LGPD: Como elaborar o Relatório de Impacto à Proteção de Dados – RIPD

LGPD: Como elaborar o Relatório de Impacto à Proteção de Dados – RIPD

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é o mecanismo pelo qual o tratamento de dados pessoais, que tenha potencialidade de gerar riscos às liberdades civis e aos direitos fundamentais, possui seus riscos mitigados. 

Considerando que os dados pessoais são essenciais no século XXI, sendo dotados de valor econômico e relevante importância, restou ao legislador tutelar o modo como as empresas, e o próprio Estado, lidariam com eles.

A Lei Geral de Proteção de Dados Pessoais (LGPD), promulgada sob o número 13.709/2018, trouxe em seu artigo 5°, inciso XVII o instituto do RIPD, ou Data Protection Impact Assessment (DPIA), que tem como principal escopo a diminuição dos riscos ao se operar dados de terceiros.

Então, como forma de elucidar essa parte essencial da LGPD, vamos falar sobre o instrumento legislativo, seu papel e sua implementação.

Quem deve implementar e quem é o responsável pela implementação?

A responsabilidade pela elaboração do RIPD é do Controlador. 

Para a LGPD, Controlador é o responsável por tomar decisões acerca do tratamento dos dados pessoais, podendo ser pessoa física ou jurídica.  

Em razão do objetivo do RIPD, ele deve ser elaborado de modo anterior ao início do processo de tratamento dos dados, com uma abordagem geral para que sejam averiguados possíveis gargalos administrativos ou problemas técnicos que possam ocasionar o vazamento de dados.

Contudo, elaborar o RIPD antes da implementação das estruturas necessárias para a adequação da LGPD pode tornar o processo improdutivo. 

Seria, basicamente, “fazer a prova para aprender a matéria”, não o contrário.

No modelo ideal, a elaboração do Relatório residiria entre o processo de adequação e o início do tratamento de dados. 

Porém, nem todos os dados pessoais correspondem à categoria de risco.

O RIPD será necessário para negócios como, por exemplo, hospitais, empresas que monitoram sistematicamente a atividade de seus funcionários, instituições que criam bancos de dados que envolvam informações de crédito, escolas que possuem coletam sistematicamente informações dos seus alunos.

Como implementar?

Além de contar um panorama geral de toda operação, o Relatório de Impacto à Proteção de Dados deve apresentar, no mínimo, três elementos:

  1. a descrição sobre os tipos de dados coletados; 
  2. o método utilizado para obtê-los e quais foram as informações fornecidas aos clientes sobre essa garantia de segurança; 
  3. uma análise do controlador sobre as ações realizadas para que os riscos fossem mitigados.

Pode-se compreender o processo para elaboração do Relatório de Impacto à Proteção de Dados sob duas perspectivas: macro e micro.

Do ponto de vista macro, divide-se em três etapas gerais: 

  1. Compreensão do contexto de processos e organização; 
  2. Processo de Avaliação de Riscos; 
  3. Processo de Gerenciamento de Riscos.

De modo micro, os três processos podem ser divididos em seis fases.

Na primeira fase está contido o detalhamento do processo. Trata-se de uma descrição sistemática de toda a estrutura de dados tratados, bem como seu contexto, sua finalidade, sua natureza, as bases legais, justificativas, tempo de retenção, entre outros pontos.

Na segunda fase a atenção volta para os terceiros denominados processadores. Analisa-se possíveis relações com esses terceiros, no que concerne aos dados, para as fases seguintes.

A identificação dos controles já existentes, sejam eles de ordem legal ou técnica, ocorrem na terceira fase. Pontos como proporcionalidade do processamento devem estar devidamente adequadas, uma vez que serão ponto-chave no RIPD.

A terceira fase reforça o ponto de que a adequação à LGPD é processo anterior ao RIPD, não sendo o Relatório uma ferramenta para forçar premissas que já não foram estabelecidas anteriormente.

Após, devem ser listadas todas as hipóteses que podem trazer risco ao usuário dos dados e mensurá-las, a fim de compreender sua origem, natureza, particularidade e gravidade. Essa é a quarta fase. 

Na quinta fase, produz-se um documento com o objetivo de, com base nos riscos levantados e nos controles já existentes, assegurar o máximo de segurança para o titular dos dados, seja resolvendo questões envolvendo processos, tecnologia ou criando novos processos. 

Na última fase, a sexta, envia-se o Relatório de Impacto à Proteção de Dados ao DPO (Data Protection Officer – ou Encarregado), uma vez que ele é o principal responsável por garantir o cumprimento da LGPD dentro da empresa.

O DPO pode aceitar, aceitar com ressalvas ou rejeitar o RIPD. Porém, importante salientar que a recusa de um RIPD por um DPO não é vinculativa, devendo a empresa analisar os motivos e fundamentos da decisão e optar por prosseguir o processamento conforme o Relatório.

O RIPD é uma ferramenta para o compliance empresarial

O artigo 38 da LGPD afirma que a Autoridade Nacional de Proteção de Dados pode exigir o RIPD do Controlador a qualquer momento, sendo a sua ausência motivo para sanção administrativa e/ou judicial. 

Contudo, acredita-se que a função do Relatório excede a simples sanção do órgão fiscalizador.

Dentro desse novo posicionamento que o Direito Brasileiro tem tomado, o Relatório de Impacto à Proteção de Dados – RIPD se torna uma poderosa ferramenta de compliance, bem como, uma fiel métrica acerca da viabilidade de novos negócios e projetos, representando, desta forma, um poderoso instrumento de mudança na mentalidade empresarial.

Na Juddi você encontra documentos adequados à LGPD e disponíveis para criação e personalização, conforme as suas necessidades e caso específico.

Você pode criar o DPA – contrato utilizado para estabelecer as regras entre Controlador e Operador, a Política de Privacidade e os Termos de Uso, por exemplo.

Cadastre-se gratuitamente e faça o teste!

Lucas Mantovani

Deixe uma resposta

%d blogueiros gostam disto: