A LGPD (Lei Geral de Proteção de Dados brasileira) exige que as empresas possuam diversos documentos que demonstrem como é realizada a coleta de dados, armazenamento e demais ações inerentes aos dados pessoais, tudo isso para que se tenha um resguardo aos direitos dos titulares de dados.
O que é um RIPD?
O Relatório de Impacto de Proteção de Dados – RIPD é um documento que deve ser elaborado pelo Controlador sempre que houver um processo de tratamento de dados pessoais que possa gerar riscos às liberdades civis e aos direitos fundamentais dos titulares de dados.
O RIPD é assim conceituado pela LGPD::
XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Vale ressaltar que a importância deste documento está ligada ao fato de que ele pode ser requisitado pela Autoridade Nacional de Proteção de Dados – ANPD, em qualquer momento.
A referida Autoridade ainda poderá solicitar ao Controlador a elaboração do RIPD, quando o tratamento for realizado com base em seu legítimo interesse (artigo 10, § 3º, LGPD), bem como para os agentes do Poder Público, com base no artigo 32 da LGPD.
Por que a sua empresa necessita elaborar esse relatório?
Ainda que possa ser requisitado a qualquer momento, é importante que o Controlador tenha esse documento já pronto. Já que ele contém dados informando a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Assim, o RIPD é considerado como mais uma boa prática da organização para mitigar os riscos envolvidos em determinada operação de tratamento de dados pessoais.
A LGPD recomenda que seja providenciado antes de a instituição iniciar o tratamento de dados pessoais, preferencialmente, na fase inicial do programa ou projeto que tem o propósito de usar esses dados.
Como criar um Relatório de Impacto de Proteção de Dados?
Para a estruturação de um RIPD, deve-se seguir alguns requisitos, lembrando que estes requisitos variam de acordo com cada empresa e a legislação não informa como deve ser estruturada.
Portanto, os requisitos apresentados aqui demonstram boas práticas encontradas em legislações internacionais e segundo instruções da ANPD.
Quando for elaborar um RIPD, deve-se conter pelo menos 3 requisitos que já estão na legislação:
- Medidas e mecanismos de mitigação de risco adotados;
- Descrição dos tipos de dados coletados; e
- Metodologia usada para a coleta e para a garantia da segurança dos dados.
Para que então se inclua esse 3 requisitos, quando a empresa criar o seu Relatório de Impacto, deverá incluir os seguintes pontos:
- Identificação dos agentes de tratamento e do encarregado de dados;
- O porquê da necessidade de elaborar o relatório;
- Descrição do tratamento de dados;
- Partes interessadas consultadas;
- Necessidade e proporcionalidade;
- Nível de risco à Proteção de Dados Pessoais;
- Medidas para mitigar os riscos;
- Aprovação do relatório.
Diante do exposto, observa-se que a criação de um RIPD não é algo simples e que a sua criação agrega valor às boas práticas da LGPD. Através dele, a empresa consegue observar como os dados são coletados e quais medidas de segurança são aplicadas para resguardar os direitos dos titulares de dados.
Além de agregar valor e ajudar nos demais processos de criação de documentos para a sua empresa, esse Relatório lhe dará um panorama geral do seu fluxo de informações e dados.
