Com o vigor da Lei Geral de Proteção de Dados, a proteção de dados pessoais passa a ganhar maior destaque. E dentre as medidas necessárias temos o chamado RIPD.
O RIPD deve estar presente nos procedimentos de privacidade garantidos pelo controlador dos dados, sendo uma base para que as empresas estejam de acordo com os princípios previstos na LGPD.
O que é o RIPD?
RIPD é a sigla para Relatório de Impacto à Proteção de Dados, uma das exigências previstas na LGPD. Trata-se de um documento de responsabilidade do controlador dos dados, onde são descritos os processos de tratamento dos dados que podem gerar eventuais riscos aos respectivos titulares.
Além disso, o relatório também deve apresentar todas medidas e mecanismos de mitigação de riscos adotados pelo controlador no processo de tratamento de dados, conforme descreve o artigo 5º, inciso XVII da LGPD.
Sendo assim, uma vez que tem como intuito a mitigação de riscos, o Relatório de Impacto à Proteção de Dados deve ser feito antes de serem iniciadas as atividades de tratamento.
De toda maneira, ele deve estar dentro dos procedimentos de privacidade adotados pela empresa. Assim, a instituição estará dentro dos termos colocados na LGPD, principalmente:
- finalidade do tratamento, ou seja, a avaliação dos propósitos do tratamento;
- adequação de acordo com as avaliações de compatibilidade das finalidades pretendidas conforme o contexto do tratamento;
- quais medidas de segurança serão aplicadas para proteger os dados pessoais de eventuais acessos não autorizados;
- princípio de minimização, isto é, revisão da necessidade dos dados tratados, considerando tratar somente o estritamente necessário para a finalidade;
- prevenção de problemas.
Para este último ponto, temos as medidas de segurança que irão evitar que ocorram complicações. Dessa forma, são adotadas medidas que diminuem os danos que os dados podem sofrer.
Quem deve realizar o RIPD?
Como citado anteriormente, o Relatório de Impacto Sobre Proteção de Dados é de responsabilidade sempre do controlador, isto é, da empresa a quem competem as decisões referentes ao tratamento de dados pessoais.
Sendo assim, cabe única e exclusivamente à instituição a realização deste relatório, ausentando o titular dos dados de qualquer obrigação.
Agora, o profissional da empresa que deve elaborar este relatório é alguém que possua conhecimento na área de Business Impact Analysis (BIA).
Esta é a pessoa mais recomendada uma vez que ela não terá dificuldades por entender tudo o que é requisitado de acordo com a legislação. Afinal, este profissional utiliza, em sua rotina de trabalho, as ferramentas orientadas para a elaboração do relatório.
Porém, em contraponto, existe um fator que deve ser levado em consideração para o RIPD, que é o parecer do Encarregado de Proteção de Dados, ou DPO.
Isso se dá uma vez que ele é justamente o profissional dentro da instituição que possui o maior conhecimento sobre a Lei Geral de Proteção de Dados e, consequentemente, quem orienta a empresa sobre as ações que devem ser tomadas para adequação à Lei.
Logo, todas as decisões e conselhos dadas por este especialista devem estar documentadas e constar no relatório dentro de um local específico.
De tal forma, através de um bom Relatório de Impacto à Proteção de Dados a empresa conseguirá ter uma visão completa de todo o ciclo de vida que os dados possuem.
Assim será possível analisar eventuais fatores que podem impactar na liberdade dos clientes e até mesmo nos direitos fundamentais que devem ser assegurados.
Ambos são pontos que devem ser levados em consideração principalmente na hora em que a empresa tomar alguma decisão quanto aos dados pessoais dos clientes.
Vale pontuar que estas ações, no entanto, abrangem a implementação de medidas e mecanismos que demonstram o cumprimento da lei ou então a interrupção do projeto.
De toda forma, o relatório deve conter uma série de pontos previstos pela legislação para que seja feito corretamente, ponto o qual explicaremos no próximo tópico.
O que deve constar no relatório?
O RIPD deve atender uma série de princípios previstos pela lei. Dentre eles, temos os seguintes:
- identificação da necessidade do RIPD;
- descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais;
- elencar quais tipos de tratamento serão feitos;
- adaptar o projeto, comparando se existe compatibilidade entre a finalidade e os tratamentos;
- estudar e elencar a necessidade de tratamento dos dados;
- descrição dos riscos de privacidade: identificação, avaliação e mitigação;
- elencar medidas técnicas que serão adotadas a fim de assegurar a proteção dos dados pessoais;
- prevenir eventuais danos em função do procedimento feito para com os dados.
Vale lembrar que este relatório deve ser feito antes de serem iniciadas as tratativas para com os dados. Assim, o ideal é apresentar um quadro geral de todo o processo para que o responsável pela confecção do relatório dos dados identifique as principais ameaças.
Por fim, mas não menos importante, este relatório deve possuir uma análise do controlador sobre as ações tomadas, a fim de mitigar riscos. Logo, a empresa comprovará, através deste diagnóstico, que sua atuação está de acordo com a lei.
Este relatório pode ser feito ainda por terceiros, seja dentro ou até mesmo fora da organização, desde que siga todos estes pontos requisitados pela legislação e seja feito com acompanhamento e aprovação do Encarregado de Proteção de Dados.
Quais os objetivos do RIPD?
Para entendermos quais os objetivos do RIPD, também conhecido como Avaliação de Impacto Sobre a Proteção de Dados, é necessário ter em mente qual a sua finalidade.
E podemos analisar que esta, por sua vez, é justamente a de mitigar riscos através de todos os pontos os quais devem conter no diagnóstico. Afinal, através deste relatório será possível analisar tudo o que pode gerar danos às informações dos clientes.
Assim, é possível planejar medidas mais efetivas contra os possíveis problemas que podem ocorrer.
Consequentemente, a empresa se encontrará dentro das medidas previstas pela LGPD, evitando não somente sanções e multas, mas principalmente, protegendo os dados dos titulares.
Por outro lado, através do RIPD a empresa se prepara para a introdução dos novos processos, tecnologias e sistemas que irão fazer o processamento dos dados.
De toda maneira, cabe à empresa buscar resoluções para aumentar a proteção dos dados e diminuir riscos.
Etapas de elaboração do Relatório de Impacto à Proteção de Dados
Após entendido o que é o RIPD e quais seus objetivos dentro de uma organização, resta ainda saber quais são as etapas de elaboração deste relatório. Existe uma série de passos para que o relatório seja feito corretamente, sendo:
- identificar quem são os agentes de tratamento e qual e nomear o Encarregado de Proteção de Dados;
- descrever os tipos de tratamentos de dados pessoais que serão realizados;
- reconhecer quais as partes interessadas que serão consultadas para a elaboração deste relatório;
- detalhar a imprescindibilidade do relatório e qual proporção ele terá;
- determinar e qualificar todos os possíveis riscos para os tratamentos de dados;
- especificar diferentes medidas que serão utilizadas para agir sobre os riscos;
- validar o relatório com a aprovação de um Encarregado de Proteção de Dados;
- manter uma revisão constante sobre o documento.
Conforme o Art. 38 da LGPD, “[…] o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.”
Quais as diferenças entre RIPD e DPIA?
Por fim, um ponto que deve ser esclarecido é a diferença entre o RIPD e o chamado DPIA. A primeiro momento, um ponto que deve ser explicado é que DPIA é a sigla para Data Protection Impact Assessment.
No entanto, encontramos a presença do DPIA na GDPR, o que faz com que ele seja vigente sobre a região europeia. E ao trazermos para o solo brasileiro, ele é o chamado AIPD, ou Avaliação de Impacto sobre a Proteção de Dados, de acordo com a Lei Geral de Proteção de Dados.
Ambos possuem uma mesma finalidade, que é a de assegurar que a empresa está agindo conforme o proposto pela legislação vigente.
Assim, a diferença entre o DPIA e o Relatório de Impacto Sobre a Proteção de Dados Pessoais se dá no local o qual ele é desenvolvido e aplicado.
Além disso, podem ser encontrados pontos divergentes no que diz respeito ao que deve constar em cada um dos relatórios. Apesar disso, a intenção é a mesma: analisar, identificar e minimizar problemas com os dados pessoais.
Portanto, o RIPD deve ser realizado corretamente para que seja analisada a necessidade do tratamento de dados pessoais dos titulares dos clientes tendo em vista todos os possíveis problemas que serão enfrentados e evitando-os.