Conforme o artigo 5º, inciso XVII, da Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), o relatório de impacto à proteção de dados pessoais (RIPD) é um documento de responsabilidade do controlador ou empresa controladora, o qual conterá a descrição dos processos de tratamento de dados pessoais (ciclo de vida) bem como medidas, salvaguardas e mecanismos de mitigação de risco.
O RIPD é uma ferramenta extremamente importante para avaliar e estar em conformidade com a LGPD. Este relatório é utilizado para estruturar os dados pessoais, descrever os processos de tratamentos envolvidos, bem como identificar, analisar e mitigar os riscos de incidentes envolvendo os dados pessoais.
Por se tratar de um documento com informações cruciais para tomadas de decisões dentro da empresa, o RIPD deve estar em constante desenvolvimento, sendo realizado na fase inicial e devendo ser avaliado e revisado ao longo de todo o processo de tratamento de dados. A partir da elaboração deste relatório o controlador terá condições de avaliar a viabilidade da operação desta atividade e produzir um plano de ação eficaz para a mitigação dos riscos.
Outro motivo essencial para não deixar o RIPD sem revisão ou sem estar em conformidade com a LGPD é que o tratamento indevido dos dados pessoais gera riscos desnecessários às liberdades civis e aos direitos fundamentais, podendo ocasionar severas penalidades aos responsáveis e às empresas.
O RIPD é parte indispensável para demonstrar a implementação de medidas a fim de garantir a conformidade com a Lei. Este relatório se assemelha ao Data Protection Impact Assessment (DPIA), exigido aos países pertencentes à União Europeia – U.E., em razão do General Data Protection Regulation – GDPR, que regulamenta o direito europeu sobre privacidade e proteção de dados, utilizam para avaliação de impacto sobre a proteção de dados nos tratamentos. O RIPD deve ser considerado um instrumento evolutivo e não como um mero exercício pontual[i].
Mas afinal, minha empresa precisará realizar uma avaliação (DPIA) em todos os processos? A LGPD não é clara quanto as ocasiões em que serão realizadas as avaliações, porém, devem ser realizadas toda vez que o tratamento puder acarretar riscos aos direitos civis e liberdades fundamentais.
O art. 38, da LGPD, contempla os quesitos mínimos que o RIPD deverá conter, sendo eles: a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Para facilitar o entendimento, confira a explicação de cada quesito, conforme descrito abaixo.
Na descrição dos tipos de dados coletados, o controlador deverá detalhar quais dados pessoais dos titulares serão coletados e tratados, como por exemplo: nome, CPF, endereço etc. Ademais, é imprescindível informar o titular dos dados se há coleta e tratamento de dados pessoais sensíveis.
No que tange à metodologia utilizada para a coleta, o controlador deverá especificar como será realizada a coleta dos dados pessoais, por exemplo, se será por meio de formulários físicos ou online. Na metodologia para a garantia da segurança das informações, será demonstrado o método utilizado pelo controlador para garantir a segurança da informação.
Já na análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados é realizado o gerenciamento e avaliação de riscos, ou seja, deverão ser descritas as medidas utilizadas para identificar, tratar e prevenir incidentes envolvendo os dados expostos, bem como medidas para mitigar as consequências do incidente. Não sabe como realizar o gerenciamento de riscos da sua empresa? Confira as dicas da Every CyberSecurity and GRC aqui.
Cabe salientar que o RIPD poderá ser exigido a qualquer momento pela Autoridade Nacional de Proteção de Dados – ANPD, a qual é o órgão da administração pública federal responsável pela proteção dos dados pessoais, nos termos da legislação e ter um relatório bem elaborado, com informações claras e precisas não irão ajudar apenas a estar em conformidade com a LGPD, mas demonstrará boa-fé nos tratamentos de dados pessoais e poderá ser um fator determinante quando ocorrerem auditorias e sanções aplicáveis pela ANPD, conforme disposto no art. 52, § 1º, da LGPD.
Dentre as sanções previstas, estão as de advertência, publicidade da infração cometida, possibilidade de bloqueio ou eliminação dos dados pessoais tratados de forma ilegal ou insegura, multa simples por infração e multa diária até o limite máximo. As multas podem chegar até R$ 50.000.000,00 (cinquenta milhões de reais) por infração e ainda há cabimento de indenização por perdas e danos.
Por isso é tão importante elaborar um relatório para se adequar e estar em conformidade com a LGPD, de modo que esteja em constante revisão e avaliação para se manter em conformidade.
Ficou com dúvidas? Fale conosco! Será um prazer atendê-lo.
Samanta Faleiro Porto Costa
Analista Jurídica da Every
Comments