Principais informações acerca do Relatório de Impacto à Proteção de Dados Pessoais

O que é?


O Relatório de Impacto à Proteção dos Dados Pessoais (RIPD) trata-se de um documento fundamental responsável por indicar os dados pessoais e como funciona o manuseio destes. Indicando a coleta, o tratamento, a finalidade, o compartilhamento e quais as prevenções para diminuição dos riscos que a manipulação dos dados pessoais podem ocasionar, resumindo, precisa conter a descrição de todos os processos de tratamentos de dados pessoais.


Portanto, funciona como um documento legal que previne eventualidades de extravios ou vazamento de dados. Conforme a Lei Geral de Proteção de Dados, este Relatório opera como atividade imprescindível que garante uma análise de risco necessária quando se deseja tratar certos tipos de dados que possam afetar os direitos e liberdades dos titulares de dados.


Quem está envolvido no processo de formação do RIPD?


Os dados pessoais, desde o momento da coleta até o momento de eliminação, passam por uma série de etapas, que precisam do comando de uma figura responsável pela função. Assim, este processo envolve duas figuras principais: quem fornece os dados e quem recebe esses dados fornecidos.


Desta forma, o titular desses dados é responsável por concedê-los, sendo caracterizado como fornecedor. O titular, portanto, pode ser qualquer pessoa que forneça seus dados para determinadas ações, como realizar compras, consultas médicas, ou possuem dados armazenados em algum banco de dados.


Esses dados são fornecidos ao controlador, que possui competência para atuar no tratamento desses dados fornecidos. Podendo ser pessoa física ou jurídica que detenha os dados pessoais dos titulares.


Qual a função do RIPD?


Consiste em uma ferramenta de gestão de riscos à privacidade. É um relatório que comprova o fato de que o controlador, figura responsável por deter os dados, avaliou todo e qualquer risco existente nas execuções do tratamento desses dados pessoais, adotando medidas para redução dos riscos.


A análise de possíveis ameaças segue as etapas:

  1. Descrição do cenário, da situação

  2. Quais os possíveis riscos

  3. Quais as consequências

  4. Quais os impactos

  5. Qual a probabilidade

Assim, o RIPD apresenta boa prática e organização voltada a redução de riscos ligados ao manuseio e tratamento de dados pessoais. Mapeando as medidas de tratamento realizadas, enfatizando quais os programas de proteção dos dados coletados e quais as medidas de emergência para inesperado vazamento de informações pela empresa.


Os principais objetivos de um RIPD, são:


1. Reduzir incidentes de segurança no tratamento de dados

2. Otimização da prestação de serviços

3. Privacidade de dados

4. Conformidade com a LGPD

5. Melhoramento do processamento de dados

5. Segurança e garantias aos titulares dos dados


Funcionamento do ciclo de proteção de dados


O início do ciclo de proteção de dados se dá quando uma pessoa dona de um dado pessoal, o titular, fornece seus dados pessoais. Este dado será utilizado por outra pessoa, o controlador, para decidir o tratamento voltado àquele dado. Esse tratamento é realizado por outra pessoa, o operador.


A relação entre o controlador e o titular possui atenção da Autoridade Nacional de Proteção de Dados, esse órgão atua na fiscalização do cumprimento da LGPD. Sendo assim, a Autoridade tem a competência de solicitar esse relatório, podendo ser a qualquer momento. O que torna fundamental que o controlador dos dados mantenha documentação dos relatórios de impacto à proteção de dados pessoais sempre atualizada.


Elaboração do RIPD


A elaboração do RIPD deve ser realizada desde a fase inicial de um novo projeto, processo, produto ou serviço que englobará o tratamento de dados, porém também há como ser elaborado para projetos já iniciados. Contribuindo para redução dos riscos de forma antecipada, o que previne problemas, gastos acentuados e mudança tardia em projetos já desenvolvidos.


O Relatório de Impacto, pela previsão da lei, deve conter os seguintes aspectos:

  • Projetos adotados para diminuição de riscos

  • Descrição e especificação dos tipos de dados coletados

  • Metodologia de coleta e segurança dos dados

  • Finalidades dos tratamentos de dados

  • Medidas do sistema de segurança voltados à proteção dos dados pessoais em casos de acesso não autorizados.

  • Revisão da necessidade dos dados que estão sendo tratados - seletiva somente dos dados necessários

Etapas de realização



É necessário uma programação geral do relatório, o que fornece ao controlador a possibilidade de identificar quais as principais ameaças existentes em relação a proteção dos dados dos usuários.


As etapas de realização são:


1. Identificação dos agentes


O RIPD exige a identificação dos agentes de tratamento e do encarregado.

  • Controlador: indivíduo responsável pela decisões voltadas ao tratamento dos dados pessoais

  • Operador: indivíduo responsável por processar e tratar os dados pessoais em nome do controlador.

  • Encarregado: indivíduo selecionado pelo controlador e pelo operador para realizar a função de canal de comunicação entre os agentes de tratamento, o titular dos dados e a ANPD.


2. Motivo de elaboração do relatório


É importante detalhar os pontos do RIPD anteriormente a execução da operação de tratamento dos dados. O que contribui para garantir um caminho que deve ser seguido, adequando esses fatores as exigências da LGPD.


Determinando então, os projetos, os processos, os produtos ou serviços que podem ser relevantes para avaliação do RIPD. Devendo ser elaborado em atividades em que exista um risco aos direitos protegidos pela LGPD dentro do processo de tratamento de dados.


Pela LGPD determina-se que o relatório de impacto poderá ser solicitado nas seguintes circunstâncias:

  • A qualquer momento, sob determinação da ANPD

  • Quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do controlador

  • Para tratamento de dados pessoais realizados para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (exceções previstas pelo inciso III do art.4º).


3. Descrição do tratamento


O RIPD se correlaciona com o tratamento dos dados de determinada atuação que são possíveis de gerarem riscos. Dentro da etapa de descrição do tratamento, todos os pontos abordados devem ser detalhadamente descritos.


Assim, é necessário abordar os seguintes aspectos relacionados ao tratamento de dados:

  • A natureza

  • A abrangência

  • O contexto

  • A finalidade


4. Partes consultadas ao longo do processo


Ao longo do processo do RIPD, um dos pontos importantes trata-se de mencionar as partes que participaram de consultas acerca do tratamento a que se refere o relatório. Como:

  • Operador

  • Encarregado

  • Gestor

  • Consultor Externo

  • Advogado

  • Titular

Com objetivo de formalizar as indicações feitas por cada parte, especialmente em relação aos riscos.


5. Riscos à Proteção de Dados Pessoais


Por ser o relatório destinado, principalmente, à prevenção de riscos ao tratamento dos dados, este deve portanto, indicar de maneira clara:

  • Os riscos pertinentes

  • Qual a probabilidade de ocorrência

  • O impacto que este pode causar

6. Medidas para mitigar os riscos


Com a descrição dos riscos bem esclarecida, entra-se na etapa de projetos que alcancem medidas de solução. Analisando tanto a probabilidade de ocorrência, como o impacto causado pelo risco, admite-se então essas medidas, como técnicas, administrativas ou ainda de segurança.


Não é garantido eficácia de 100%, porém os benefícios do tratamento diminuem os riscos, como aumentam as medidas de segurança.


7. Aprovação do relatório


Como última etapa, o relatório com todas as fases e etapas completas, deve ser revisado. Assim, a depender do documento deve ser aprovado e registrado pelos responsáveis pela elaboração: o encarregado, o controlador e o operador, podendo estes estarem representados, pela empresa por exemplo.




















0 visualização0 comentário