Série LGPD na Prática: O que é e como fazer um RIPDP – Relatório de Impacto à Proteção de Dados Pessoais?

Compartilhe!

Com a Lei Geral de Proteção de Dados finalmente em vigor, além da adequação e implementação da lei, as empresas e organizações precisam estar preparadas para efetuar os procedimentos e práticas dispostas na lei. Um dos principais procedimentos criados pela LGPD é o Relatório de Impacto à Proteção de Dados Pessoais (RIPDP), que serve como uma documentação de análise de risco necessária quando se deseja tratar certos tipos de dados que possam afetar os direitos e liberdades dos titulares de dados.

RIPDP - Relatório de Impacto à Proteção de Dados Pessoais

Este é o sétimo texto da Série LGPD na Prática, que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados. 

Neste texto você compreenderá o que é o Relatório de Impacto à Proteção de Dados Pessoais, quando ele deve ser feito e como, bem como a responsabilidade das partes que participam de sua criação e a elucidação de alguns termos e conceitos técnicos importantes.

Você pode encontrar aqui os 6 primeiros textos da nossa Série LGPD na Prática:

O que é um Relatório de Impacto à Proteção de Dados Pessoais (RIPDP)?

A principal função da Lei Geral de Proteção de Dados (LGPD) é garantir que o tratamento de dados pessoais, seja ele no contexto e com a base legal que for, não cause riscos e danos aos direitos e às liberdades individuais do titular de dados. Muitas vezes nos esquecemos, mas os dados pessoais não são deslocados do mundo real, e muitas vezes seu tratamento tem consequências e interferências diretas na vida das pessoas reais que são os titulares de dados. Neste sentido, a lei cria a figura do Relatório de Impacto à Proteção de Dados Pessoais.

O Relatório de Impacto à Proteção de Dados Pessoais é fortemente baseado na figura do Data Protection Impact Assessment (DPIA) instituido pelo GDPR (legislação de proteção de dados da União Europeia). Ambos os instrumentos consistem de uma ferramenta de gestão de riscos para evitar que ocorram violações de dados pessoais, especialmente de dados pessoais cujo impacto possa interferir nos direitos e liberdades do titular. 

Assim, ao tratar certos tipos de dados ou efetuar determinados tipos de tratamento ou compartilhamento de dados, é necessário maior cuidado para que este tratamento não afete os direitos dos titulares. O titular de dados pessoais é o centro da LGPD, e assim também é o centro do RIPDP. Enquanto existem diversos procedimentos e práticas que podem (e devem) ser colocados em prática para proteger a estrutura, os ativos, o patrimônio ou o modelo de negócio de uma empresa, o RIPDP tem como objetivo proteger o titular de dados. 

RIPDP

Segundo a LGPD, o RIPDP consiste de:

XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; 

Esta documentação ajuda a empresa a reconhecer e identificar os riscos presentes em suas práticas de tratamento de dados, bem como identificar se as medidas e procedimentos de segurança implementados estão à altura dos riscos encontrados. 

Do mesmo modo, o RIPDP serve para demonstrar à Autoridade Nacional de Proteção de Dados (ANPD), aos clientes, fornecedores, parceiros comerciais, investidores ou autoridades de proteção de dados de países estrangeiros com os quais se deseje transferir os dados que a empresa está efetivamente mantendo os dados pessoais seguros. 

Algumas das questões que o RIPDP pretende responder são:

  • O titular concorda com o tratamento?
  • O tratamento é do interesse do titular?
  • Existem riscos à segurança da informação dos dados tratados?
  • O controlador está efetivamente respeitando os direitos do titular?
  • O titular está ciente dos riscos do tratamento?

Ao responder estes questionamentos, o Relatório irá:

  • Descrever o tratamento de dados pessoais
  • Avaliar a necessidade e proporcionalidade do tratamento
  • Ajudar a identificar os riscos para os direitos dos titulares
  • Determinar medidas necessárias para tratamento de riscos para os direitos dos titulares

Quando e por que devo fazer um RIPDP?

RIPDP LGPD

A Lei Geral de Proteção de Dados apresenta algumas situações na qual é necessária a formulação de um Relatório de Impacto à Proteção de Dados:

Art. 10, II, ª§3º 

§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

De acordo com esta disposição legal, toda vez que o tratamento de dados pessoais tiver como base legal somente o interesse legítimo do controlador, sem partir de consentimento, cumprimento de contrato, entre outras bases legais, é necessário efetuar o RIPDP. 

Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público. 

A Lei Geral de Proteção de Dados tem escopo que alcança também os agentes do Poder Público, que também estão sujeitos ao pedido de RIPDP. 

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. 

Por fim, o artigo 38 da LGPD dispõe que é competência e discricionariedade da ANPD exigir que as empresas e organizações produzam um Relatório de Impacto à Proteção de Dados Pessoais. 

Mas então, se a exigência legal pelo RIPDP só pode vir da ANPD, que ainda não está devidamente estruturada e ativa, há necessidade de pensar neste Relatório?

Existem diversos motivos para pensar em um Relatório de Impacto à Proteção de Dados Pessoais antes mesmo de este ser exigido pela ANPD, em especial considerando que a LGPD é uma lei que valoriza muito a proatividade e a prevenção de riscos por parte das empresas. Como já vimos em outros textos desta série, para as leis de proteção de dados mais grave do que sofrer vazamentos e incidentes de segurança com dados pessoais é não efetuar as medidas possíveis de prevenção e de segurança. Assim, ao criar um RIPDP de modo autônomo, a empresa demonstra seu cuidado e proatividade com a segurança de seus tratamentos de dados. 

Aqui citamos diversos motivos e benefícios para se criar esta documentação mesmo sem exigência por parte da ANPD:

→ Motivos:

  1. Avaliar o impacto do tratamento de dados
  2. Obrigatório quando o tratamento for baseado no interesse legítimo ou resultar em risco elevado para os titulares
  3. Mesmo sem ser obrigatório, é uma boa prática de gestão de riscos.
  4. Visto com bons olhos por parceiros comerciais e possíveis investidores
  5. Necessário para efetuar a transferência internacional de dados pessoais, uma vez que, devido à demora e incerteza jurídica sobre a LGPD e a ANPD, a posição do Brasil no ambiente internacional de proteção de dados ainda não é consolidada. Muitas Autoridades Nacionais de Proteção de Dados de países recipientes de dados brasileiros podem exigir um RIPDP para permitir a transferência. 

Benefícios do RIPDP:

  1. Demonstra proatividade na conformidade com a LGPD
  2. Apoia o funcionamento do Sistema de Gestão de Segurança da Informação  (SGSI)
  3. Melhor compreensão dos riscos relacionados à proteção de dados pessoais e adoção de medidas para tratamento destes riscos
  4. Permite entender se os benefícios deste tratamento superam os riscos de proteção dos dados pessoais
  5. Ajuda a criar uma declaração informada sobre os riscos para qualquer parte envolvida no tratamento de dados pessoais (Titular, Controlador conjunto, ANPD)
  6. Identificação de oportunidades para incluir Proteção de Dados por Padrão e por Design nos projetos da organização
  7. Evitar violações de dados, vazamentos em massa, multas, sanções, danos à imagem e reputação da organização. 

Além dos instrumentos e publicações da ANPD sobre a matéria, que aguardamos publicação, podemos nos basear no GDPR para ver situações concretas em que o DPIA é necessário na Europa. Segundo o ICO (Information Comissioner’s Office), Autoridade de Proteção de Dados do Reino Unido, estas são algumas das situações em que se faz necessário o RIPDP:

  • Uso de dados pessoais para tomada de decisão automatizada com efeito legal
  • Avaliação ou pontuação dos titulares de dados pessoais
  • Monitoramento sistemático de titulares de dados pessoais
  • Tratamento de dados pessoais sensíveis
  • Dados pessoais tratados em larga escala
  • Conjuntos de dados pessoais que foram combinados ou enriquecidos
  • Dados pessoais sobre indivíduos vulneráveis
  • Transferência de dados pessoais para fora do território nacional
  • Quando o tratamento de dados impede que titulares exerçam um direito ou usem serviços ou contratos
  • Uso de soluções tecnológicas ou organizacionais inovadoras para tratamento dos dados pessoais

Aqui apresentamos um breve questionário sobre a necessidade de desenvolver um RIPDP. Caso a resposta para QUALQUER uma destas questões seja sim, é recomendável desenvolver o RIPDP.

Será realizado o tratamento de qualquer tipo de Dados Pessoais em larga escala?
Será realizado o tratamento de dados pessoais sensíveis dos titulares, incluindo informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural?
Será realizado o tratamento Dados pessoais sobre indivíduos vulneráveis?
Será realizado o monitoramento sistemático de titulares de dados pessoais?
O projeto incluirá a avaliação (Perfilização) ou pontuação (Scoring) dos titulares de dados pessoais?
Conjuntos de dados pessoais serão combinados ou enriquecidos?
Existe possibilidade de que o tratamento de dados pessoais pretendido impeça que titulares exerçam um direito ou usem um serviço ou contrato?
Existirá transferência de dados pessoais para fora do território nacional brasileiro?
Durante o tratamento Dados pessoais serão empregadas soluções tecnológicas ou organizacionais inovadoras?
O projeto incluirá o uso de Dados Pessoais para tomada de decisão automatizada com efeito legal ou significativamente similar?

Quem participa da criação do RIPDP?

RIPDP LGPD

O processo de criação do RIPDP consiste basicamente na compilação de todas as informações relevantes em uma documentação que possa ser analisada como um todo. Deste modo, é necessário que todas as fontes de informações relevantes em sua empresa participem do desenvolvimento desta documentação. 

Claro que nem todos terão as mesmas responsabilidades e funções para a criação do documento, mas é importante deixar claro que todos os setores da empresa e até mesmo parceiros externos que sejam operadores de dados estejam dispostos e disponíveis para prestar as informações necessárias. 

Como vimos acima, no artigo 10º da LGPD está disposto que a ANPD solicitará o RIPDP ao Controlador de Dados Pessoais. Porém, considerando que a lei define em seu artigo 41 que é responsabilidade do Encarregado de Proteção de Dados receber as comunicações da ANPD e tomar as providências necessárias, podemos afirmar que o Encarregado recebe o pedido de formulação do RIPDP da Autoridade, e deve então, em conjunto com o Controlador, orientar os funcionários e contratados da entidade sobre o tratamento de dados. 

O Encarregado serve como guia para a elaboração do relatório, garantindo que ele esteja de acordo com as exigências da ANPD. Ele não formulará o Relatório sozinho, sendo necessária a cooperação de toda a entidade, especialmente do Controlador de Dados Pessoais. 

O DPIA é um esforço de equipe. Eis alguns dos atores que podem ser necessários para sua correta formulação:

  • Encarregado
  • Proprietário do processo
  • Gestão de riscos e compliance
  • Tecnologia da Informação
  • Segurança da Informação
  • Desenvolvimento de Software
  • Jurídico
  • Stakeholders/ C-Level (nível executivo, especialmente para aprovação)

Se as decisões sobre o tratamento competem ao controlador, é ele quem cria o risco ao titular, e por isso a elaboração do Relatório é de sua responsabilidade. Porém na prática, o Encarregado tem como função centralizar solicitações e adotar providências necessárias entre o controlador e a ANPD. Assim, o Encarregado deve direcionais quais as informações devem existir no RIPDP e requisitar às áreas e atores necessários as informações que julgar úteis. 

Não há transferência de responsabilidade entre o operador e o controlador. O controlador não pode delegar a elaboração do RIPDP para o operador. O RIPDP é um documento exclusivamente do controlador, e a função do operador neste momento é somente de cooperar com as informações necessárias requisitadas pelo Encarregado em nome do Controlador. 

O que é e como calcular o risco em tratamento de dados pessoais?

RIPDP LGPD 2

É possível resumir o RIPDP como uma documentação de identificação e prevenção de riscos. O risco é um fator essencial do Relatório, sendo a base para a sua criação o nível de risco que o tratamento de dados pessoais oferece aos direitos e liberdades do titular. Assim, é relevante entendermos melhor o que consiste de risco.

Segundo a ISO 31000 e a ISO 27000 “o risco é o efeito da incerteza nos objetivos”. É uma combinação das consequências de um evento (incluindo mudanças nas circunstâncias) e a “probabilidade” associada de ocorrência. 

RIPDP: Risco = probabilidade X impacto

O que são situações de alto risco à garantia dos princípios gerais de proteção de dados pessoais? Seguindo o GDPR, é quando o tratamento de dados pode gerar qualquer dano físico, material ou imaterial significativo aos titulares. 

Os riscos são tratados através de controles, que são medidas usadas para diminuir os níveis de risco ou transferir o risco. Parte do RIPDP consiste da criação de matrizes de risco que permitam a análise dos riscos existentes, qual o nível de risco aceitável (apetite de risco) para a empresa e qual medida pode tomar. A empresa pode decidir:

  1. Reduzir: aplicação de um controle para que o risco seja reavaliado como aceitável
  2. Evitar: deixar de executar a atividade de risco
  3. Transferir: realizar a transferência do risco para outra entidade
  4. Aceitar: aceitar o risco como está

Como fazer um Relatório de Impacto à Proteção de Dados Pessoais

Como vamos construir um DPIA sem a orientação da ANPD? Adotamos a metodologia do Information Commissioner’s Office (ICO). Enquanto não temos decisão da ANPD, podemos nos basear nas melhores práticas internacionais para construir o Relatório de Impacto à Proteção de Dados Pessoais. 

1ª etapa: identificar a necessidade de um RIPDP

O início do RIPDP consiste da identificação da necessidade do Relatório. A empresa pode analisar todos os seus processos e tratamentos de dados pessoais frente ao questionário apresentado acima, demarcando a necessidade de construir o Relatório nos processos em que houver uma ou mais respostas positivas. 

Cria-se um documento onde se explica o que o projeto pretende alcançar e que tipo de tratamento de dados está envolvido, bem como previsões iniciais. Pode ser útil consultar ou vincular outros documentos da empresa, como relatórios anteriores, políticas de privacidade e tratamento de dados e procedimentos internos que vão dar o contexto do tratamento de dados na empresa. Esta etapa deve resumir por que foi identificada a necessidade de um RIPDP.

2ª etapa: descrever o tratamento de dados pessoais

Na segunda etapa é importante explicar como os dados são coletados, usados, armazenados e excluídos, respondendo e documentando:

  • Qual a natureza dos dados
  • Existe tratamento de dados pessoais sensíveis?
  • Qual o volume de dados pessoais coletados e usados?
  • Qual a frequência de coleta de dados pessoais?
  • Por quanto tempo os dados pessoais serão mantidos?
  • Quantos titulares são afetados?
  • Qual a área geográfica abrangida no tratamento?
  • Detalhar as fontes de dados
  • Informar se há compartilhamento com terceiros
  • Informar se existem tratamentos de dados pessoais identificados como de alto risco provável
  • Fluxograma de dados

Ao longo da etapa, descrevemos:

  • Qual a natureza do relacionamento da organização com os titulares?
  • Qual o nível de controle dado aos titulares?
  • Os titulares esperariam que a organização usasse os dados desta maneira?
  • Dentre os titulares existem crianças ou outros grupos vulneráveis?
  • Existem preocupações anteriores ou falhas de segurança neste tipo de tratamento?
  • O tratamento realizado nos dados pessoais é considerado inovador?
  • Qual o estado atual da tecnologia nesta área?
  • Existem questões atuais de interesse público que precisam ser consideradas?
  • Sua organização possui um código de conduta, política de privacidade ou certificação relevante?

Descrevemos também o propósito do tratamento:

  • O que sua organização deseja alcançar com o tratamento?
  • Qual é o efeito pretendido sobre os titulares?
  • Quais são os benefícios do tratamento para a sua organização, para o público em geral e para os titulares?

3ª etapa: realizar processo de consulta

O processo de consulta consiste de buscar informações sobre os procedimentos de tratamento de dados não somente com os membros e áreas de sua organização, mas também com os operadores de dados externos e possivelmente com especialistas externos ou com os próprios titulares.

Neste momento você deve descrever quando e como sua organização buscou as opiniões dos titulares, quem mais na sua organização precisa se envolver no processo de criação do RIPDP e com quais informações, bem como registrar ajuda e informações de operadores e terceiros, especialistas em segurança na informação ou outras áreas.

4ª etapa: avaliar necessidade e proporcionalidade

Conhecendo o tratamento de dados pessoais de que se trata o RIPDP, podemos avaliar como ele se enquadra nos princípios da LGPD por meio das questões:

→ Qual é a base legal do tratamento?

→ O tratamento alcança o objetivo?

→ Existe outra maneira de atingir este objetivo?

→ Como a organização segrega funções conflitantes?

→ Como será garantida qualidade e minimização dos dados?

→ Que informações serão disponibilizadas aos titulares?

→ Como sua organização apoiará os direitos dos titulares?

→ Que medidas são tomadas para garantir a conformidade dos operadores envolvidos?

→ Como sua organização protege dados pessoais durante transferências internacionais?

5ª etapa: identificar e avaliar riscos

Nesta etapa, é importante descrever e documentar as fontes de risco, probabilidade e a natureza do impacto potencial nos indivíduos, incluindo riscos corporativos ou de conformidade. 

Ao fim desta etapa, devem estar mapeadas:

  • Fonte de risco
  • Nivel de probabilidade
  • Nivel de impacto
  • Nivel de risco

6ª etapa: identificar medidas para tratar o risco

Conhecendo os riscos, suas fontes e níveis de impacto, é possível identificar que medidas serão adotadas para tratar riscos inaceitáveis. Sua empresa precisa decidir quais os níveis de risco serão aceitáveis, o que depende também do tipo de dado coletado e das consequências de vazamentos e incidentes. 

→ Recomendado descrever, no mínimo:

  • Risco
  • Opções de tratamento de risco
  • Efeito do tratamento no risco
  • Risco residual
  • Aprovação da opção de tratamento de risco

7ª etapa: assinar e registrar resultados

É nesta etapa em que ocorre a conclusão do Relatório de Impacto à Proteção de Dados Pessoais. O Relatório final deve conter o resumo dos pareceres do Encarregado e demais especialistas, as assinaturas dos Responsáveis pela Elaboração do Relatório de Impacto à Proteção de Dados Pessoais: Encarregado (DPO), Diretoria da Organização, demais participantes. 

Um resumo do que deve constar formalmente na documentação que envolve o Relatório:

  • Formatação e identidade visual
  • Capa
  • Sumário
  • Introdução
  • Sumário do projeto
  • Questionário de validação do RIPDP
  • Relatório de Impacto à Proteção de Dados Pessoais (RIPDP)

Ao registrar os resultados, lembrar sempre de seguir:

→ Linguagem formal

→ Ser pragmático, direto ao ponto

→ Específico

→ Linguagem clara

→ Limitar jargão

→ Conformidade legal

Fonte: Cláudio Dodt. Curso LGPD: Relatório de Impacto à Proteção de Dados Pessoais. Udemy

Time BL Consultoria Digital – Direito Digital e Análise Regulatória

Este artigo “Série LGPD na Prática: Adequação de Contratos foi escrito Por Rodrigo Glasmeyer e MSc. Graziela Brandão . Conheça o BL Consultoria Digital, acesse aqui!

Para Assessoria Jurídica e implementação do projeto de adequação às leis de Proteção de Dados (LGPD, GDPR e CCPA) contate agora os nossos Advogados

Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (LGPDGDPR & CCPA),  Aspectos Regulatórios e Compliance Digital de novas tecnologias e Due Diligence para Startup, Fintech e HealthTech, entre em contato pelo e-mail contato@blconsultoriadigital.com.br  ou fale com um Advogado online agora.

Conheça nossos Serviços em Privacidade e Proteção de Dados e Compliance Digital:

  • Assessoria para Mapeamento de Dados (Data Mapping)
  • Assessoria para Mapeamento de Legislação Setorial
  • Análise Regulatória da Coleta de Dados
  • Revisão e Elaboração de Políticas de Privacidade
  • Assessoria de Implementação de Garantia e Direitos de Usuários
  • Revisão e Adequação de Contratos
  • Manual de Procedimentos de Privacidade e Proteção de Dados
  • Assessoria jurídica para realização de transferência internacional de dados
  • Política de Segurança da Informação (PSI)
  • Plano de Respostas a Incidentes
  • Relatório de Impacto a Proteção de Dados (DPIA – Data Protection Impact Assessment)

BL Consultoria e Advocacia Digital

Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue  +55 11 3090 5979.


Compartilhe!