Migalhas de Peso

A ANPD prestou esclarecimentos sobre o relatório de impacto à proteção de dados pessoais

O RIPD deve ser revisado continuamente, principalmente quando fatos novos modificarem os riscos identificados, ou no caso de novas regulamentações.

24/4/2023

A partir de consultas que foram formuladas à ANPD, assim como, ao elencar possíveis dúvidas que possam surgir aos agentes de tratamento e titulares de dados pessoais, a ANPD elaborou perguntas básicas com as respectivas respostadas sobre os conceitos, constituição, elaboração, critérios, requisitos, implementação, registro e aplicação do RIPD.   

Desde 6/4/23, é possível acessar no website da ANPD esclarecimentos sobre o RIPD, para melhor compreensão do relatório e sanar possíveis dúvidas.

As considerações são preliminares sobre o tema, que ainda está em processo de regulamentação, e buscam orientar melhor os controladores de dados pessoais e agentes de tratamento, para que possam agir em conformidade com a LGPD e normas regulamentadoras da ANPD. 

A formalização do RIPD é de responsabilidade da empresa controladora dos dados pessoais, e de acordo com a definição da ANPD tem como finalidade descrever os processos de tratamento de dados com alto risco à garantia dos princípios gerais de proteção, das liberdades civis e dos direitos fundamentais dos titulares de dados, que estão previstos na LGPD. Além disso, o relatório também deve incluir medidas de proteção e mecanismos com o intuito de diminuir os riscos aos direitos dos titulares. 

A LGPD listou algumas situações específicas em que o RIPD poderá ser exigido pela ANPD, tais como:

A elaboração do RIPD deve ocorrer no início do tratamento de dados pessoais, após a avalição dos possíveis riscos que possam se enquadrar nas situações específicas já previstas na LGPD. No caso dos dados em tratamento, deverá ser elaborado RIPD assim que identificado que uma das vertentes do tratamento possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais, às liberdades civis e aos direitos fundamentais dos titulares em questão.

De acordo com a ANDP, a gestão dos riscos é um processo sistemático que determina a aplicação do controle diante do perfil de riscos. A identificação e análise desses fatores devem ser documentadas e justificadas, para que possam demonstrar que as decisões tomadas foram as mais adequadas, com base nas informações disponíveis. Nesse sentido, cabe ao controlador identificar o maior número possível de fatores, principalmente os mais relevantes, que possam afetar à proteção os dados pessoais que serão tratados, além de estimar a probabilidade de materialização do risco e o impacto inerente. 

Esse impacto dependerá dos danos que podem ser causados aos titulares, em particular no âmbito dos seus direitos e liberdades, tais como perda de confidencialidade, integridade ou disponibilidade de dados, reversão da anonimização, uso de dados para fins incompatíveis, ou qualquer forma de tratamento inadequado ou ilícito. São os requisitos mínimos para sua elaboração:

No tratamento de dados em geral, quando verificado que as operações de tratamento podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais da LGPD, deve-se adotar como parâmetro a definição de “alto risco” prevista no art. 4º da resolução 2/22 da ANPD, que trata da aplicação da LGPD para agentes de tratamento de pequeno porte, bem como às liberdades civis e aos direitos fundamentais do titular:

No mais, o RIPD deve ser suficientemente detalhado contendo as informações necessários para que tanto a ANPD quanto os agentes de tratamento tenham ampla compreensão do que envolve, e da forma como ocorre o tratamento, assim como os riscos associados, tal qual especificado pela ANPD:

O RIPD deve ser revisado continuamente, principalmente quando fatos novos modificarem os riscos identificados, ou no caso de novas regulamentações.

Enquanto o procedimento não é totalmente regulamentado, os controladores de dados possuem flexibilidade para determinar estruturas e formatos do RIPD, tal qual disposto na LGPD. O processo de regulamentação do RIPD, previsto na Agenda Regulatória da Autoridade para o biênio de 2023-2024, já foi iniciado pela ANPD e se encontra em fase de elaboração.

Ana Lúcia Pinke Ribeiro de Paiva
Sócia e head da área Trabalhista de Araújo e Policastro Advogados.

Marcos Rafael Faber Galante Carneiro
Associado da área trabalhista do escritório Araújo e Policastro Advogados.

Beatriz Camargo Ferreira de Castilho
Acadêmia em Direito pela Pontifícia Universidade Católica de São Paulo - PUC/SP.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

A relativização do princípio da legalidade tributária na temática da sub-rogação no Funrural – ADIn 4395

19/11/2024

Quais cuidados devo observar ao comprar um negócio?

19/11/2024

Estabilidade dos servidores públicos: O que é e vai ou não acabar?

19/11/2024