Uma das dúvidas mais comuns das empresas é sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) e quando ele deve ser elaborado.

A Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD), menciona o RIPD em seu texto diversas vezes, sendo que o termo aparece em, pelo menos, 7 de seus 65 artigos.

Nesses artigos, a LGPD define o RIPD, indica quando é necessário e define informações mínimas para que seja adequadamente elaborado. Contudo, algumas dúvidas relevantes ainda permanecem, como:

• O que é o RIPD?
• Quem deve elaborar?
• O RIPD deve ser um documento público?
• Preciso encaminhá-lo à ANPD?
• O que incluir no RIPD?
• Preciso aguardar a solicitação da ANPD para elaborá-lo?
• Quando preciso elaborar o RIPD?

O objetivo deste artigo é explicar algumas destas questões.

O que é e quem deve elaborar?

O RIPD, conforme art. 5º, inciso XVII, da LGPD, é o documento, elaborado pelo controlador, que descreve os processos de tratamento de dados pessoais que podem gerar alto risco* à garantia dos princípios de proteção de dados pessoais previstos na legislação, às liberdades civis e aos direitos fundamentais dos titulares de dados.

*Alto Risco
Ao menos um critério geral e um critério específico.
Geral: Larga escala ou afetar significativamente interesses e direitos fundamentais dos titulares.
Específico: Uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado e utilização de dados pessoais sensíveis ou dados pessoais de crianças, adolescentes e idosos.
A ANPD definirá ainda melhor cada uma das hipóteses em regulamento próprio sobre RIPD a ser elaborado.

Além de descrever o tratamento, o documento deve indicar as medidas, mecanismos e salvaguardas para a mitigação dos riscos encontrados, nesse sentido, é preciso a elaboração de um documento para cada operação de tratamento.

À primeira vista, pode parecer um documento complexo, mas, na realidade, não é um documento difícil de ser feito e o processo de elaboração permite à empresa conhecer ainda mais seus processos de tratamento e os riscos relacionados. Por exemplo: uso de câmeras de vigilância, uso de biometria para acessos etc.

Assim, além de uma exigência legal, é um mecanismo de autoconhecimento e gestão, permitindo a melhoria contínua dos processos de tratamento internos, reduzindo riscos e tornando os processos mais eficientes e controles mais eficazes.

Preciso encaminhá-lo à ANPD?

A princípio é um documento interno da empesa, devendo ser encaminhado à ANPD apenas mediante solicitação de envio. Apesar disso, embora não obrigatório preventivamente, a ANPD já se pronunciou no sentido de considerar a publicação do RIPD em meios de fácil acesso ao titular uma boa prática de governança, já que demonstra a preocupação do agente de tratamento com o cumprimento da Lei e com a segurança dos dados pessoais sob sua responsabilidade.

Por que e quando elaborar?

A recomendação da ANPD é que o RIPD seja elaborado sempre que as operações de tratamento de dados pessoais tenham o potencial de gerar um alto risco à garantia dos princípios de proteção de dados pessoais e direitos fundamentais dos titulares de dados envolvidos.

A elaboração do documento faz parte da obrigação em observar os princípios gerais de tratamento de dados pessoais, como o da responsabilização e prestação de contas, que trata sobre a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento da norma de proteção de dados pessoais e a eficácia de tais medidas, objetivo totalmente alinhado com o da elaboração de um RIPD.

Para nortear as empresas, a LGPD lista algumas situações em que o RIPD poderá ser exigido pela ANPD, como quando o tratamento tiver como fundamento legal o interesse legítimo (art. 10, §3º, LGPD) e quando a operação de tratamento envolver dados sensíveis (art. 38, LGPD).

Essa recomendação norteia a maior parte das situações, porém, ainda é responsabilidade de cada empresa ponderar eventuais situações em que a elaboração do RIPD seja necessária.

Além disso, a ANPD recomenda que a elaboração do RIPD ocorra, sempre que possível, antes do início do tratamento dos dados, para possibilitar a empresa identificar os riscos e implementar mecanismos de mitigação dos riscos antes mesmo do início do tratamento.

O que incluir no RIPD?

Além da descrição dos tipos de dados pessoais tratados na operação, a metodologia usada para o tratamento e para garantia da segurança dos dados e a análise quanto as medidas, salvaguardas e mecanismos de mitigação de riscos adotados (art. 38, LGPD), a ANPD recomenda que seja incluído no RIPD:

• Identificação dos agentes de tratamento e do encarregado;
• Outras partes interessadas/envolvidas e se foram consultadas na elaboração do RIPD;
• Justificativa da necessidade de elaboração do relatório;
• Projeto/Operação/Processo que justifica a elaboração do RIPD;
• Sistemas de informação relacionados ao projeto/operação/processo que justifica a elaboração do RIPD;
• Descrição do tratamento dos dados pessoais (desde a coleta até a eliminação);
• Dados pessoais envolvidos (inclusive sensíveis – se houver);
• Categoria de titulares;
• Dados de crianças, adolescentes ou idosos, se houver;
• Volume de dados pessoais tratados e número de titulares envolvidos no tratamento;
• Fonte e forma de coleta;
• Finalidade do tratamento;
• Quais são os compartilhamentos internos e externos;
• Política de armazenamento dos dados envolvidos;
• Análise de hipótese legal, justificando a escolha para cada finalidade de tratamento;
• Análise de princípios da LGPD;
• Riscos identificados ao titular;
• Resultado dos impactos apurados com base na metodologia utilizada pelo agente de tratamento;
• Medidas, salvaguardas e mecanismos de mitigação de risco;
• Comentários e aprovações.

Quanto mais detalhado, o documento será uma melhor ferramenta de gestão.

A expectativa é que a ANPD edite um regulamento próprio aplicável ao RIPD com mais detalhes de sua elaboração e requisitos.

Autores:

Gustavo Vallesquino Fernandes
[email protected]

Giovanna Crotti
[email protected]

José Renato Camilotti
[email protected]