A Autoridade Nacional de Proteção de Dados (ANPD) divulgou algumas perguntas e respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), documento previsto nos artigos 5º e 38 da LGPD. A publicação traz o posicionamento da autoridade sobre a gestão do RIPD, desde as hipóteses em que se deve ser elaborado e seus requisitos mínimos até o momento em que será necessário apresentá-lo à ANPD.
Enquanto o processo de regulamentação do RIPD ainda está em andamento, conforme Agenda Regulatória para o biênio 2023/2024, essas perguntas e respostas indicam o rumo que a regulamentação deve tomar e o que a ANPD considera como adequado hoje.
A recomendação é que o RIPD seja elaborado quando o processo de tratamento de dados pessoais se enquadrar nas situações específicas já previstas na LGPD, ou seja:
nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
quando o tratamento tiver como fundamento a hipótese de interesse legítimo;
para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD, e
para controladores em geral, quanto às suas operações de tratamento que possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais da LGPD, bem como às liberdades civis e aos direitos fundamentais do titular.
Quanto a essa última situação, consideram-se processos de tratamento de dados pessoais de alto risco aqueles que se enquadram no conceito previsto no Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte (Resolução ANPD nº 2/2022), em que deve haver, ao menos:
(i) um critério geral: atividade de larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares, e
(ii) um critério específico: uso de tecnologias emergentes ou inovadoras, existência de vigilância ou controle de zonas acessíveis ao público, tomada de decisões unicamente com base em tratamento automatizado de dados pessoais, ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos.
A elaboração do RIPD deve ocorrer já no início de um processo em que haja o tratamento dos dados pessoais conforme enquadrado nos casos acima, para possibilitar que o controlador avalie possíveis riscos. Para os processos que já estiverem em andamento, deverá ser elaborado RIDP assim que identificado que um tratamento que possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais, às liberdades civis e aos direitos fundamentais dos titulares em questão.
A documentação do RIPD conforme essas orientações da ANPD é de suma importância para que controladores de dados pessoais aumentem o nível de maturidade de um programa de governança em privacidade e proteção de dados pessoais.
Caso queira mais informações, entre em contato com nossa equipe especializa em Privacidade e Proteção de Dados Pessoais.