No dia 06 de abril/2023, a Autoridade Nacional de Proteção de Dados – ANPD divulgou em seu site perguntas e respostas sobre o Relatório de Impacto à proteção de Dados Pessoais (RIPD), a fim de elucidar alguns pontos sobre o documento, já que o tema ainda está pendente de regulamentação pela Autoridade.
Antes de passarmos aos destaques da publicação da ANPD, cabe ressaltar o conceito de RIPD: é a documentação que contêm a descrição dos processos em que há atividades de tratamentos de dados pessoais que podem gerar riscos às liberdades e aos direitos fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Destacamos alguns pontos relevantes que constam na publicação da ANPD:
- O responsável pela elaboração do Relatório de Impacto (RIPD) é o controlador de dados.
- A ANPD recomenda que seja feito RIPD sempre que o tratamento possa gerar alto risco aos direitos dos titulares, às liberdades civis ou às garantias dos princípios da LGPD.
- Em alguns casos específicos, a ANPD poderá determinar a elaboração do RIPD:
a) quando o tratamento tiver como finalidade exclusiva segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
b) a base legal for o legítimo interesse;
c) para agentes do Poder Público;
d) Em relação às atividades de tratamento realizada pelos controladores, inclusive quando houver dados sensíveis. - O ideal é que o RIPD seja elaborado antes do início das atividades de tratamento para tal finalidade, para que seja possível avaliar os riscos previamente. Contudo, caso isso não seja possível, o RIPD deverá ser elaborado no momento em que se identificar que o tratamento tenha possibilidade de causar alto risco aos direitos dos titulares, às liberdades civis ou às garantias dos princípios da LGPD.
- Ao avaliar o nível de risco, há que se considerar as possíveis consequências aos titulares, como violação de liberdades ou direitos, tratamento inadequado ou ilícito, e outros.
- Não há obrigatoriedade às empresas privadas de tornar público o RIPD, todavia, fazê-lo poderá ser considerado pela ANPD uma medida de transparência, bem como uma demonstração do compromisso da empresa com a privacidade dos titulares e com a segurança.
- Caso o controlador realize diversas atividades de tratamento que são similares entre si, poderá elaborar um único RIPD. Entretanto, caso as finalidades sejam distintas, recomenda-se a elaboração de um documento para cada conjunto de operações que estejam abarcadas pela mesma finalidade.
- É adequado que o Encarregado de Dados (DPO) participe de forma consultiva na elaboração do RIPD.
- Caso existam diferentes opiniões no processo de elaboração do RIPD, estas podem ser registradas no documento, justificando-se a opção por determinado posicionamento. Tal prática também vai ao encontro dos princípios da transparência, responsabilização e prestação de contras.
- É recomendável que, após a elaboração do RIPD, o controlador avalie se prosseguirá ou não com o tratamento e, em caso positivo, adote medidas, salvaguardas e ações de mitigação de riscos. Além disso, o documento deve ser revisado, especialmente caso ocorram mudanças nas operações, surjam novos riscos ou existam novas orientações da Autoridade.
- Por fim, há recomendação da ANPD sobre quais dados e informações devem ser incluídos no RIPD – ponto a ser observado, a partir de então, para elaboração e revisão deste documento.
Você pode acessar aqui <https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd#p1> a publicação com perguntas e respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais
Caso você tenha dúvidas sobre este tema ou necessite de auxílio para elaborá-lo, não deixe de entrar em contato com nossos especialistas em privacidade e proteção de dados!