No atual cenário empresarial, em que a proteção de dados pessoais é uma preocupação crescente, o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) desempenha um papel crucial na mitigação de riscos e na garantia da conformidade com as regulamentações de privacidade. Como empresário ou gestor, é essencial compreender a importância desse documento para o seu negócio, os benefícios que ele pode proporcionar e como um advogado especializado em proteção de dados pode auxiliá-lo na sua elaboração.
Neste artigo, discutiremos em detalhes a relevância do RIPD, suas vantagens para os negócios e como a expertise dos nossos advogados pode contribuir para a construção desse documento essencial.
Quer entender mais sobre LGPD? Você também pode encontrar aqui os 6 primeiros textos da nossa Série LGPD na Prática:
Série LGPD na Prática: Plano de Respostas a Incidentes de Segurança em Dados Pessoais
Série LGPD na Prática: Adequação de Contratos
Série LGPD na Prática: Inventário de Regulamentações
Série LGPD na Prática: Elaboração do Plano de Ação do Projeto de Implementação e Adequação à LGPD
Índice
O que é um Relatório de Impacto à Proteção de Dados Pessoais (RIPDP)?
O Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) consiste em uma avaliação detalhada dos riscos e impactos que as atividades de tratamento de dados pessoais podem ter sobre os direitos e liberdades das pessoas físicas envolvidas. O RIPDP tem como objetivo identificar potenciais ameaças à privacidade, bem como propor medidas mitigadoras para minimizar esses riscos.
Trata-se de instrumento de análise estratégica que ajuda as empresas a compreenderem os possíveis impactos de suas operações e a adotarem medidas adequadas para garantir a conformidade com as leis de proteção de dados, como a LGPD (Lei Geral de Proteção de Dados) no Brasil e a GDPR (General Data Protection Regulation) na União Europeia.
Assim, ao tratar certos tipos de dados ou efetuar determinados tipos de tratamento ou compartilhamento de dados, é necessário maior cuidado para que este tratamento não afete os direitos dos titulares. O titular de dados pessoais é o centro da LGPD, e assim também é o centro do RIPDP. Enquanto existem diversos procedimentos e práticas que podem (e devem) ser colocados em prática para proteger a estrutura, os ativos, o patrimônio ou o modelo de negócio de uma empresa, o RIPDP tem como objetivo proteger o titular de dados.
Segundo a LGPD, o RIPDP Relatório de Impacto à Proteção de Dados Pessoais consiste em:
XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Assim, verificamos que o RIPDP serve para demonstrar que a empresa está efetivamente mantendo os dados pessoais seguros para a Autoridade Nacional de Proteção de Dados (ANPD), aos clientes, fornecedores, parceiros comerciais, investidores ou autoridades de proteção de dados de países estrangeiros com os quais se deseje transferir os dados.
Algumas das questões que o RIPDP pretende responder são:
O titular concorda com o tratamento?
O tratamento é do interesse do titular?
Existem riscos à segurança da informação dos dados tratados?
O controlador está efetivamente respeitando os direitos do titular?
O titular está ciente dos riscos do tratamento?
Ao responder estes questionamentos, o Relatório irá:
Descrever o tratamento de dados pessoais
Avaliar a necessidade e proporcionalidade do tratamento
Ajudar a identificar os riscos para os direitos dos titulares
Determinar medidas necessárias para tratamento de riscos para os direitos dos titulares
A Importância do Relatório de Impacto à Proteção de Dados Pessoais
Os dados pessoais são ativos valiosos das empresas e o seu tratamento inadequado pode resultar em sérias consequências legais, financeiras e de reputação. A elaboração do RIPD permite uma visão clara dos riscos associados às atividades de tratamento de dados, facilitando a tomada de decisões informadas para garantir a conformidade e mitigar riscos.
Atendendo às exigências regulatórias
A Lei Geral de Proteção de Dados (LGPD) estabelece a obrigatoriedade de elaboração do RIPD em determinadas situações, especialmente quando o tratamento de dados pessoais pode apresentar riscos aos direitos e liberdades dos titulares. Cumprir essa exigência legal é fundamental para evitar sanções e demonstrar comprometimento com a proteção dos dados.
A Lei Geral de Proteção de Dados apresenta algumas situações na qual é necessária a formulação de um Relatório de Impacto à Proteção de Dados:
Art. 10, II, ª§3º
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
De acordo com esta disposição legal, toda vez que o tratamento de dados pessoais tiver como base legal somente o interesse legítimo do controlador, sem partir de consentimento, cumprimento de contrato, entre outras bases legais, é necessário efetuar o RIPDP.
Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.
A Lei Geral de Proteção de Dados tem escopo que alcança também os agentes do Poder Público, que também estão sujeitos ao pedido de RIPDP.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Por fim, o artigo 38 da LGPD dispõe que é competência e discricionariedade da ANPD exigir que as empresas e organizações produzam um Relatório de Impacto à Proteção de Dados Pessoais.
Benefícios do Relatório de Impacto à Proteção de Dados Pessoais para os Negócios
Como observamos anteriormente, o Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) desempenha um papel crucial na mitigação de riscos e na proteção da privacidade das pessoas físicas envolvidas nas atividades de tratamento de dados.
Nesta seção, exploraremos a importância desse documento como uma ferramenta estratégica para identificar e avaliar os riscos relacionados ao tratamento de dados pessoais. Veremos como o RIPDP auxilia as empresas na compreensão dos impactos de suas operações, no cumprimento das obrigações legais e no estabelecimento de medidas mitigadoras eficazes. Além disso, discutiremos os benefícios significativos que a elaboração de um RIPDP pode trazer para os negócios, incluindo a confiança dos clientes, a redução de riscos legais e a diferenciação no mercado cada vez mais preocupado com a privacidade dos dados.
Aqui citamos diversos motivos e benefícios para se criar esta documentação mesmo sem exigência por parte da ANPD:
→ Motivos:
- Avaliar o impacto do tratamento de dados
- Obrigatório quando o tratamento for baseado no interesse legítimo ou resultar em risco elevado para os titulares
- Mesmo sem ser obrigatório, é uma boa prática de gestão de riscos.
- Visto com bons olhos por parceiros comerciais e possíveis investidores
- Necessário para efetuar a transferência internacional de dados pessoais, uma vez que, devido à demora e incerteza jurídica sobre a LGPD e a ANPD, a posição do Brasil no ambiente internacional de proteção de dados ainda não é consolidada. Muitas Autoridades Nacionais de Proteção de Dados de países recipientes de dados brasileiros podem exigir um RIPDP para permitir a transferência.
→ Benefícios do RIPDP:
- Demonstra proatividade na conformidade com a LGPD
- Apoia o funcionamento do Sistema de Gestão de Segurança da Informação (SGSI)
- Melhor compreensão dos riscos relacionados à proteção de dados pessoais e adoção de medidas para tratamento destes riscos
- Permite entender se os benefícios deste tratamento superam os riscos de proteção dos dados pessoais
- Ajuda a criar uma declaração informada sobre os riscos para qualquer parte envolvida no tratamento de dados pessoais (Titular, Controlador conjunto, ANPD)
- Identificação de oportunidades para incluir Proteção de Dados por Padrão e por Design nos projetos da organização
- Evitar violações de dados, vazamentos em massa, multas, sanções, danos à imagem e reputação da organização.
Fortalecimento da confiança dos clientes
A preocupação com a privacidade dos dados está em ascensão, e os consumidores esperam que as empresas sejam transparentes e responsáveis na gestão de suas informações pessoais. A elaboração do RIPD demonstra o compromisso da empresa em proteger os dados dos clientes, o que fortalece a confiança e a lealdade, além de gerar uma vantagem competitiva.
Mitigação de riscos e impactos
Ao identificar os riscos associados ao tratamento de dados pessoais, o RIPD permite que a empresa adote medidas adequadas para mitigar esses riscos e reduzir potenciais impactos negativos. Isso inclui a implementação de salvaguardas técnicas e organizacionais, políticas internas de privacidade, treinamento de funcionários e ações corretivas, garantindo a conformidade com as regulamentações e minimizando riscos de vazamento ou violação de dados.
Como o BL Consultoria Digital auxilia na elaboração do Relatório de Impacto à Proteção de Dados Pessoais
Na busca por uma abordagem abrangente e eficaz em relação à proteção de dados pessoais, contar com um parceiro especializado é essencial. O BL Consultoria Digital é um escritório jurídico especializado em proteção de dados, com conhecimento e experiência necessários para auxiliar sua empresa na elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPDP). Nossa atuação visa garantir que o RIPDP seja elaborado de forma completa, precisa e em conformidade com os requisitos legais estabelecidos pela LGPD.
Com base na análise detalhada das atividades de tratamento de dados de sua empresa, identificaremos os riscos e impactos associados, elaborando um RIPDP personalizado que atenda às necessidades específicas de sua organização. Além disso, estaremos disponíveis para orientar e auxiliar durante todo o processo, assegurando que todas as etapas sejam executadas de maneira adequada e eficiente. Com o apoio do BL Consultoria Digital, você terá a confiança de que seu RIPDP está sendo elaborado por uma equipe qualificada, oferecendo maior proteção aos dados pessoais de seus clientes e reforçando a conformidade com as normas de privacidade estabelecidas pela LGPD.
Conheça nossa abordagem especializada!
Avaliação das atividades de tratamento de dados
O BL Consultoria Digital realizará uma avaliação minuciosa das atividades de tratamento de dados de sua empresa. Nossa equipe analisará todos os processos de coleta, armazenamento, uso e compartilhamento de dados pessoais, identificando possíveis riscos e vulnerabilidades que possam afetar a privacidade dos indivíduos.
Identificação e análise de riscos
Com base na avaliação das atividades de tratamento de dados, o BL Consultoria Digital identificará os riscos específicos relacionados à proteção de dados pessoais em sua empresa. Realizaremos uma análise aprofundada desses riscos, considerando seu impacto potencial, a probabilidade de ocorrência e a gravidade das consequências. Esse processo nos permitirá desenvolver estratégias eficazes para mitigar os riscos e proteger os dados pessoais de forma adequada.
Aqui apresentamos um breve questionário sobre a necessidade de desenvolver um RIPDP. Caso a resposta para QUALQUER uma destas questões seja sim, é recomendável desenvolver o RIPDP.
| Será realizado o tratamento de qualquer tipo de Dados Pessoais em larga escala? |
| Será realizado o tratamento de dados pessoais sensíveis dos titulares, incluindo informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural? |
| Será realizado o tratamento Dados pessoais sobre indivíduos vulneráveis? |
| Será realizado o monitoramento sistemático de titulares de dados pessoais? |
| O projeto incluirá a avaliação (Perfilização) ou pontuação (Scoring) dos titulares de dados pessoais? |
| Conjuntos de dados pessoais serão combinados ou enriquecidos? |
| Existe possibilidade de que o tratamento de dados pessoais pretendido impeça que titulares exerçam um direito ou usem um serviço ou contrato? |
| Existirá transferência de dados pessoais para fora do território nacional brasileiro? |
| Durante o tratamento Dados pessoais serão empregadas soluções tecnológicas ou organizacionais inovadoras? |
| O projeto incluirá o uso de Dados Pessoais para tomada de decisão automatizada com efeito legal ou significativamente similar? |
Elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPDP)
Com base na avaliação e análise realizadas, o BL Consultoria Digital elaborará o Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) personalizado para sua empresa. Esse documento abrangerá todas as informações relevantes sobre as atividades de tratamento de dados, os riscos identificados e as medidas adotadas para mitigá-los. O RIPDP será elaborado de acordo com as diretrizes estabelecidas pela LGPD, garantindo a conformidade legal e a transparência na gestão de dados pessoais. Além disso, estaremos disponíveis para fornecer suporte contínuo na implementação das medidas recomendadas pelo RIPDP, visando aprimorar a proteção de dados e fortalecer a conformidade com a LGPD.
Treinamento e conscientização
O BL Consultoria Digital oferecerá treinamentos especializados e programas de conscientização para sua equipe, com o objetivo de garantir que todos os colaboradores compreendam a importância da proteção de dados pessoais e estejam cientes das melhores práticas a serem seguidas. Nossos especialistas fornecerão orientações claras sobre as políticas e procedimentos estabelecidos no RIPDP, capacitando sua equipe para lidar adequadamente com os dados pessoais e reduzindo o risco de incidentes de segurança ou violações de privacidade.
Revisão e atualização contínuas
O BL Consultoria Digital estará sempre à disposição para revisar e atualizar o RIPDP de acordo com as mudanças na legislação, regulamentos ou nas atividades de tratamento de dados da sua empresa. Entendemos que a proteção de dados é um processo contínuo e dinâmico, e estaremos atentos às novas exigências e desafios que possam surgir. Nossa equipe garantirá que o RIPDP esteja sempre alinhado com as melhores práticas e os padrões mais recentes de proteção de dados, fornecendo tranquilidade e confiança à sua empresa e aos seus clientes.
Quem participa da criação do RIPDP – Relatório de Impacto à Proteção de Dados Pessoais?
O processo de criação do RIPDP consiste basicamente na compilação de todas as informações relevantes em uma documentação que possa ser analisada como um todo. Deste modo, é necessário que todas as fontes de informações relevantes em sua empresa participem do desenvolvimento desta documentação.
Claro que nem todos terão as mesmas responsabilidades e funções para a criação do documento, mas é importante deixar claro que todos os setores da empresa e até mesmo parceiros externos que sejam operadores de dados estejam dispostos e disponíveis para prestar as informações necessárias.
Como vimos acima, no artigo 10º da LGPD está disposto que a ANPD solicitará o RIPDP ao Controlador de Dados Pessoais. Porém, considerando que a lei define em seu artigo 41 que é responsabilidade do Encarregado de Proteção de Dados receber as comunicações da ANPD e tomar as providências necessárias, podemos afirmar que o Encarregado recebe o pedido de formulação do RIPDP da Autoridade, e deve então, em conjunto com o Controlador, orientar os funcionários e contratados da entidade sobre o tratamento de dados.
O Encarregado serve como guia para a elaboração do relatório, garantindo que ele esteja de acordo com as exigências da ANPD. Ele não formulará o Relatório sozinho, sendo necessária a cooperação de toda a entidade, especialmente do Controlador de Dados Pessoais.
O DPIA é um esforço de equipe. Eis alguns dos atores que podem ser necessários para sua correta formulação:
Encarregado
Proprietário do processo
Gestão de riscos e compliance
Tecnologia da Informação
Segurança da Informação
Desenvolvimento de Software
Jurídico
Stakeholders/ C-Level (nível executivo, especialmente para aprovação)
Se as decisões sobre o tratamento competem ao controlador, é ele quem cria o risco ao titular, e por isso a elaboração do Relatório é de sua responsabilidade. Porém na prática, o Encarregado tem como função centralizar solicitações e adotar providências necessárias entre o controlador e a ANPD. Assim, o Encarregado deve direcionais quais as informações devem existir no RIPDP e requisitar às áreas e atores necessários as informações que julgar úteis.
Não há transferência de responsabilidade entre o operador e o controlador. O controlador não pode delegar a elaboração do RIPDP para o operador. O RIPDP é um documento exclusivamente do controlador, e a função do operador neste momento é somente de cooperar com as informações necessárias requisitadas pelo Encarregado em nome do Controlador.
O que é e como calcular o risco em tratamento de dados pessoais?
É possível resumir o RIPDP como uma documentação de identificação e prevenção de riscos. O risco é um fator essencial do Relatório, sendo a base para a sua criação o nível de risco que o tratamento de dados pessoais oferece aos direitos e liberdades do titular. Assim, é relevante entendermos melhor o que consiste de risco.
Segundo a ISO 31000 e a ISO 27000 “o risco é o efeito da incerteza nos objetivos”. É uma combinação das consequências de um evento (incluindo mudanças nas circunstâncias) e a “probabilidade” associada de ocorrência.
RIPDP: Risco = probabilidade X impacto
O que são situações de alto risco à garantia dos princípios gerais de proteção de dados pessoais? Seguindo o GDPR, é quando o tratamento de dados pode gerar qualquer dano físico, material ou imaterial significativo aos titulares.
Os riscos são tratados através de controles, que são medidas usadas para diminuir os níveis de risco ou transferir o risco. Parte do RIPDP consiste da criação de matrizes de risco que permitam a análise dos riscos existentes, qual o nível de risco aceitável (apetite de risco) para a empresa e qual medida pode tomar. A empresa pode decidir:
Reduzir: aplicação de um controle para que o risco seja reavaliado como aceitável
Evitar: deixar de executar a atividade de risco
Transferir: realizar a transferência do risco para outra entidade
Aceitar: aceitar o risco como está
Passo a passo: Como fazer um Relatório de Impacto à Proteção de Dados Pessoais
Passo 1: Identifique as atividades de tratamento de dados pessoais em sua empresa
Liste todas as atividades que envolvem o processamento de dados pessoais, desde a coleta até o armazenamento e compartilhamento. Isso inclui dados de clientes, funcionários e quaisquer outras informações pessoais que sua empresa lide.
Nesta etapa é importante explicar como os dados são coletados, usados, armazenados e excluídos, respondendo e documentando:
Qual a natureza dos dados
Existe tratamento de dados pessoais sensíveis?
Qual o volume de dados pessoais coletados e usados?
Qual a frequência de coleta de dados pessoais?
Por quanto tempo os dados pessoais serão mantidos?
Quantos titulares são afetados?
Qual a área geográfica abrangida no tratamento?
Detalhar as fontes de dados
Informar se há compartilhamento com terceiros
Informar se existem tratamentos de dados pessoais identificados como de alto risco provável
Fluxograma de dados
Ao longo da etapa, descrevemos:
Qual a natureza do relacionamento da organização com os titulares?
Qual o nível de controle dado aos titulares?
Os titulares esperariam que a organização usasse os dados desta maneira?
Dentre os titulares existem crianças ou outros grupos vulneráveis?
Existem preocupações anteriores ou falhas de segurança neste tipo de tratamento?
O tratamento realizado nos dados pessoais é considerado inovador?
Qual o estado atual da tecnologia nesta área?
Existem questões atuais de interesse público que precisam ser consideradas?
Sua organização possui um código de conduta, política de privacidade ou certificação relevante?
Descrevemos também o propósito do tratamento:
O que sua organização deseja alcançar com o tratamento?
Qual é o efeito pretendido sobre os titulares?
Quais são os benefícios do tratamento para a sua organização, para o público em geral e para os titulares?
Passo 2: Realize uma análise de riscos
Avalie os riscos associados a cada atividade de tratamento de dados. Identifique as possíveis vulnerabilidades, ameaças e impactos que podem ocorrer em relação à privacidade dos dados pessoais.
Nesta etapa, é importante descrever e documentar as fontes de risco, probabilidade e a natureza do impacto potencial nos indivíduos, incluindo riscos corporativos ou de conformidade.
Ao fim desta etapa, devem estar mapeadas:
Fonte de risco
Nivel de probabilidade
Nivel de impacto
Nível de risco
Conhecendo os riscos, suas fontes e níveis de impacto, é possível identificar que medidas serão adotadas para tratar riscos inaceitáveis. Sua empresa precisa decidir quais os níveis de risco serão aceitáveis, o que depende também do tipo de dado coletado e das consequências de vazamentos e incidentes.
Recomendado descrever, no mínimo:
Risco
Opções de tratamento de risco
Efeito do tratamento no risco
Risco residual
Aprovação da opção de tratamento de risco
Passo 3: Avalie a necessidade do RIPDP
Verifique se as atividades de tratamento de dados apresentam riscos significativos à privacidade. Caso positivo, é importante elaborar um RIPDP. Isso pode incluir atividades como processamento de dados sensíveis, transferência internacional de dados ou uso de tecnologias avançadas.
Passo 4: Desenvolva o RIPDP
O relatório deve conter informações detalhadas sobre as atividades de tratamento de dados, riscos identificados, medidas de segurança implementadas, impactos potenciais e medidas de mitigação. Certifique-se de incluir também os fundamentos legais para o processamento de dados pessoais.
Conhecendo o tratamento de dados pessoais de que se trata o RIPDP, podemos avaliar como ele se enquadra nos princípios da LGPD por meio das questões:
→ Qual é a base legal do tratamento?
→ O tratamento alcança o objetivo?
→ Existe outra maneira de atingir este objetivo?
→ Como a organização segrega funções conflitantes?
→ Como será garantida qualidade e minimização dos dados?
→ Que informações serão disponibilizadas aos titulares?
→ Como sua organização apoiará os direitos dos titulares?
→ Que medidas são tomadas para garantir a conformidade dos operadores envolvidos?
→ Como sua organização protege dados pessoais durante transferências internacionais?
Passo 5: Realize consultas internas e externas
É importante envolver as partes interessadas relevantes, como departamentos internos, especialistas em proteção de dados e, quando aplicável, os titulares dos dados. Essas consultas podem fornecer insights valiosos e garantir que todas as perspectivas sejam consideradas.
Neste momento você deve descrever quando e como sua organização buscou as opiniões dos titulares, quem mais na sua organização precisa se envolver no processo de criação do RIPDP e com quais informações, bem como registrar ajuda e informações de operadores e terceiros, especialistas em segurança na informação ou outras áreas.
Passo 6: Atualize e revise periodicamente
O RIPDP deve ser um documento dinâmico, que acompanhe as mudanças em sua empresa e na legislação de proteção de dados. Realize atualizações regulares e revise o relatório sempre que ocorrerem mudanças significativas nas atividades de tratamento de dados.
Fonte: Cláudio Dodt. Curso LGPD: Relatório de Impacto à Proteção de Dados Pessoais. Udemy
Este artigo “Série LGPD na Prática: Adequação de Contratos“ foi escrito Por Rodrigo Glasmeyer e MSc. Graziela Brandão . Conheça o BL Consultoria Digital, acesse aqui!
