No dia 06 de abril/2023, a Autoridade Nacional de Proteção de Dados – ANPD divulgou em seu site perguntas e respostas sobre o Relatório de Impacto à proteção de Dados Pessoais (RIPD), a fim de elucidar alguns pontos sobre o documento, já que o tema ainda está pendente de regulamentação pela Autoridade.

Antes de passarmos aos destaques da publicação da ANPD, cabe ressaltar o conceito de RIPD: é a documentação que contêm a descrição dos processos em que há atividades de tratamentos de dados pessoais que podem gerar riscos às liberdades e aos direitos fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Destacamos alguns pontos relevantes que constam na publicação da ANPD:

1. O responsável pela elaboração do Relatório de Impacto (RIPD) é o controlador de dados.
2. A ANPD recomenda que seja feito RIPD sempre que o tratamento possa gerar alto risco aos direitos dos titulares, às liberdades civis ou às garantias dos princípios da LGPD.
3. Em alguns casos específicos, a ANPD poderá determinar a elaboração do RIPD:
   a) quando o tratamento tiver como finalidade exclusiva segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
   b) a base legal for o legítimo interesse;
   c) para agentes do Poder Público;
   d) Em relação às atividades de tratamento realizada pelos controladores, inclusive quando houver dados sensíveis.
4. O ideal é que o RIPD seja elaborado antes do início das atividades de tratamento para tal finalidade, para que seja possível avaliar os riscos previamente. Contudo, caso isso não seja possível, o RIPD deverá ser elaborado no momento em que se identificar que o tratamento tenha possibilidade de causar alto risco aos direitos dos titulares, às liberdades civis ou às garantias dos princípios da LGPD.
5. Ao avaliar o nível de risco, há que se considerar as possíveis consequências aos titulares, como violação de liberdades ou direitos, tratamento inadequado ou ilícito, e outros.
6. Não há obrigatoriedade às empresas privadas de tornar público o RIPD, todavia, fazê-lo poderá ser considerado pela ANPD uma medida de transparência, bem como uma demonstração do compromisso da empresa com a privacidade dos titulares e com a segurança.
7. Caso o controlador realize diversas atividades de tratamento que são similares entre si, poderá elaborar um único RIPD. Entretanto, caso as finalidades sejam distintas, recomenda-se a elaboração de um documento para cada conjunto de operações que estejam abarcadas pela mesma finalidade.
8. É adequado que o Encarregado de Dados (DPO) participe de forma consultiva na elaboração do RIPD.
9. Caso existam diferentes opiniões no processo de elaboração do RIPD, estas podem ser registradas no documento, justificando-se a opção por determinado posicionamento. Tal prática também vai ao encontro dos princípios da transparência, responsabilização e prestação de contras.
10. É recomendável que, após a elaboração do RIPD, o controlador avalie se prosseguirá ou não com o tratamento e, em caso positivo, adote medidas, salvaguardas e ações de mitigação de riscos. Além disso, o documento deve ser revisado, especialmente caso ocorram mudanças nas operações, surjam novos riscos ou existam novas orientações da Autoridade.
11. Por fim, há recomendação da ANPD sobre quais dados e informações devem ser incluídos no RIPD – ponto a ser observado, a partir de então, para elaboração e revisão deste documento.

Você pode acessar aqui <https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd#p1> a publicação com perguntas e respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais

Caso você tenha dúvidas sobre este tema ou necessite de auxílio para elaborá-lo, não deixe de entrar em contato com nossos especialistas em privacidade e proteção de dados!