O que é e como elaborar o Relatório de Impacto à Proteção de Dados Pessoais

A LGPD (Lei Geral de Proteção de Dados) estabelece uma série de exigências e critérios às empresas que tratam dados pessoais. Dentre eles, está a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

A segurança dos dados pessoais tratados é uma obrigação legal geral imposta aos agentes de tratamento, e o RIPD insere-se neste contexto.

O relatório é previsto como sendo um documento que deve ser elaborado pelo controlador sempre que o processo de tratamento de dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais.

Porém, mais do que um documento, o RIPD é um verdadeiro processo composto de etapas voltadas à avaliação e gerência dos riscos à privacidade em um determinado projeto.

Confira neste artigo!

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

Saiba mais sobre o Relatório de Impacto previsto na LGPD

Basicamente, o RIPD cumpre a função de demonstrar que o controlador avaliou os riscos nas operações de tratamento de dados pessoais e adotou medidas para mitigá-los. Em outras palavras, constitui uma ferramenta de gestão de riscos à privacidade.

Um risco é um cenário no qual descreve-se um evento e suas respectivas consequências, mensuradas sob o seu impacto e probabilidade. A gestão de riscos, por outro lado, pode ser definida como as atividades voltadas ao controle sobre o risco pela organização.

Além disso, está previsto que que a ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por fiscalizar o cumprimento da lei, poderá solicitar este relatório a qualquer momento. Por isso, é fundamental manter-se em dia com essa obrigação.

Porém, mais do que uma obrigação legal, o RIPD configura boa prática da organização para mitigar os riscos envolvidos em determinada operação de tratamento de dados pessoais.

A seguir, nós vamos detalhar melhor como o relatório deve ser elaborado. Lembrando, claro, que o desenvolvimento do Relatório de Impacto é um processo complexo e cuja confecção não está predefinida em lei.

Portanto, essas são apenas sugestões que devem ser avaliadas e adaptadas caso a caso, considerando o contexto de cada organização e a natureza da operação de tratamento de dados sob análise.

Como elaborar o Relatório de Impacto à Proteção de Dados Pessoais

O RIPD deve ser elaborado, preferencialmente, na fase inicial do programa ou projeto que incluirá o tratamento de dados. Isto é, deve ele ser realizado desde a fase de concepção de um novo projeto, processo, produto ou serviço.

Trata-se, assim, de boa prática para a mitigação de riscos de forma antecipada, antecipando problemas, evitando gastos exacerbados de mudança do projeto quando já desenvolvido ou mesmo evitando a decisão pela sua inviabilidade.

No entanto, ele também pode e deve ser elaborado para operações de tratamento já em andamento.

Segundo o que está previsto na lei, o Relatório de Impacto deve conter no mínimo:

– as medidas e mecanismos de mitigação de risco adotados.
– a descrição dos tipos de dados coletados;
– a metodologia usada para a coleta e para a garantia da segurança dos dados;

Para englobar esses requisitos mínimos, o RIPD deve seguir uma elaboração por etapas, que descreveremos a seguir.

O que incluir no Relatório de Impacto

1) Identificação dos agentes de tratamento e do encarregado

O primeiro ponto do RIPD é o mais simples: identificar os agentes de tratamento e o encarregado (também conhecido como DPO).

Apenas para relembrar, o controlador é o responsável pelo tratamento dos dados. É a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

Já o operador é a pessoa física ou jurídica que processa e trata dados pessoais em nome do controlador. Na prática, ele realiza o tratamento de acordo com as instruções do controlador.

O encarregado ou DPO, por sua vez, é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre os agentes de tratamento, o titular dos dados e a ANPD.

Nesta primeira etapa, basta identificar os três envolvidos. No caso do DPO, é preciso incluir o nome, e-mail e telefone.

2) Necessidade de elaborar o relatório

Indica-se que a elaboração de um RIPD se dê antes do início da operação de tratamento de dados, como forma a guiar o próprio desenvolvimento do projeto, adequando-o às exigências legais sobre privacidade e proteção de dados (privacy by design).

Assim, o desafio que se coloca está em determinar quais os projetos, processos, produtos ou serviços seriam elegíveis à realização de um RIPD.

Embora a nossa legislação não determine com clareza os critérios para definição da necessidade de realização do RIPD, podemos elencar alguns critérios como indicativos de que determinado tratamento necessite desta avaliação com base no provável risco que represente aos titulares de dados.

Diretrizes

Segundo diretriz desenvolvida pelo Article 29 Working Party (WP29)*, são nove os critérios relevantes de avaliação das operações suscetíveis à um RIPD:

  1. Avaliação, classificação ou scoring, incluindo definição de perfis e previsão de aspectos relacionados com o desempenho profissional, a situação econômica, saúde, preferências ou interesses pessoais, fiabilidade ou comportamento, localização ou movimento do titular;
  2. Decisões automatizadas que produzam efeitos jurídicos ou efeito similar;
  3. Monitoramento sistemático;
  4. Dados sensíveis ou de natureza altamente pessoal;
  5. Tratamento de dados em larga escala;
  6. Combinação de conjuntos de dados;
  7. Dados de titulares vulneráveis;
  8. Uso inovador ou aplicação de novas soluções tecnológicas ou organizacionais;
  9. Quando o tratamento dos dados visa permitir ou negar o acesso do titular a determinado serviço ou realização de um contrato (ex. análise de crédito que embase a decisão sobre a concessão ou negativa de um empréstimo).

Assim, o RIPD deve indicar o que motivou a necessidade da sua confecção.

Por definição, o relatório deve ser elaborado sempre que o tratamento de dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais dos titulares.

Além disso, a LGPD determina que o relatório de impacto poderá ser solicitado nas seguintes circunstâncias:

  • A qualquer momento, sob determinação da ANPD;
  • Quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do controlador;
  • Para tratamento de dados pessoais realizados para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (exceções previstas pelo inciso III do art.4º).

Há outras circunstâncias em que também deve ser considerada a necessidade de elaborar um RIPD. Por exemplo, no caso do tratamento de dados pessoais sensíveis e no tratamento de dados de crianças e adolescentes.

Nesses casos, uma atuação preventiva de mitigação de riscos justifica a necessidade de elaborar um Relatório de Impacto.

3) Descrição do tratamento

No Relatório de Impacto é preciso também descrever os processos de tratamento de dados pessoais que possam gerar riscos, especificando a natureza, o escopo, o contexto e a finalidade do tratamento.

A natureza do tratamento mostra como a organização trata ou pretende tratar o dado pessoal. Ou seja, como os dados são coletados, de quais fontes, com quem são compartilhados etc.

O escopo, por sua vez, demonstra a abrangência do tratamento, incluindo o número de titulares afetados, a área geográfica englobada, os tipos de dados coletados, por quanto tempo eles serão retidos etc.

Já o contexto abarca o cenário mais amplo, indicando fatores que podem impactar o tratamento de dados e as expectativas dos titulares.

Por fim, a finalidade é o motivo por trás do tratamento dos dados pessoais. É ela que justifica o tratamento. Portanto, é fundamental que a finalidade esteja bem definida e baseada nos critérios estabelecidos pela LGPD.

4) Partes interessadas consultadas

Nesse ponto, é importante destacar todas as partes consultadas sobre o tratamento abrangido pelo relatório. Por exemplo, o operador, o encarregado, gestores, consultores externos, advogados, os próprios titulares etc.

O objetivo dessa etapa é registrar o que as partes consultadas indicaram como sendo importante observar no tratamento em questão, especialmente em relação aos riscos.

5) Necessidade e proporcionalidade

Um dos pontos mais importantes do Relatório de Impacto é descrever como o tratamento se enquadra dentro dos requisitos de necessidade e proporcionalidade.

É importante informar, por exemplo, qual a base legal para justificar o tratamento dos dados, e demonstrar que o tratamento é o mínimo necessário para cumprir com as suas finalidades.

Caso a base legal escolhida seja o legítimo interesse, é preciso demonstrar que o tratamento é indispensável e que não há outra base legal possível para atingir o mesmo objetivo.

6) Riscos à Proteção de Dados Pessoais

Um dos principais objetivos do Relatório de Impacto é justamente descrever “medidas, salvaguardas e mecanismos de mitigação de risco”.

Portanto, é preciso identificar os riscos com clareza. Para cada risco identificado, deve-se estabelecer a probabilidade de que ele ocorra e o possível impacto ocasionado.

Alguns exemplos de riscos à proteção de dados:

  • Acesso não autorizado;
  • Perda;
  • Roubo;
  • Impossibilidade de atender aos direitos do titular;
  • Divulgação não autorizada;
  • Informação insuficiente sobre a finalidade do tratamento.

7) Medidas para mitigar os riscos

Depois que os riscos estão descritos de acordo com o seu grau de probabilidade e impacto, é preciso identificar as medidas para mitigá-los. Essas medidas podem ser técnicas, de segurança ou mesmo administrativas.

Porém, vale destacar que nem sempre todos os riscos serão eliminados. Alguns podem persistir ou serem reduzidos a um nível aceitável pela organização, considerando os benefícios do tratamento.

8) Aprovação do relatório

Por fim, o relatório deve ser registrado e aprovado, incluindo as assinaturas do responsável pela elaboração, do encarregado e dos representantes do controlador e do operador.

Assessoria para elaborar o Relatório de Impacto

As etapas para a criação do Relatório de Impacto à Proteção de Dados Pessoais demonstram que não se trata da confecção de mero documento, mas representa um processo complexo.

Por ser uma ferramenta de extrema utilidade à adequação à LGPD e ao tratamento de riscos de forma geral, é importante que o relatório seja elaborado de forma criteriosa.

Para isso, sua empresa pode contar com a assessoria da Get Privacy. Nós temos uma equipe multidisciplinar e especializada em proteção de dados, que pode te ajudar com essa e qualquer outra demanda relacionada à LGPD.

Fale conosco e veja como podemos ajudar a sua startup!

*O Grupo de Trabalho do Artigo 29.º (GT Art. 29.º ) foi o grupo de trabalho europeu independente que lidou com as questões relacionadas à privacidade e proteção de dados pessoais até 25 de maio de 2018 (data de aplicação do GDPR/RGPD), cujos materiais desenvolvidos são amplamente utilizados e considerados por profissionais mundo afora.

Comece já sua adequação à LGPD

A Get Privacy conta com uma equipe multidisciplinar especializada em proteção de dados para guiar seu programa de conformidade.

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS