A Lei Geral de Proteção de Dados Pessoais (LGPD) impõe uma série de requisitos para promover a segurança e a privacidade dos dados pessoais e sensíveis dos indivíduos.
A adequação à LGPD exige que o controlador e o operador de dados elaborem documentos, que abrangem mais do que apenas políticas de cookies e privacidade. O documento mais complexo para elaborar é o Relatório de Impacto à Proteção de Dados (RIPD). As disposições da lei e as primeiras penalidades aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) por falta de apresentação de RIPD no prazo estabelecido pela Autoridade apontam a sua relevância para efetiva adequação à LGPD.
Embora a ANPD ainda não tenha regulamentado regras específicas para o RIPD, a LGPD e as orientações da autoridade oferecem uma visão clara dos itens básicos que devem ser incluídos no relatório, este obrigatório.
O RIPD descreve os processos de tratamento de dados pessoais que podem representar alto risco à proteção dos princípios gerais estabelecidos pela LGPD, assim como às liberdades civis e aos direitos fundamentais dos titulares dos dados. O RIPD ainda é expressamente obrigatório para os tratamentos realizados com base no legítimo interesse do controlador. Esse documento também deve expor as medidas de segurança e os mecanismos implementados para mitigar os riscos identificados.
Quem é responsável pela elaboração do RIPD?
O controlador (agente de tratamento que toma as decisões relativas ao tratamento de dados pessoais) é o responsável pela elaboração do RIPD. Sua responsabilidade está em garantir que o RIPD seja elaborado de forma completa e precisa, identificando e avaliando os riscos associados ao tratamento de dados pessoais e implementando medidas adequadas para mitigar esses riscos.
Recomenda-se elaborar o RIPD antes do início do tratamento de dados pessoais para antecipar e avaliar os riscos potenciais, e implementar medidas e salvaguardas adequadas para mitigar esses riscos.
Se não for possível elaborar o RIPD antes do início do tratamento, deve-se fazê-lo assim que se identificar um tratamento com alto risco aos princípios de proteção de dados da LGPD e aos direitos fundamentais dos titulares, conforme exigido pela ANPD.
Conteúdo
O relatório deve ser detalhado o suficiente para que a ANPD e o controlador compreendam completamente o tratamento de dados pessoais e os riscos associados. Isso inclui:
- Descrição dos tipos de dados tratados, operações de tratamento, finalidades e hipóteses legais;
- Avaliação da necessidade e a proporcionalidade das operações e riscos para os direitos e liberdades dos titulares;
- Identificação dos agentes de tratamento e encarregado;
- Análise da hipótese legal escolhida para cada finalidade de tratamento;
- Inclusão dos sistemas de informação relacionados ao projeto.
No mais, embora a divulgação do RIPD não seja obrigatória para entidades privadas, a ANPD sugere que torná-lo acessível ao público pode demonstrar o compromisso do controlador com a segurança dos dados e a transparência, conforme os princípios da LGPD. O controlador pode disponibilizar o RIPD em seu site, garantindo que a versão pública seja clara e acessível, mas distinta da versão interna para proteger segredos comerciais e informações confidenciais.
Sanções administrativas
A LGPD não exige, como regra geral, que o RIPD seja enviado à ANPD. No entanto, a autoridade pode solicitar o relatório e outros documentos relevantes para a fiscalização. O controlador deve enviar o RIPD quando requisitado pela ANPD e pode ser submetido a medidas de fiscalização em caso de não cumprimento.
A não conformidade com essas exigências pode resultar em sanções incluindo advertências, multas e outras penalidades previstas pela legislação, além de comprometer a reputação da organização.
Considerando a complexidade para confecção do RIPD, é necessário elaborá-lo tão logo o alto risco aos titulares seja identificado e mantê-lo atualizado. Dessa forma, o controlador terá tempo hábil para apresentá-lo à ANPD, outra autoridade ou parceiros de negócio, quando necessário.
Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.