Tecnologia com Confiança

O que é RIPD?

Segundo definição da Lei Geral de Proteção de Dados (LGPD), previsto em seu artigo 5º, inciso XVII, o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

Ainda conforme o artigo 38, a Autoridade Nacional de Proteção de Dados (ANPD) poderá “determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial”.

Quando fazer?

Sendo seu principal objetivo o de assegurar que os processos comerciais estejam em conformidade com os regulamentos da LGPD, ao mesmo tempo em que permitem que eles operem eficientemente é recomendado que sempre que for iniciado algum projeto, onde exista o risco de exposição dos dados pessoais, deve ser feito o Relatório de Impacto à Proteção de Dados Pessoais (RIPD). Parte do processo é a identificação e avaliação de necessidade ou não de sua elaboração.

Quem deve fazer?

A responsabilidade pela elaboração do relatório é do controlador, onde uma pessoa com conhecimento no BIA (Business Impact Analysis) não terá dificuldades já que as duas ferramentas são orientadas à processo, sendo o BIA focado nos impactos críticos de negócio e o RIPD a identificação dos dados utilizados em quais processos e mensurar seus impactos.

Vale ressaltar que ainda assim é necessária a revisão e o parecer da figura de um Encarregado de Dados (DPO) que será responsável também por sua publicação se necessário.

Etapas

Segundo o artigo 38, parágrafo único, da LGPD, o relatório deverá conter, no mínimo, os seguintes itens:

  • a descrição dos tipos de dados coletados;
  • a metodologia utilizada para a coleta e para a garantia da segurança das informações;
  • e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Mesmo não existindo um modelo padrão a ser utilizado, a Secretaria de Governo Digital do Ministério da Economia através de seu site de Guias e Modelos sugere algumas etapas a serem seguidas:

  1.  Identificar os agentes de tratamento e o encarregado
  2. Identificar a necessidade de elaborar o relatório
  3. Descrever o tratamento, que envolve o detalhamento
  4. Identificar partes interessadas e consultadas
  5. Descrever necessidade e proporcionalidade
  6. Identificar e avaliar riscos
  7. Identificar medidas para tratar os riscos
  8. Aprovar o relatório
  9. Manter revisão

Mantendo a jornada de adequação a LGPD, é necessário sempre garantir que o trabalho está sendo feito de boa-fé com transparência e clareza aos titulares.

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *