Com a Lei Geral de Proteção de Dados em vigor, além da adequação e implementação da lei, as empresas e organizações precisam estar preparadas para efetuar os procedimentos e práticas dispostas na lei. Um dos principais procedimentos criados pela LGPD é o Relatório de Impacto à Proteção de Dados Pessoais (RIPDP), que serve como uma documentação de análise de risco necessária quando se realiza tratamento de dados Pessoais.
Nesta publicação começaremos a compreender o que é o Relatório de Impacto à Proteção de Dados Pessoais, como ele deve ser feito e quanto a responsabilidade das partes que participam de sua criação e a elucidação de alguns termos e conceitos técnicos importantes.
O QUE É RIPDP:
O principal objetivo da Lei Geral de Proteção de Dados (LGPD) é assegurar que o tratamento de dados pessoais, seja ele com a base legal que for, não cause riscos e danos aos direitos do titular dos dados. Seu tratamento tem consequências e interferências diretas na vida das pessoas que são os titulares de dados. Neste sentido, a lei determina o publicação do Relatório de Impacto à Proteção de Dados Pessoais. O documento consiste numa ferramenta de gestão de riscos para evitar que ocorram violações, especialmente de dados pessoais. Enquanto existem diversos procedimentos e práticas que podem ser implementados para proteger a infraestrutura, os ativos ou o modelo de negócio como um todo.
Segundo a LGPD, o RIPDP Relatório de Impacto à Proteção de Dados Pessoais consiste de:
“XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;”
Esta documentação auxilia uma empresa a reconhecer e identificar os riscos presentes em seus processos de tratamento de dados, bem como identificar se as medidas e procedimentos de segurança implementados estão compatíveis com riscos identificados. O RIPDP será muito positivo perante à “Autoridade Nacional de Proteção de Dados” (ANPD), aos clientes, fornecedores, parceiros, investidores ou autoridades de proteção de dados de países estrangeiros.
Algumas das questões que o RIPDP tem que regulamentar:
– O titular concorda com o tratamento?
– O tratamento é do interesse do titular?
– Há riscos à segurança da informação dos dados tratados?
– O controlador está efetivamente respeitando os direitos do titular?
– O titular dos dados está consciente dos riscos do tratamento?
Ao responder estes questionamentos, o Relatório descreverá os processos de “tratamento de dados” pessoais para avaliar a necessidade e proporcionalidade do tratamento. Permitirá a identificar os riscos para os direitos dos titulares e deve determinar medidas de segurança para tratamento de riscos.
Porque devemos fazer um RIPDP:
A Lei Geral de Proteção de Dados apresenta algumas situações na qual é necessária elaboração de um Relatório de Impacto à Proteção de Dados Pessoais:
Art. 10, II, 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
De acordo com esta disposição legal, toda vez que o tratamento de dados pessoais tiver como base legal somente o interesse legítimo do controlador, sem partir de consentimento, cumprimento de contrato, entre outras bases legais, é necessário efetuar o RIPDP.
No artigo 38 da LGPD dispõe que é competência e discricionariedade da ANPD exigir que as empresas e organizações produzam um Relatório de Impacto à Proteção de Dados Pessoais.
Existem diversos motivos para pensar em um Relatório de Impacto à Proteção de Dados Pessoais antes mesmo de este ser exigido pela ANPD, em especial considerando que a LGPD é uma lei que valoriza muito a proatividade e a prevenção de riscos por parte das empresas. Sabemos que para as leis de proteção de dados, mais grave do que sofrer vazamentos e incidentes de segurança com dados pessoais é não efetuar providências possíveis de prevenção e de segurança. Portanto, ao elaborar um RIPDP , uma empresa demonstra seu cuidado e proatividade com a segurança de seus tratamentos de dados. Citamos diversos motivos e benefícios ao se criar esta documentação mesmo sem exigência da ANPD:
Motivações:
01 – Avaliar o impacto dos tratamentos de dados;
02 – Obrigatoriedade quando o tratamento for baseado no interesse legítimo ou resultar em risco para os titulares;
03 – Mesmo sem ser obrigatório, é uma boa prática de gestão de riscos;
04 – Visto com bons olhos por parceiros comerciais e possíveis investidores
05 – Necessário para efetuar a transferência internacional de dados pessoais, uma vez que, devido à demora e incerteza jurídica sobre a LGPD e a ANPD, a posição do Brasil no ambiente internacional de proteção de dados ainda não se consolidou. Muitas Autoridades Nacionais de Proteção de Dados de países recipientes de dados brasileiros podem exigir um RIPDP para autorizar a transferência.
Benefícios:
1 – Caracteriza proatividade na conformidade com a LGPD;
2 – Apoia o funcionamento do Sistema de Gestão de Segurança da Informação;
3 – Compreensão dos riscos na proteção de dados pessoais e adoção de medidas no tratamento de riscos;
4 – Permite entender se os benefícios deste tratamento superam os riscos de proteção dos dados pessoais;
5 – Viabiliza a criação de protocolos sobre os riscos para qualquer parte envolvida no tratamento de dados;
6 – Evita danos à imagem e reputação da Empresa ´por violações de dados, vazamentos, multas, sanções.
Quem Participa da Criação do RIPDP:
O processo de criação do RIPDP consiste na compilação de todas as informações relevantes em uma documentação que possa ser analisada como um todo. Deste modo, é necessário que todas as fontes de informações relevantes em sua empresa participem do desenvolvimento desta documentação.
Claro que nem todos terão as mesmas responsabilidades e funções para a criação do documento, mas é importante deixar claro que todos os setores da empresa e até mesmo parceiros externos que sejam operadores de dados estejam dispostos e disponíveis para prestar as informações necessárias.
Como vimos acima, no artigo 10º da LGPD está disposto que a ANPD solicitará o RIPDP ao Controlador de Dados Pessoais. Porém, considerando que a lei define em seu artigo 41 que é responsabilidade do Encarregado de Proteção de Dados receber as comunicações da ANPD e tomar as providências necessárias, podemos afirmar que o Encarregado recebe o pedido de formulação do RIPDP da Autoridade, e deve então, em conjunto com o Controlador, orientar os funcionários e contratados sobre o tratamento de dados.
O Encarregado serve como guia para a elaboração do relatório, garantindo que ele esteja de acordo com as exigências da ANPD. Ele não formulará o Relatório sozinho, sendo necessária a colaboração de toda a Empresa, especialmente do Controlador de Dados Pessoais.
Veja alguns dos integrantes que são necessários para a sua elaboração:
– Encarregado;
– Proprietário do processo;
– Gestão de riscos e conformidade;
– Tecnologia da Informação;
– Segurança da Informação;
– Desenvolvimento de Software;
– Jurídico.
As decisões sobre o tratamento competem ao controlador, é ele quem identifica o risco ao titular, por isso a elaboração do Relatório é de sua responsabilidade. Na prática, o Encarregado tem como função concentrar demandas e sugerir melhores práticas necessárias entre o controlador e a ANPD. Assim, o Encarregado deve direcionar quais as informações devem constar no RIPDP e requisitar às áreas e participantes as informações que julgarem relevantes.
Não existe transferência de responsabilidade entre o operador e o controlador. O controlador não pode delegar a elaboração do RIPDP para o operador. O RIPDP é um documento do controlador, e a função do operador é em contribuir com as informações necessárias solicitadas pelo Encarregado em nome do Controlador. A Inovação Tecnologia, assim como todas as Empresas, estão aprimorando e investindo em seus processos de segurança de dados em todos os níveis. Bem como no fornecimento de um Sistema ERP que possibilita o tratamento das informações com segurança, sendo premissa disponibilizá-las somente para pessoas autorizadas ao seu tratamento com a devida conformidade.