{"id":13723,"date":"2023-09-25T20:03:41","date_gmt":"2023-09-25T20:03:41","guid":{"rendered":"https:\/\/compliancedados.com.br\/?p=13723"},"modified":"2023-09-26T12:25:56","modified_gmt":"2023-09-26T12:25:56","slug":"a-visao-macro-do-relatorio-de-impacto-a-protecao-de-dados-pessoais-o-ripd-nao-e-so-um-documento","status":"publish","type":"post","link":"https:\/\/compliancedados.com.br\/?p=13723","title":{"rendered":"A Vis\u00e3o Macro do Relat\u00f3rio de Impacto a Prote\u00e7\u00e3o de Dados Pessoais o RIPD n\u00e3o e s\u00f3 um Documento"},"content":{"rendered":"\n

A ideia da produ\u00e7\u00e3o de um relat\u00f3rio de impacto surgiu na Europa com a General Data Protection Regulation<\/em> (GDPR), sendo a primeira legisla\u00e7\u00e3o a tornar obrigat\u00f3ria a condu\u00e7\u00e3o de Data Protection Impact Assessments<\/em> (DPIA), em alguns casos espec\u00edficos.<\/p>\n\n\n\n

A Lei Geral de Prote\u00e7\u00e3o de Dados \u2013 Lei 13.709\/2018, inspirada na GDPR, trouxe a figura do chamado Relat\u00f3rio de Impacto \u00e0 Prote\u00e7\u00e3o De Dados Pessoais (RIPD), tendo caracter\u00edsticas espec\u00edficas inseridas da lei com defini\u00e7\u00e3o de conte\u00fado m\u00ednimo em seu artigo 5\u00ba, XVII, al\u00e9m dos artigos 10, \u00a73\u00ba e 38, par\u00e1grafo \u00fanico, que pode ser entendido como o DPIA na GDPR.<\/p>\n\n\n\n

Art. 5\u00ba. Para os fins desta Lei, considera-se:<\/p>\n\n\n\n

XVII – relat\u00f3rio de impacto \u00e0 prote\u00e7\u00e3o de dados pessoais: documenta\u00e7\u00e3o do controlador que cont\u00e9m a descri\u00e7\u00e3o dos processos de tratamento de dados pessoais que podem gerar riscos \u00e0s liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitiga\u00e7\u00e3o de risco;<\/p>\n\n\n\n

Art. 10. O leg\u00edtimo interesse do controlador somente poder\u00e1 fundamentar tratamento de dados pessoais para finalidades leg\u00edtimas, consideradas a partir de situa\u00e7\u00f5es concretas, que incluem, mas n\u00e3o se limitam a:..<\/p>\n\n\n\n

\u00a7 3\u00ba A autoridade nacional poder\u00e1 solicitar ao controlador relat\u00f3rio de impacto \u00e0 prote\u00e7\u00e3o de dados pessoais, quando o tratamento tiver como fundamento seu interesse leg\u00edtimo, observados os segredos comercial e industrial.<\/p>\n\n\n\n

Art. 38. A autoridade nacional poder\u00e1 determinar ao controlador que elabore relat\u00f3rio de impacto \u00e0 prote\u00e7\u00e3o de dados pessoais, inclusive de dados sens\u00edveis, referente a suas opera\u00e7\u00f5es de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.<\/p>\n\n\n\n

Par\u00e1grafo \u00fanico. Observado o disposto no caput deste artigo, o relat\u00f3rio dever\u00e1 conter, no m\u00ednimo, a descri\u00e7\u00e3o dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da seguran\u00e7a das informa\u00e7\u00f5es e a an\u00e1lise do controlador com rela\u00e7\u00e3o a medidas, salvaguardas e mecanismos de mitiga\u00e7\u00e3o de risco adotados.<\/p>\n\n\n\n

O RIPD, como \u00e9 conhecido no Brasil, \u00e9 um instrumento essencial e um dos mais relevantes em qualquer programa de governan\u00e7a em privacidade de dados, servindo como ferramenta de identifica\u00e7\u00e3o, an\u00e1lise e mitiga\u00e7\u00e3o, ou mesmo, elimina\u00e7\u00e3o de riscos, tratados na forma de registros de controles de tais riscos, invent\u00e1rios de regularidade e legalidade das opera\u00e7\u00f5es empresariais, dentre outras caracter\u00edsticas, o que remete ao princ\u00edpio do Privacy by Design<\/em>, devendo ser pensado desde o in\u00edcio em qualquer projeto, embutindo a ideia de privacidade desde a concep\u00e7\u00e3o, na arquitetura do programa de tratamento de dados pessoais.<\/p>\n\n\n\n

Como a LGPD disp\u00f5e, a Autoridade Nacional de Prote\u00e7\u00e3o de Dados (ANPD), na forma dos artigos adrede mencionados, poder\u00e1 solicitar a elabora\u00e7\u00e3o do referido relat\u00f3rio, no qual \u00e9 de reponsabilidade do controlador tal tarefa, quando da solicita\u00e7\u00e3o, ou mesmo, determina\u00e7\u00e3o pela referida autoridade nos casos dos artigos 4\u00ba, \u00a73\u00ba, e 32. Todavia, a elabora\u00e7\u00e3o do RIPD pode ser feita pela organiza\u00e7\u00e3o sem que haja a pr\u00e9via solicita\u00e7\u00e3o, sendo de suma import\u00e2ncia, tanto para a preven\u00e7\u00e3o de riscos e reconhecimento dos Gaps<\/em>, quanto para a comprova\u00e7\u00e3o de conformidade no que se refere \u00e0 governan\u00e7a, fazendo parte da pr\u00e1tica empresarial, inclusive nos entes p\u00fablicos, buscando a preven\u00e7\u00e3o de eventuais situa\u00e7\u00f5es complexas, fazendo com que haja documenta\u00e7\u00e3o capaz de demonstrar a adequa\u00e7\u00e3o \u00e0 LGPD.<\/p>\n\n\n\n

Para a an\u00e1lise de avalia\u00e7\u00e3o pr\u00e9via da necessidade de elabora\u00e7\u00e3o de um DPIA, relevante que se identifique o grau de risco \u00e0 privacidade nas opera\u00e7\u00f5es de tratamento e, caso seja considerado elevado, recomenda-se que se fa\u00e7a tal relat\u00f3rio.<\/p>\n\n\n\n

A condu\u00e7\u00e3o do processo para a confec\u00e7\u00e3o do RIPD n\u00e3o \u00e9 uma tarefa simples, nem deve ser realizada, por um \u00fanico profissional (encarregado de dados \u2013 DPO), mas por uma equipe de colaboradores (assessores em privacidade), onde dever\u00e1 ocorrer a conscientiza\u00e7\u00e3o sobre a relev\u00e2ncia do relat\u00f3rio, treinamento e formalidades de um programa de governan\u00e7a em privacidade, carecendo, tamb\u00e9m, haver a ado\u00e7\u00e3o de boas pr\u00e1ticas e envolver diversos setores distintos dentro da organiza\u00e7\u00e3o, para que seja cumprida a LGPD, avaliando os riscos de forma adequada e ampla, podendo, inclusive, ser o processo conduzido na falta de um encarregado de dados ou de assessoria especializada, por uma equipe respons\u00e1vel pelo compliance, <\/em>em conjunto com o jur\u00eddico e a \u00e1rea de tecnologia e seguran\u00e7a da informa\u00e7\u00e3o, sendo importante a vis\u00e3o multidisciplinar, e, caso necess\u00e1rio, ante \u00e0 complexidade, uma auditoria externa.<\/p>\n\n\n\n

Como se observa, o RIPD n\u00e3o pode ser considerado como \u201cs\u00f3 um documento, ou um \u00fanico documento\u201d, devendo ser encarado sob a \u00f3tica de uma vis\u00e3o macro, ou seja, como um processo, e apesar da nomenclatura de relat\u00f3rio de impacto \u00e0 prote\u00e7\u00e3o de dados pessoais, n\u00e3o se trata de confeccionar um simples formul\u00e1rio relacionando os problemas encontrados para que sejam informados e resolvidos.<\/p>\n\n\n\n

Assim, o DPIA n\u00e3o se exaure em si mesmo, uma vez que ap\u00f3s toda a an\u00e1lise dos riscos, a preven\u00e7\u00e3o, sendo necess\u00e1ria a fase de implementa\u00e7\u00e3o das recomenda\u00e7\u00f5es, al\u00e9m do acompanhamento do processo evolutivo ao longo do tempo, devendo ser acompanhado, atualizado e revisto, sempre quando necess\u00e1rio, no intuito de mitigar os riscos evidenciados conforme determina\u00e7\u00e3o expressa do artigo 38, par\u00e1grafo \u00fanico da LGPD, n\u00e3o sendo, desta forma, o fim em si mesmo, considerando, ainda, que havendo qualquer altera\u00e7\u00e3o ou mudan\u00e7a no projeto que possa vir a causar algum risco posterior \u00e0 privacidade dos titulares, ser\u00e1 necess\u00e1ria a ado\u00e7\u00e3o de novas medidas para mitiga\u00e7\u00e3o ou elimina\u00e7\u00e3o dos referidos riscos.<\/p>\n\n\n\n

Aconselha-se a elabora\u00e7\u00e3o ou a atualiza\u00e7\u00e3o do RIPD sempre que houver possibilidade de um impacto na privacidade dos dados pessoais em decorr\u00eancia de aplica\u00e7\u00e3o de novos servi\u00e7os, tecnologias, dados pessoais sens\u00edveis, dados de crian\u00e7as e adolescentes, servi\u00e7os de rastreamento ou outro servi\u00e7o para forma\u00e7\u00e3o de um profile <\/em>do titular, meios automatizados para tomada de decis\u00f5es, com intuito de definir o perfil comportamental, profissional, de cr\u00e9dito, consumo ou outros aspectos relacionados \u00e0 personalidade, qualquer tratamento que possa resultar em dano patrimonial, moral, individual ou coletivo, em caso de incidente de viola\u00e7\u00e3o dos dados, ainda nos casos de tratamento de dados pessoais para fins exclusivos de seguran\u00e7a p\u00fablica, defesa nacional, seguran\u00e7a do Estado, ou atividades de investiga\u00e7\u00e3o e repress\u00e3o de infra\u00e7\u00f5es penais, tratamento com a base legal do leg\u00edtimo interesse do controlador e ainda quando houver altera\u00e7\u00f5es legais e regulat\u00f3rias aplic\u00e1veis \u00e0 privacidade, pol\u00edtica e normas internas, opera\u00e7\u00e3o do sistema de informa\u00e7\u00f5es, prop\u00f3sitos e meios para tratar dados, fluxos de dados novos ou alterados, etc.; bem como, nos casos de reformas administrativas que impliquem em nova estrutura organizacional resultante da incorpora\u00e7\u00e3o, fus\u00e3o ou cis\u00e3o de \u00f3rg\u00e3os ou entidades, al\u00e9m de dos casos de infra\u00e7\u00e3o da LGPD em decorr\u00eancia do tratamento de dados pessoais por \u00f3rg\u00e3os p\u00fablicos.<\/p>\n\n\n\n

Diante disso, engana-se quem acredita que o DPIA \u00e9 s\u00f3 um documento. Realmente deve ser assimilado como um processo cont\u00ednuo, implicando, inclusive, atualiza\u00e7\u00e3o constante e revis\u00f5es peri\u00f3dicas, quando necess\u00e1rio, al\u00e9m da import\u00e2ncia quando da execu\u00e7\u00e3o de novos projetos, produtos, servi\u00e7os, tecnologias, conforme mencionado adrede, devendo ser reavaliado desde a concep\u00e7\u00e3o, remetendo-se ao privacy by design<\/em>.<\/p>\n\n\n\n

Al\u00e9m de todo o processo envolvendo o RIPD, igualmente importante que sejam de fato implementadas pela organiza\u00e7\u00e3o as solu\u00e7\u00f5es e recomenda\u00e7\u00f5es, uma vez que ignorar trar\u00e1 san\u00e7\u00f5es graves \u00e0 empresa, n\u00e3o s\u00f3 de ordem financeira, mas reputacional, al\u00e9m do tempo \u201cperdido\u201d em todo o processo.<\/p>\n\n\n\n

Realizando o procedimento que corresponde \u00e0 nomenclatura simplificada trazida pela LGPD de Relat\u00f3rio de Impacto \u00e0 Prote\u00e7\u00e3o de Dados, j\u00e1 compreendido como um processo, este poder\u00e1 ser exigido pela ANPD por meio de um documento de comprova\u00e7\u00e3o, no qual faz parte de um programa de adequa\u00e7\u00e3o \u00e0 LGPD, objetivando a an\u00e1lise pr\u00e9via de riscos \u00e0 privacidade, para que sejam utilizadas t\u00e9cnicas e mecanismos eficazes para a elimina\u00e7\u00e3o ou redu\u00e7\u00e3o desses riscos.<\/p>\n\n\n\n

Por fim, a LGPD n\u00e3o menciona que a confec\u00e7\u00e3o \u00e9 obrigat\u00f3ria, ou seja, sem a solicita\u00e7\u00e3o ou determina\u00e7\u00e3o da ANPD, mas como j\u00e1 mencionado, recomenda-se que seja realizado de forma cont\u00ednua, n\u00e3o apenas com a finalidade da organiza\u00e7\u00e3o se mostrar atualizada e em compliance<\/em> com a LGPD, mas em cumprimento com as obriga\u00e7\u00f5es relativas \u00e0 governan\u00e7a de dados e a preocupa\u00e7\u00e3o em proteger e evitar problemas relativos aos riscos que realmente podem ser mitigados pelo procedimento de an\u00e1lise no qual compreende o RIPD, o que gera transpar\u00eancia, demonstra responsabilidade e respeito aos direitos dos titulares, al\u00e9m de evidente cumprimento e preocupa\u00e7\u00e3o com a conformidade.<\/p>\n\n\n\n

Dra. Tereza Cristina Machado<\/strong><\/p>\n\n\n\n

Especialista em LGPD; Idealizadora, Fundadora e CEO da Compliance Dados.<\/strong><\/p>\n\n\n\n

REFER\u00caNCIAS BIBLIOGR\u00c1FICAS<\/p>\n\n\n\n

BRASIL. Lei Federal N\u00ba 13.709, de 14 de agosto e 2018<\/strong>. Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais (LGPD). Dispon\u00edvel em http:\/\/www.planalto.gov.br\/ccivil_03\/_ato2015-2018\/2018\/lei\/l13709.htm<\/a>. Acesso em 31 de out. de 2021.<\/p>\n\n\n\n

MALDONADO, Viviane N\u00f3brega et al. LGP Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais<\/em>: Manual de Implementa\u00e7\u00e3o. S\u00e3o Paulo: Thomson Reuters Brasil, 2021.<\/p>\n\n\n\n

RELAT\u00d3RIO de Impacto \u00e0 Prote\u00e7\u00e3o de Dados Pessoais (RIPD). Governo Digital, 2021. Dispon\u00edvel em https:\/\/www.gov.br\/governodigital\/pt-br\/seguranca-e-protecao-de-dados\/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd<\/a>. Acesso em 31 de out. de 2021.<\/p>\n\n\n\n

UE. GENERAL DATA PROTECTION REGULATION <\/strong><\/a>(GDPR). Dispon\u00edvel em https:\/\/gdpr-info.eu\/<\/a>. Acesso em 31 de out. de 2021.<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Uma vis\u00e3o muito al\u00e9m de um simples documento.
\nNesta mat\u00e9ria resta clara a import\u00e2ncia de todo o processo que envolve a confec\u00e7\u00e3o do Relat\u00f3rio de Impacto \u00e0 Prote\u00e7\u00e3o de Dados Pessoais.<\/p>\n","protected":false},"author":1,"featured_media":13686,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[67,81],"tags":[],"class_list":["post-13723","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-protecao-de-dados","category-seguranca-de-dados"],"_links":{"self":[{"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=\/wp\/v2\/posts\/13723","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13723"}],"version-history":[{"count":4,"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=\/wp\/v2\/posts\/13723\/revisions"}],"predecessor-version":[{"id":13762,"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=\/wp\/v2\/posts\/13723\/revisions\/13762"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=\/wp\/v2\/media\/13686"}],"wp:attachment":[{"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13723"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13723"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/compliancedados.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13723"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}