O Relatório de Impacto à Proteção de Dados (RIPD), também conhecido como Data Protection Impact Assessment (DPIA). É um documento fundamental no qual as empresas demonstram todas as informações pessoais que coletam, tratam, usam e compartilham. Bem como as medidas adotadas para mitigar os riscos que possam afetar as liberdades civis e direitos fundamentais dos titulares desses dados.
A obrigatoriedade (ou não) da elaboração do RIPD, está ligada aos riscos que a atividade de tratamento de dados da empresa oferece.
Além disso, a elaboração do RIPD configura uma boa prática por parte da organização para reduzir os riscos envolvidos em determinada operação de tratamento de dados pessoais.
Em qual contexto a ANPD recomenda que seja elaborado o RIPD?
Via de regra, a elaboração do Relatório é recomendada em todo contexto em que as operações de tratamento de dados pessoais possam gerar alto risco à garantia dos princípios gerais de proteção de dados previstos na LGPD. Porém, a LGPD lista ainda, algumas outras situações específicas em que o RIPD poderá ser exigido pela ANPD, confira abaixo:
- Nas operações de tratamento de dados efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, § 3º);
- Quando o tratamento tiver como fundamento a hipótese de interesse legítimo (art. 10, § 3º);
- Para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD (art. 32);
- Para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis (art. 38).
Portanto, haverá situações em que o controlador irá elaborar o RIPD para atender à determinação da ANPD ou, em atenção ao princípio da responsabilização e prestação de contas (art. 6º, X).
Quando é necessário elaborar o Relatório de Impacto a Proteção de Dados?
Recomenda-se que o controlador elabore o RIPD antes de iniciar o tratamento de dados pessoais para uma finalidade específica. Dessa forma, o controlador poderá entender quais problemas podem surgir com antecedência e identificar a probabilidade de ocorrência de cada fator de risco. Além do seu impacto sobre as liberdades e direitos fundamentais dos titulares. Adotando assim, medidas e mecanismos de mitigação apropriados à hipótese.
O RIPD já foi elaborado, e agora?
Após a elaboração do Relatório de Impacto à Proteção de Dados, o controlador deverá avaliar a viabilidade de continuar com os processos de tratamento de dados pessoais que levaram à criação do relatório ou determinar se é necessário fazer modificações na forma de tratamento.
O responsável pelo tratamento dos dados seguirá as recomendações do RIPD. Especialmente aquelas que o responsável adotou em relação à implementação de medidas, salvaguardas e mecanismos de mitigação de riscos.
Por fim, é aconselhável que o controlador realize revisões regulares do RIPD, especialmente quando ocorrerem eventos novos que possam justificar alterações nos riscos identificados, como mudanças nas operações de tratamento, a identificação de novos fatores de risco, o agravamento de fatores de risco previamente identificados ou em resposta a novas regulamentações ou orientações emitidas pela ANPD.
Em resumo, em um mundo cada vez mais orientado por dados, a elaboração e implementação adequadas do RIPD são essenciais para proteger as liberdades e direitos fundamentais dos titulares de dados e garantir a conformidade com a LGPD.
Portanto, a conscientização e a adesão contínua a essas práticas são cruciais para a manutenção da integridade e a segurança dos dados pessoais.