A Autoridade Nacional de Proteção de Dados (“ANPD”) publicou, em seu site, perguntas e respostas com a finalidade de esclarecer dúvidas sobre a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”)
Conforme regulado pela Lei Geral de Proteção de Dados (“LGPD”), o RIPD é um documento que deve ser elaborado pelos controladores para os processos de tratamento de dados pessoais que possam gerar alto risco às liberdades civis e aos direitos fundamentais dos titulares.
Dentre as orientações trazidas, é importante destacar alguns pontos:
- O relatório deverá ser elaborado, preferencialmente, antes de o agente iniciar o tratamento dos dados pessoais para a finalidade desejada, sem prejuízo da elaboração posterior para os processos já vigentes;
- Via de regra os relatórios deverão ser elaborados para cada projeto/processo do controlador, podendo ser elaborado um único documento quando houver similaridade entre os processos;
- O relatório deverá ser utilizado para verificar a viabilidade de prosseguir com a operação de tratamento proposta e deverá ser revisado sempre que houver alguma mudança significativa no tratamento que possa modificar os riscos identificados.
Para avaliar se o tratamento apresenta “alto risco”, as empresas poderão utilizar o conceito trazido no regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte (Resolução nº 2/2022), o qual exemplifica situações como tratamento de dados sensíveis em larga escala e tratamento automatizado de dados pessoais que possa impedir os titulares de exercerem um direito ou usarem um serviço.
Entretanto, a autoridade ressalta que os critérios não devem ser considerados exaustivos, devendo ser realizada uma análise caso a caso. Por isso, é essencial uma avaliação precisa e técnica dos riscos de cada processo e quais medidas podem ser aplicadas para mitigá-los.
Maiores informações sobre a elaboração do Relatório de Impacto à Proteção de Dados Pessoais podem ser obtidas com nosso time de Privacidade.
