Relatório de Impacto à Proteção de Dados Pessoais (RIPD / PIA)

Definição (Art. 5º, XVII)

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Obrigatoriedade e determinação (Art. 38)

A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

O controlador de dados pessoais é o agente de tratamento responsável pela elaboração do RIPD. A ANPD pode exigir o relatório quando as operações representarem alto risco aos direitos dos titulares.

Conteúdo mínimo do RIPD (Art. 38, parágrafo único)

O relatório deverá conter, no mínimo:

• a) a descrição dos tipos de dados coletados;
• b) a metodologia utilizada para a coleta e para a garantia da segurança das informações;
• c) a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Tratamento baseado em legítimo interesse (Art. 10, § 3º)

A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Poder Público (Art. 32)

A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.

Registro de operações (Art. 37)

O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Segurança e medidas técnicas (Art. 46)

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

As medidas de segurança devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Comunicação de incidentes (Art. 48)

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A comunicação será feita em prazo razoável e deverá mencionar a descrição da natureza dos dados afetados, informações sobre os titulares envolvidos, medidas de proteção utilizadas e riscos relacionados ao incidente.

Competência da ANPD (Art. 55-J, XIII)

Compete à ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei.

Quando elaborar o RIPD

A ANPD recomenda elaborar o RIPD quando as operações de tratamento de dados pessoais possam gerar alto risco aos direitos fundamentais dos titulares. Situações que tipicamente exigem ou recomendam o relatório incluem:

• tratamento baseado em legítimo interesse (Art. 7º, IX);
• operações envolvendo dados sensíveis;
• tratamentos em grande escala;
• decisões automatizadas com efeitos significativos;
• monitoramento sistemático de titulares;
• transferência internacional de dados para países sem nível adequado de proteção.

Contato

Para informações sobre o PIA/RIPD da Maestre ou esclarecimentos sobre nossas operações de tratamento de dados:

Referência: Lei nº 13.709/2018 (LGPD). Informações adicionais sobre o RIPD em gov.br/anpd.