Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais
As presentes perguntas e respostas objetivam orientar e esclarecer a sociedade sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD). Ressalta-se que o processo de regulamentação do tema está em andamento, conforme previsto na Agenda Regulatória para o biênio 2023/2024, aprovada pela Portaria nº 35, de 4 de novembro de 2022, de modo que obrigações e parâmetros adicionais poderão ser estabelecidos pela ANPD futuramente.
Perguntas
1. O que é o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)?
2. Quem é o responsável pela elaboração do RIPD?
3. Em qual contexto a ANPD recomenda que seja elaborado o RIPD?
5. Quais critérios e metodologias devem ser utilizados para a gestão de riscos?
6. Quais são os requisitos mínimos que o RIPD deve conter e que poderão ser exigidos pela ANPD?
9. O que considerar como "alto risco" para fins de elaboração do RIPD?
10. O RIPD deve ser encaminhado para a ANPD?
12. O encarregado deve ser consultado no processo de elaboração do RIPD?
13. É necessário registrar, no RIPD, opiniões divergentes identificadas durante o processo de elaboração?
14. O que fazer após elaborar o RIPD?
15. Quais dados e informações incluir no RIPD?
Perguntas e respostas - Texto completo
1. O que é o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)?
O RIPD é a documentação que contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados. Deve conter, ainda, as medidas, salvaguardas e mecanismos de mitigação de risco, nos termos dos artigos 5º, inciso XVII, e 38 da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD).
2. Quem é o responsável pela elaboração do RIPD?
O controlador é o agente de tratamento responsável pela elaboração do RIPD, nos termos dos art. 5º, inciso XVII, e 38, da LGPD.
3. Em qual contexto a ANPD recomenda que seja elaborado o RIPD?
Como regra geral, é recomendado elaborar o RIPD em todo contexto em que as operações de tratamento de dados pessoais possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados, conforme art. 5º, inciso XVII, e art. 55-J, inciso XIII, da LGPD, o que deverá ser avaliado pelo agente de tratamento.
A LGPD lista, ainda, situações específicas em que o RIPD poderá ser exigido pela ANPD, como:
· nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, § 3º);
· quando o tratamento tiver como fundamento a hipótese de interesse legítimo (art. 10, § 3º);
· para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD (art. 32); e
· para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis (art. 38).
Portanto, haverá situações em que o controlador elaborará o RIPD para atender à determinação da ANPD ou, em atenção ao princípio da responsabilização e prestação de contas (art. 6º, X), ao verificar que o tratamento a ser realizado pode implicar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados.
Além disso, a LGPD prevê a possibilidade de que os controladores, para cumprimento dos princípios da segurança e da prevenção (art. 6º, VII e VIII), implementem programa de governança em privacidade que, entre outros itens, estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade (art. 50, § 2º, I, d), procedimento que pode envolver a elaboração de RIPD.
4. Quando elaborar o RIPD?
Recomenda-se elaborar o RIPD antes de o controlador iniciar o tratamento dos dados pessoais para a finalidade desejada, justamente para que ele possa avaliar, de antemão, os possíveis riscos associados a esse tratamento.
Dessa forma, o controlador conseguirá, antes mesmo de usar os dados pessoais para aquela finalidade, identificar a probabilidade de ocorrência de cada fator de risco e o seu impacto sobre as liberdades e direitos fundamentais dos titulares e adotar as medidas, as salvaguardas e os mecanismos de mitigação de risco apropriados à hipótese.
Contudo, caso não seja possível elaborar o RIPD antes do início do tratamento, recomenda-se elaborá-lo assim que se identificar um tratamento que possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados
De todo modo, o controlador deverá, ainda, elaborar o RIPD caso seja solicitado pela ANPD.
5. Quais critérios e metodologias devem ser utilizados para a gestão de riscos?
A gestão de riscos é um processo sistemático da gestão organizacional que determina a aplicação equilibrada de controles diante do perfil de riscos.
As diretrizes gerais do processo de gestão de risco de privacidade, além de estarem alinhadas à política de segurança do responsável, poderão considerar, entre outros aspectos, objetivos estratégicos, processos, estrutura organizacional, requisitos da LGPD e demais normativos aplicáveis.
A identificação e análise dos fatores de risco devem ser documentadas e justificadas para que possam demonstrar que as decisões tomadas em relação à gestão de riscos foram as medidas mais adequadas com base nas informações disponíveis.
A avaliação de risco dificilmente irá representar a totalidade dos fatores de risco envolvido no tratamento. Cabe ao controlador identificar o maior número possível de fatores, principalmente os mais relevantes, que possam afetar os dados pessoais que serão tratados. Para cada fator identificado deve estimar a probabilidade de materialização do risco e o impacto inerente. Esse impacto dependerá dos danos que possam ser causados aos titulares, em particular no âmbito dos seus direitos e liberdades.
Destaca-se que a existência de múltiplos fatores de risco pode aumentar o nível de risco do tratamento considerado individualmente. Quando existem diferentes fatores de risco, é necessário interpretar como esses fatores podem interagir entre si para aumentar o nível de risco do tratamento, analisando suas dependências e efeitos combinados ou as interações mútuas.
Nesse cenário, a gestão de risco pode ser feita por diferentes metodologias. Recomenda-se, no entanto, adotar aquelas que são reconhecidas como boas práticas pela comunidade técnica de segurança, privacidade e proteção de dados.
A decisão da metodologia a ser adotada é de responsabilidade do controlador. O processo de avaliação do nível de risco deve levar em conta as possíveis consequências sobre os titulares dos dados pessoais, tais como a perda de confidencialidade, integridade ou disponibilidade de dados, reversão da anonimização ou pseudonimização, uso de dados para fins incompatíveis, violação de liberdades e direitos, ou qualquer forma de tratamento inadequado ou ilícito.
6. Quais são os requisitos mínimos que o RIPD deve conter e que poderão ser exigidos pela ANPD?
Conforme o art. 38 da LGPD, o RIPD deverá conter, pelo menos:
a) a descrição dos tipos de dados pessoais coletados ou tratados de qualquer forma;
b) a metodologia usada para o tratamento e para a garantia da segurança das informações; e
c) a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
É importante que o relatório seja suficientemente detalhado, para que a ANPD e o próprio controlador tenham compreensão ampla de como ocorre o tratamento dos dados pessoais e os possíveis riscos associados a ele.
Assim, recomenda-se ao controlador descrever os tipos de dados pessoais tratados, as operações de tratamento (art. 5º, X, da LGPD), suas finalidades (incluindo interesses legítimos) e hipóteses legais, e avaliar a necessidade e a proporcionalidade das operações de tratamento, os riscos para os direitos e liberdades dos titulares de dados e as medidas a serem adotadas para minimizar esses riscos.
Em qualquer caso a ANPD poderá solicitar informações adicionais, sempre que necessário.
7. O RIPD deve ser público?
Embora a divulgação do RIPD não seja, em regra, obrigatória, permitir o acesso ao público em geral pode ser uma medida que demonstra a preocupação do controlador com a segurança dos dados pessoais que estão sob sua responsabilidade e seu compromisso com a privacidade dos titulares, além de atender aos princípios do livre acesso, da transparência e da responsabilização e prestação de contas, previstos, respectivamente, pelo art. 6º, incisos IV, VI e X, da LGPD.
Para isso, o controlador pode disponibilizar o RIPD em meios de fácil acesso pelo titular, especialmente em seus sítios eletrônicos, com informações sobre suas atividades de tratamento de dados pessoais, de forma clara, adequada e ostensiva. Contudo, nesse caso a versão pública do RIPD pode ser distinta da versão interna, no intuito de resguardar segredos comercial e industrial e outras informações protegidas por lei.
Especificamente em relação a entidades e órgãos públicos, o RIPD deverá ser publicado: (i) por determinação da ANPD, nos termos do art. 32 da LGPD; ou (ii) pelo próprio controlador, quando não identificada hipótese de sigilo aplicável ao caso, em conformidade com a Lei nº 12.527, de 18 de novembro de 2011.
8. O controlador deve elaborar um RIPD único para todas as suas operações de tratamento ou um RIPD para cada operação?
Um RIPD corresponde a cada projeto/processo do controlador que contenha um conjunto de operações de tratamento voltadas para uma mesma finalidade.
Em alguns casos, isso pode se traduzir em relatórios diferentes para cada operação de tratamento, especialmente se o controlador possui operações muito distintas. Ao elaborar relatórios separados para um conjunto de tratamentos que possuam a mesma finalidade, é possível visualizar melhor os tratamentos realizados e identificar com maior precisão os riscos associados a eles.
No entanto, se o controlador realiza múltiplas operações de tratamento similares em termos de natureza, finalidade e riscos é razoável que seja elaborado apenas um RIPD que inclua todas essas operações de tratamento.
É importante também observar que, em cenários em que há compartilhamento de dados pessoais entre diferentes controladores, cada controlador poderá ser responsável por um RIPD, ainda que utilizem uma plataforma compartilhada, uma vez que as finalidades do tratamento poderão ser distintas.
9. O que considerar como "alto risco" para fins de elaboração do RIPD?
Enquanto não for editado regulamento específico sobre o RIPD, os controladores podem, no que couber, adotar como parâmetro o conceito de tratamento de alto risco definido no art. 4º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, aprovado pela Resolução nº 2/2022.
De acordo com esse dispositivo, o tratamento será de alto risco se verificada, no caso concreto, a presença de, ao menos, um critério geral (“larga escala” ou “afetar significativamente interesses e direitos fundamentais dos titulares”) e de um critério específico (“uso de tecnologias emergentes ou inovadoras”, “vigilância ou controle de zonas acessíveis ao público”, “decisões tomadas unicamente com base em tratamento automatizado de dados pessoais” ou “utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos”).
Considerando esses critérios, recomenda-se elaborar o RIPD, por exemplo, se o tratamento de dados pessoais abranger número significativo de titulares (“larga escala”, critério geral) e dados pessoas sensíveis (critério específico). Outro exemplo que pode ser mencionado é a decisão tomada unicamente com base em tratamento automatizado de dados pessoais (critério específico), da qual possa resultar a negativa para o exercício de um direito ou para a utilização de um serviço (“afetar significativamente interesses e direitos”, critério geral).
Ressalte-se que, para fins de elaboração do RIPD, esses critérios não devem ser considerados exaustivos, de modo que o controlador poderá verificar a existência de alto risco em situações diferentes das indicadas. Assim, em conformidade com o princípio da responsabilização e prestação de contas, cabe ao controlador avaliar as circunstâncias relevantes do caso concreto, a fim de identificar os riscos envolvidos e as medidas de prevenção e segurança apropriadas, considerando os possíveis impactos às liberdades e direitos fundamentais dos titulares e a probabilidade de sua ocorrência.
10. O RIPD deve ser encaminhado para a ANPD?
A LGPD não determina, como regra geral, o encaminhamento do relatório à ANPD. Não obstante, no exercício efetivo das suas atribuições fiscalizatórias e nas hipóteses previstas na LGPD, a Autoridade poderá requerer ao controlador o encaminhamento do RIPD, além de cópia de documentos, físicos ou digitais, e de dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais.
Assim, o controlador tem o dever de encaminhar o RIPD apenas quando requisitado pela ANPD, sujeitando-se a medidas de fiscalização em caso de descumprimento.
11. O controlador pode consultar a ANPD em caso de dúvida sobre as salvaguardas e as medidas a serem adotadas para mitigar os riscos identificados?
A ANPD não responde individualmente consultas jurídicas em tese ou que demandem a emissão de pronunciamento específico sobre uma condição hipotética ou concreta. Nesse sentido, não cabe manifestação da ANPD sobre as salvaguardas e medidas adequadas a serem adotadas para mitigar os riscos identificados em um determinado caso.
Não obstante, o controlador pode encaminhar suas dúvidas e questionamentos para a ANPD, por meio do endereço eletrônico ouvidoria@anpd.gov.br. As demandas recebidas são avaliadas e consolidadas, podendo ser consideradas no processo de elaboração de regulamentos ou para fins de futuras orientações sobre o tema.
12. O encarregado deve ser consultado no processo de elaboração do RIPD?
Considerando as atribuições legais definidas nos artigos 5º, inciso VIII, e 41 da LGPD, é desejável que o encarregado seja consultado na elaboração e na análise das conclusões do RIPD. O controlador também poderá consultar outros membros de sua organização, eventuais operadores ou o público externo, incluindo, entre outros, especialistas e titulares de dados pessoais.
13. É necessário registrar, no RIPD, opiniões divergentes identificadas durante o processo de elaboração?
Ainda que não exista exigência específica da necessidade de registro de diferentes opiniões identificadas no processo de elaboração do RIPD, esse registro, incluindo as justificativas para a opção adotada, pode ser considerado uma boa prática em termos de transparência, responsabilização e prestação de contas.
Enquanto a matéria não estiver regulamentada, controladores de dados têm flexibilidade para determinar as melhores estruturas e formatos de seu RIPD, da forma que mais se ajuste às práticas de trabalho existentes na organização, observadas as disposições pertinentes da LGPD.
14. O que fazer após elaborar o RIPD?
Após elaborar o RIPD, o controlador verificará a viabilidade de prosseguir ou não com os processos de tratamento de dados pessoais que ensejaram a elaboração do relatório ou a necessidade de modificação na forma do tratamento.
O agente de tratamento observará as recomendações provenientes do RIPD, especialmente no que se refere à implementação de medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
Por fim, recomenda-se ao controlador a revisão contínua do RIPD, em especial, quando houver fatos novos que possam ensejar mudanças nos riscos identificados, tais como alteração nas operações de tratamento, identificação de novos fatores de risco, agravamento dos fatores de risco anteriormente identificados, ou em caso de novas regulamentações ou orientações emitidas pela ANPD.
15. Quais dados e informações incluir no RIPD?
É recomendável que o RIPD reúna os seguintes dados e informações:
a) Identificação dos agentes de tratamento e do encarregado;
b) Outras partes interessadas/envolvidas. Informar se foram consultadas na elaboração do RIPD e pareceres emitidos;
c) Justificativa da necessidade de elaboração do relatório (por exemplo: alto risco, solicitação da ANPD, gestão de riscos e prevenção, outros);
d) Projeto/Processo que justifica a elaboração do RIPD;
e) Sistemas de informação relacionados ao projeto/processo que justifica a elaboração do RIPD;
f) Tratamento de dados;
i. Descrição do tratamento (desde a coleta até a eliminação);
ii. Dados pessoais (informar todos os tipos de dados pessoais tratados, de forma completa);
iii. Dados pessoais sensíveis (informar todos os tipos de dados pessoais sensíveis tratados, de forma completa);
iv. Categorias de titulares (por exemplo, clientes, funcionários do controlador, filhos de funcionários do controlador, funcionários de clientes, autores de ações judiciais, beneficiários de apólices, terceiros prestadores de serviços);
v. Dados de crianças e adolescentes ou de outra categoria de vulneráveis, como idosos, se houver;
vi. Volume de dados pessoais tratados e número de titulares envolvidos no tratamento;
vii. Fonte de coleta;
viii. Finalidade do tratamento (Justifique a finalidade de tratamento para cada dado);
ix. Informar quais são os compartilhamentos internos e externos (inclusive transferência internacional, se houver);
x. Política de armazenamento (descrever os prazos de retenção e métodos de descarte);
g) Análise de hipótese legal. Justifique a escolha da hipótese legal para cada finalidade de tratamento;
h) Análise de princípios da LGPD;
i) Riscos identificados ao titular;
j) Resultado apurado com base na metodologia utilizada pelo agente de tratamento:
k) Medidas, salvaguardas e mecanismos de mitigação de risco:
* Descrever as medidas adotadas para mitigação do risco.
l) Comentários e aprovações.