Conhecido pela expressão Data Process Impact Assessment (DPIA) no Regulamento Geral de Proteção de Dados da União Europeia (GDPR); na legislação brasileira (LGPD) recebeu o nome de Relatório de Impacto à Proteção de Dados Pessoais (RIPD).
O RIPD é a documentação que deverá ser elaborado pelo responsável pelo tratamento dos dados pessoais (controlador), no qual deverá descrever os processos/ atividades de tratamento de dados pessoais que – na hipótese de violação de dados pessoas – possam gerar riscos aos direitos dos titulares, e ainda, deverá conter no referido relatório, as medidas de segurança da informação que foram empregadas pelo responsável pelo tratamento, para proteção dos dados pessoais dos titulares e minimização dos riscos (LGPD, art. 5º, XVII).
São características do RIPD:
– Documentação do responsável pelo tratamento (controlador);
– Descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais; e
– Medidas de salvaguarda e mitigação dos riscos, empregadas pelo controlador.
A necessidade de elaboração do RIPD deve considerar o contexto da atividade de tratamento, tendo como objetivo a identificação, mitigação de riscos aos titulares dos dados, consideradas aquelas atividades na qual há risco potencial aos direitos dos titulares dos dados. Entretanto, é importante observar que a autoridade nacional (ANPD) poderá determinar que o responsável pelo tratamento elabore o relatório de impacto à proteção de dados pessoais a qualquer momento (LGPD, art. 38).
Algumas atividades de tratamento têm maior aptidão de causarem riscos aos direitos dos titulares, de sorte que é recomendada a elaboração do RIPD. A título exemplificativo, vejamos algumas situações:
- Uso de novas tecnologias, que implique em tratamento de dados pessoal;
- Tratamento de dado pessoal sensível (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (LGPD, art. 5º, II);
- Tecnologias que processem (tratem) dados pessoais para viailizar tomada de decisões automatizada, e que produzam efeitos legais aos titulares de dados, tais como as decisões destinadas a definição de perfil pessoal, profissional, de consumo e de crédito ou os aspectos da personalidade (LGPD, art. 20);
- Tratamento de dados pessoais de criança e adolescentes (LGPD, art. 14);
- Tratamento de dados pessoais que possa resultar em algum tipo de dano patrimonial, moral, individual ou coletivo aos titulares de dados se houver vazamento (LGPD, art. 42);
- Nas hipóteses de tratamento de dados pessoais com base no fundamento jurídico do interesse legítimo do controlador (LGPD, art. 10, § 3 º).
É importante destacar, que a elaboração do RIPD, além de importante instrumento para o processo de conformidade, é uma ferramenta importante para identificação e mitigação dos riscos das atividades de tratamento de dados pessoais.
Por: Dr. Jean Carlos Fernandes