ANPD publica orientações sobre o Relatório de Impacto à Proteção de Dados Pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) publicou uma página com diretrizes para a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), em 6 de abril de 2023. Os esclarecimentos publicados pela autoridade são considerações preliminares sobre o tema, que ainda está em processo de regulamentação.

As perguntas e respostas divulgadas pela ANPD detalham o objeto de um RIPD, quando e como esse deve ser elaborado pelo controlador, dados que devem constar do documento, a definição do conceito de “alto risco” de um tratamento de dados, dentre outras informações que não estão reguladas na Lei Geral de Proteção de Dados (LGPD).

Principais destaques

• Alto risco: enquanto a LGPD menciona que o RIPD é a documentação elaborada sobre atividades de tratamento de dados que podem gerar risco, de forma geral, às liberdades civis e aos direitos fundamentais, a ANPD apresenta o entendimento de que o RIPD se refere a processos de tratamento que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais e às liberdades civis e aos direitos fundamentais do titular. Enquanto o regulamento específico sobre o RIPD não for editado, pode-se adotar como parâmetro a definição de “alto risco” prevista no artigo 4º da Resolução n° 2/2022 da ANPD, que trata da aplicação da LGPD para os agentes de tratamento de pequeno porte;
• Momento para elaboração: a ANPD recomenda que o RIPD seja elaborado antes do controlador iniciar o tratamento dos dados pessoais para que seja possível avaliar, de antemão, os potenciais riscos apresentados pelo tratamento. No entanto, caso isso não seja possível, o RIPD deverá ser elaborado assim que o controlador identificar que o tratamento realizado é capaz de gerar alto risco. Em todo caso, a documentação deverá ser apresentada pelo controlador se solicitada pela ANPD;
• Gestão de risco: a identificação e análise dos fatores de risco devem ser documentadas e justificadas para demonstrar que as decisões tomadas foram as mais adequadas com base nas informações disponíveis no momento. Para cada fator identificado, o controlador deve estimar a probabilidade de materialização do risco e o impacto inerente. Esse impacto dependerá dos danos que possam ser causados aos titulares, em particular no âmbito dos seus direitos e liberdades;
• Divulgação do RIPD ao público: a divulgação do RIPD para o público em geral não é obrigatória. No entanto, o controlador poderá disponibilizar o RIPD como forma de atendimento aos princípios da transparência, livre acesso, responsabilização e prestação de contas. A versão pública do RIPD pode ser distinta da versão interna a fim de resguardar os segredos comercial e industrial, além de outras informações protegidas por lei;
• Revisão contínua: o RIPD deve ser revisado continuamente, principalmente quando fatos novos puderem ensejar mudanças nos riscos identificados, ou no caso de novas regulamentações emitidas pela ANPD.

Conteúdo

É importante que o RIPD seja suficientemente detalhado para que a ANPD e o controlador tenham ampla compreensão de como ocorre o tratamento e os riscos a ele associados.

A ANPD recomenda que o RIPD apresente as seguintes informações, dentre outras especificadas na página:

• Identificação dos agentes de tratamento e encarregado e outras partes envolvidas ou interessadas;
• Justificativa da necessidade para elaboração do relatório (por exemplo: identificação de alto risco, solicitação da ANPD, prevenção etc.);
• Análise do tratamento de dados, incluindo descrição do tratamento (desde a coleta até a eliminação); dados pessoais coletados; categorias de titulares envolvidos; se há coleta de dados de crianças e adolescentes ou outra categoria de vulneráveis (como idosos, se aplicável); volume de dados pessoais tratados e número de titulares envolvidos; fonte de coleta dos dados; finalidade do tratamento com justificativa do recolhimento de cada dado; compartilhamento externo e interno, incluindo transferência internacional; e política de armazenamento dos dados com descrição dos prazos de retenção e métodos de descarte;
• Identificação da(s) base(s) legal(is) e análise do atendimento de princípios da LGPD;
• Riscos identificados com avaliação da probabilidade de materialização do risco e o impacto efetivo ao titular;
• Medidas e salvaguardas, incluindo a medida adotada para mitigação de cada risco, reavaliação do risco após a adoção de medida e indicação de eventual risco residual.

Enquanto a matéria não for regulamentada, os controladores de dados têm flexibilidade para determinar as melhores estruturas e formatos do RIPD, observadas as disposições da LGPD.

De acordo com a agenda regulatória da ANPD para o biênio 2023-2024, o regulamento sobre RIPD é uma das prioridades da autoridade. A ANPD informou que o processo de regulamentação do RIPD já foi iniciado e encontra-se em fase de elaboração.

Para mais informações sobre o tema, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.