se o conjunto de dados tratados é o mínimo necessário para a execução da atividade. Por fim, deve-se garantir que houve uma avaliação detalhada das medidas técnicas e organizacionais de proteção desses dados.

Quem deve elaborar o RIPD?

De acordo com a Lei Geral de Proteção de Dados (LGPD), o RIPD deve ser elaborado pelo controlador, que é o agente responsável por tomar decisões referentes ao tratamento de dados pessoais. Trata-se da pessoa natural ou jurídica, de direito público ou privado, que decide como e para que finalidades os dados pessoais serão processados.

Quem pode solicitar o RIPD?

De acordo com a LGPD, o Relatório de Impacto à Proteção de Dados (RIPD) pode ser solicitado pela Autoridade Nacional de Proteção de Dados (ANPD), principalmente quando as operações de tratamento de dados pessoais, incluindo dados sensíveis, possam representar riscos às liberdades e Direitos Fundamentais dos titulares.

Como fazer um Relatório de Impacto à Proteção de Dados (RIPD)?

Para elaborar um Relatório de Impacto à Proteção de Dados (RIPD) conforme a LGPD, é necessário seguir um processo. Conheça os principais passos:

Identificação do controlador e encarregado

Comece identificando os responsáveis pelo tratamento de dados pessoais, ou seja, o controlador e o encarregado de proteção de dados (DPO).

Descrição do tratamento de dados

Detalhe as operações de tratamento de dados pessoais que serão realizadas. Isso inclui informações sobre a natureza, finalidade e escopo do tratamento.

Avaliação 

Descreva como o tratamento de dados atende aos critérios de necessidade e proporcionalidade.

Análise de riscos

Identifique os riscos potenciais, os avalie e os classifique de acordo com seu impacto e probabilidade.

Mitigação de riscos

Indique as medidas que serão adotadas para mitigar os riscos identificados. Caso o tratamento envolva riscos elevados que não possam ser contidos completamente, a LGPD prevê uma consulta à ANPD. Essa consulta deve ocorrer antes de dar continuidade ao tratamento.

Documentação 

O RIPD deve ser bem documentado, de forma clara e compreensível. Ele precisa ser acessível tanto para a organização quanto para a ANPD, se necessário.

Atualizações

É indicado revisar e atualizar o RIPD sempre que houver mudanças nos processos de tratamento de dados.

Neste artigo, explicamos o que é o Relatório de Impacto à Proteção de Dados (RIPD), quando e por quem ele deve ser feito, por quem ele pode ser solicitado e indicamos os passos para a elaboração.

Conheça nossas soluções de Adequação à LGPD e Gestão Documental e garanta a conformidade da sua empresa!