A LGPD (Lei Geral de Proteção de Dados brasileira) exige que as empresas possuam diversos documentos que demonstrem como é realizada a coleta de dados, armazenamento e demais ações inerentes aos dados pessoais, tudo isso para que se tenha um resguardo aos direitos dos titulares de dados.

O que é um RIPD?

O Relatório de Impacto de Proteção de Dados – RIPD é um documento que deve ser elaborado pelo Controlador sempre que houver um processo de tratamento de dados pessoais que possa gerar riscos às liberdades civis e aos direitos fundamentais dos titulares de dados.

O RIPD é assim conceituado pela LGPD::

XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Vale ressaltar que a importância deste documento está ligada ao fato de que ele pode ser requisitado pela Autoridade Nacional de Proteção de Dados – ANPD, em qualquer momento. 

A referida Autoridade ainda poderá solicitar ao Controlador a elaboração do RIPD, quando o tratamento for realizado com base em seu legítimo interesse (artigo 10, § 3º, LGPD), bem como para os agentes do Poder Público, com base no artigo 32 da LGPD.

Por que a sua empresa necessita elaborar esse relatório?

Ainda que possa ser requisitado a qualquer momento, é importante que o Controlador tenha esse documento já pronto. Já que ele contém dados informando a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Assim, o RIPD é considerado como mais uma boa prática da organização para mitigar os riscos envolvidos em determinada operação de tratamento de dados pessoais.

A LGPD recomenda que seja providenciado antes de a instituição iniciar o tratamento de dados pessoais, preferencialmente, na fase inicial do programa ou projeto que tem o propósito de usar esses dados.

Como criar um Relatório de Impacto de Proteção de Dados?

Para a estruturação de um RIPD, deve-se seguir alguns requisitos, lembrando que estes requisitos variam de acordo com cada empresa e a legislação não informa como deve ser estruturada.

Portanto, os requisitos apresentados aqui demonstram boas práticas encontradas em legislações internacionais e segundo instruções da ANPD.

Quando for elaborar um RIPD, deve-se conter pelo menos 3 requisitos que já estão na legislação:

• Medidas e mecanismos de mitigação de risco adotados;
• Descrição dos tipos de dados coletados; e
• Metodologia usada para a coleta e para a garantia da segurança dos dados.

Para que então se inclua esse 3 requisitos, quando a empresa criar o seu Relatório de Impacto, deverá incluir os seguintes pontos:

1. Identificação dos agentes de tratamento e do encarregado de dados;
2. O porquê da necessidade de elaborar o relatório;
3. Descrição do tratamento de dados;
4. Partes interessadas consultadas;
5. Necessidade e proporcionalidade;
6. Nível de risco à Proteção de Dados Pessoais;
7. Medidas para mitigar os riscos;
8. Aprovação do relatório.

Diante do exposto, observa-se que a criação de um RIPD não é algo simples e que a sua criação agrega valor às boas práticas da LGPD. Através dele, a empresa consegue observar como os dados são coletados e quais medidas de segurança são aplicadas para resguardar os direitos dos titulares de dados. 

Além de agregar valor e ajudar nos demais processos de criação de documentos para a sua empresa, esse Relatório lhe dará um panorama geral do seu fluxo de informações e dados.