Adequação à LGPD: o que é o Relatório de Impacto à Proteção de Dados Pessoais?

Adequação à LGPD: o que é o Relatório de Impacto à Proteção de Dados Pessoais?

O relatório de impacto à proteção de dados pessoais (RIPD), também conhecido como DPIA – Data Protection Impact Assessment, é definido como a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais. Ele também apresenta as medidas, salvaguardas e mecanismos de mitigação de riscos, conforme o artigo 5º, inciso XVII da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018). 

A seguir, explicamos como esse relatório pode ser um instrumento interessante para demonstrar a conformidade da sua empresa ou startup com a LGPD.

O que é o relatório de impacto à proteção de dados pessoais?

É necessário criar o relatório de impacto à proteção de dados pessoais sempre que um tratamento de informações gerar potenciais riscos às liberdades civis e direitos fundamentais. Nesses casos, ele deve indicar as medidas, salvaguardas e mecanismos de diminuição desses riscos. 

O documento faz parte do trabalho de Compliance Digital para a privacidade e proteção dos dados pessoais. Todas as empresas que lidam com dados pessoais, de qualquer porte, precisarão se adequar à LGPD e realizar os procedimentos cabíveis para dar segurança às informações fornecidas pelos usuários.

O que deve conter no RIPD?

De modo geral, o relatório de impacto à proteção de dados precisa ser elaborado antes de iniciar o tratamento das informações. O ideal é que ele apresente um panorama geral de todo o processo para o controlador conseguir identificar quais são as principais ameaças às liberdades civis e direitos dos usuários.

O relatório de impacto à proteção de dados pessoais precisa apresentar a descrição sobre os tipos de dados coletados, o método utilizado para obtê-los e também quais foram as informações fornecidas aos clientes sobre essa garantia de segurança. Além disso, o documento deve conter uma análise do controlador sobre todas as ações realizadas para conter os riscos. 

O RPID precisa atender aos princípios de governança e privacidade de dados e cumprir com as exigências da LGPD. Entre os principais aspectos estão:

  • identificar a finalidade da obtenção dos dados;
  • apresentar qual será o tratamento realizado;
  • adequar a proposta – comparar se há compatibilidade entre a finalidade e o tratamento de dados;
  • averiguar a necessidade de tratamento das informações;
  • apresentar as medidas técnicas de proteção aos dados pessoais;
  • prevenir danos aos dados em função do tratamento realizado.

Por que é interessante para as empresas e startups elaborarem o relatório de impacto à proteção de dados pessoais?

O artigo 38 da LGPD estabelece que a autoridade nacional poderá determinar que o controlador elabore um relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente às suas operações de tratamento de dados, nos termos do regulamento, observados os segredos comercial e industrial. Além disso, em seu parágrafo único, o artigo diz que o relatório deverá conter, no mínimo:

  • a descrição dos tipos de dados coletados;
  • a metodologia utilizada para a coleta e para a garantia da segurança das informações;
  • a análise do controlador em relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados. 

Papel do controlador

O controlador é uma pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Ele também tem o papel de orientar o operador sobre os procedimentos a serem adotados.

Entendemos que independentemente de a Autoridade Nacional exigir a sua elaboração, o Relatório de Impacto à Proteção de Dados Pessoais é um excelente instrumento para a prestação de contas e demonstração de conformidade com a LGPD.

Isso fica demonstrado na recente Ação Civil Pública impetrada pelo Ministério Público do Distrito Federal (Unidade de Proteção de Dados e Inteligência Artificial – ESPEC) contra a empresa Telefônica Brasil S.A. (VIVO S.A.). A instituição requisitou à mesma a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (Data Protection Impact Assesment – DPIA). Ressalta-se que tal exigência da apresentação do RIPD foi requisitada antes mesmo da vigência da LGPD.

Por fim, é necessário compreender que a Lei Geral de Proteção de Dados se aplica a todas organizações, sejam elas públicas ou privadas. Sendo assim, qualquer dado coletado das pessoas (em forma física ou digital) precisará receber o tratamento adequado.

O escritório de Advocacia Sander & Cella – Direito Empresarial possui uma equipe especializada de advogados e programadores que atuam na adequação à LGPD, bem como do Relatório de Impacto à Proteção de Dados Pessoais. 

A leitura deste conteúdo foi útil? Ficou com alguma dúvida sobre à adequação na lei geral de proteção de dados ou elaboração do RPID? Converse com um de nossos advogados para compreender todas as mudanças que deverão ser implementadas no seu negócio!

Compartilhe nas redes sociais

Andrei Bueno Sander

Advogado inscrito na OAB/SC n.º 15.381, especializado em gestão empresarial pela fundação getúlio vargas, pós-graduando em direito digital e compliance pela damásio educacional. Trabalha na área do direito empresarial, auxiliando empresários e investidores desde o ano de 2000, nas esferas consultiva e contenciosa, alÉm de ministrar aulas como professor universitário e palestras em eventos estaduais e nacionais. Atua tambÉm como administrador judicial em recuperações judiciais e falências e é vice-presidente da comissão de direito digital da OAB – subseção de Chapecó – SC. É investidor anjo, mentor dos programas inovativa Brasil e finep startup e um dos idealizadores do Desbravalley - ecossistema de empreendedorismo, tecnologia, startups e inovação da região oeste de Santa Catarina.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *