A partir de consultas que foram formuladas à ANPD, assim como, ao elencar possíveis dúvidas que possam surgir aos agentes de tratamento e titulares de dados pessoais, a ANPD elaborou perguntas básicas com as respectivas respostadas sobre os conceitos, constituição, elaboração, critérios, requisitos, implementação, registro e aplicação do RIPD.
Desde 6/4/23, é possível acessar no website da ANPD esclarecimentos sobre o RIPD, para melhor compreensão do relatório e sanar possíveis dúvidas.
As considerações são preliminares sobre o tema, que ainda está em processo de regulamentação, e buscam orientar melhor os controladores de dados pessoais e agentes de tratamento, para que possam agir em conformidade com a LGPD e normas regulamentadoras da ANPD.
A formalização do RIPD é de responsabilidade da empresa controladora dos dados pessoais, e de acordo com a definição da ANPD tem como finalidade descrever os processos de tratamento de dados com alto risco à garantia dos princípios gerais de proteção, das liberdades civis e dos direitos fundamentais dos titulares de dados, que estão previstos na LGPD. Além disso, o relatório também deve incluir medidas de proteção e mecanismos com o intuito de diminuir os riscos aos direitos dos titulares.
A LGPD listou algumas situações específicas em que o RIPD poderá ser exigido pela ANPD, tais como:
- Nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
- Quando o tratamento tiver como fundamento a hipótese de legítimo interesse;
- Para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD; e
- Para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis.
A elaboração do RIPD deve ocorrer no início do tratamento de dados pessoais, após a avalição dos possíveis riscos que possam se enquadrar nas situações específicas já previstas na LGPD. No caso dos dados em tratamento, deverá ser elaborado RIPD assim que identificado que uma das vertentes do tratamento possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais, às liberdades civis e aos direitos fundamentais dos titulares em questão.
De acordo com a ANDP, a gestão dos riscos é um processo sistemático que determina a aplicação do controle diante do perfil de riscos. A identificação e análise desses fatores devem ser documentadas e justificadas, para que possam demonstrar que as decisões tomadas foram as mais adequadas, com base nas informações disponíveis. Nesse sentido, cabe ao controlador identificar o maior número possível de fatores, principalmente os mais relevantes, que possam afetar à proteção os dados pessoais que serão tratados, além de estimar a probabilidade de materialização do risco e o impacto inerente.
Esse impacto dependerá dos danos que podem ser causados aos titulares, em particular no âmbito dos seus direitos e liberdades, tais como perda de confidencialidade, integridade ou disponibilidade de dados, reversão da anonimização, uso de dados para fins incompatíveis, ou qualquer forma de tratamento inadequado ou ilícito. São os requisitos mínimos para sua elaboração:
- Descrição dos tipos de dados pessoais coletados ou tratados;
- Metodologia usada para o tratamento e para a garantia da segurança das informações; e
- Análise do controlador com relação a medidas, salvaguardas e mecanismos adotados para mitigação de riscos.
No tratamento de dados em geral, quando verificado que as operações de tratamento podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais da LGPD, deve-se adotar como parâmetro a definição de “alto risco” prevista no art. 4º da resolução 2/22 da ANPD, que trata da aplicação da LGPD para agentes de tratamento de pequeno porte, bem como às liberdades civis e aos direitos fundamentais do titular:
- Critério geral: atividade de larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares; e
- Critério específico: uso de tecnologias emergentes ou inovadoras, existência de vigilância ou controle de zonas acessíveis ao público, tomada de decisões unicamente com base em tratamento automatizado de dados pessoais, ou utilização de dados pessoais sensíveis.
No mais, o RIPD deve ser suficientemente detalhado contendo as informações necessários para que tanto a ANPD quanto os agentes de tratamento tenham ampla compreensão do que envolve, e da forma como ocorre o tratamento, assim como os riscos associados, tal qual especificado pela ANPD:
- Identificação dos agentes de tratamento, encarregado e outras partes envolvidas ou interessadas;
- Justificativa da necessidade de elaboração do relatório (por exemplo: identificação de alto risco, solicitação da ANPD, prevenção etc.);
- Sistemas de informação;
- Tratamento de dados, incluindo a descrição do tratamento (desde a coleta até a eliminação); dados pessoais coletados; dados pessoais sensíveis; categorias de titulares envolvidos; se há coleta de dados de crianças e adolescentes ou outra categoria de titulares (como clientes, funcionários, beneficiários ou familiares do controlador) e de vulneráveis (como idosos, se aplicável); volume de dados pessoais tratados e número de titulares envolvidos; a fonte de coleta dos dados; finalidade do tratamento de cada dado; compartilhamento externo e interno, incluindo transferência internacional; e política de armazenamento dos dados com descrição dos prazos de retenção e métodos de descarte;
- Identificação da(s) base(s) legal(is) e análise do atendimento de princípios da LGPD;
- Riscos identificados com avaliação da probabilidade de materialização do risco e o impacto efetivo ao titular;
- Medidas adotadas para mitigação de cada risco, reavaliação do risco após a adoção de medida e indicação de eventual risco residual.
O RIPD deve ser revisado continuamente, principalmente quando fatos novos modificarem os riscos identificados, ou no caso de novas regulamentações.
Enquanto o procedimento não é totalmente regulamentado, os controladores de dados possuem flexibilidade para determinar estruturas e formatos do RIPD, tal qual disposto na LGPD. O processo de regulamentação do RIPD, previsto na Agenda Regulatória da Autoridade para o biênio de 2023-2024, já foi iniciado pela ANPD e se encontra em fase de elaboração.