ANPD divulga informações sobre Relatório de Impacto à Proteção de Dados Pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente uma página contendo perguntas e respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD). O objetivo é promover compreensão e sanar possíveis dúvidas das organizações que precisam se adequar à LGPD como, por exemplo, as cooperativas, também chamadas pela lei de agentes de tratamento de dados pessoais.   

O RIPD é um dos documentos essenciais para a conformidade (Saiba quais são os documentos essenciais para estar em conformidade com a LGPD) e deve ser elaborado nas atividades de tratamento de dados pessoais que possam gerar alto risco às liberdades civis e aos direitos fundamentais dos titulares, conforme previsão expressa da LGPD. 

A regulamentação do RIPD ainda se encontra em andamento. Por isso, as perguntas e respostas divulgadas pela ANPD dão um direcionamento provisório sobre a matéria e indícios de pontos que devem estar previstos na futura norma da matéria. 

Os principais pontos do material orientativo são:  

1. Dever de elaboração 

A ANPD reforçou o que já está indicado na LGPD, ou seja, que compete ao controlador de dados pessoais (assim compreendido como a pessoa física ou jurídica que toma decisões sobre as finalidades principais do tratamento de dados pessoais) a elaboração do relatório. 

2. Hipóteses de elaboração 

Em regra, todas as operações de tratamento de dados pessoais que resultem em alto risco às liberdades civis e aos direitos fundamentais devem ser objeto de RIPD. A LGPD estabelece ainda alguns cenários em que o RIPD poderá ser exigido: 

• Nas operações de tratamento realizadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, § 3º); 
• Quando o tratamento tiver como fundamento a hipótese de interesse legítimo (art. 10, § 3º); 
• Para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD (art. 32); e 

• Para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis (art. 38). 

3. Quando elaborar 

Preferencialmente, o RIPD deve ser elaborado antes do início da atividade de tratamento de dados pessoais, para que seja possível avaliar, previamente, os possíveis riscos associados ao tratamento. Em não sendo possível, a ANPD recomenda que ele seja elaborado tão logo se identifique um tratamento que possa gerar alto risco. 

4. Quantidade de operações no RIPD 

É comum os controladores se questionarem sobre a possibilidade de realizar um único RIPD para mais de uma operação de tratamento de dados pessoais. A ANPD indica que a reunião de atividades é razoável quando as operações sejam similares em termos de natureza, finalidade e riscos. 

5. Atividade de alto risco 

A ANPD indica que a elaboração do RIPD é obrigatória nas atividades de tratamento de dados pessoais que possam gerar alto risco às liberdades civis e aos direitos fundamentais dos titulares. 

A definição de “alto risco”, no entanto, ainda é incerta e, enquanto aguarda regulamentação específica, a ANPD recomenda que os controladores adotem os parâmetros de alto risco definidos no art. 4º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, aprovado pela Resolução nº 2/2022. 

A imagem abaixo, extraída do site da ANPD, apresenta os critérios que podem ser avaliados pelos agentes de tratamento: 

Figura 1 – Critérios indicados pela ANPD para definição de alto risco 

Caso a atividade de tratamento de dados pessoais realizada pela cooperativa reúna um dos critérios gerais e um dos critérios específicos acima indicados, ela será considerada de alto risco, sendo recomendável a elaboração do RIPD. 

Importante: A ANPD informa expressamente que os critérios não são exaustivos, sendo dever do controlador verificar a existência do alto risco em situações diversas, em conformidade com o princípio da responsabilização e prestação de contas.

Conheça os princípios definidos pela LGPD 

 6. Consulta ao Encarregado pelo tratamento de dados pessoais (DPO) 

A ANPD indica ser desejável que o Encarregado seja consultado na elaboração e na análise das conclusões obtidas a partir do RIPD. 

Conteúdo do RIPD 

É recomendável que o RIPD reúna os seguintes dados e informações: 

• Identificação dos agentes de tratamento e do encarregado; 
• Outras partes interessadas/envolvidas e informar se foram consultadas na elaboração do RIPD e pareceres emitidos; 
• Justificativa da necessidade de elaboração do relatório (por exemplo: alto risco, solicitação da ANPD, gestão de riscos e prevenção, outros); 
• Projeto/Processo que justifica a elaboração do RIPD; 
• Sistemas de informação relacionados ao projeto/processo que justifica a elaboração do RIPD; 
• Informações sobre o tratamento de dados: 

1. 1. Descrição do tratamento (desde a coleta até a eliminação);
   2. Dados pessoais e dados pessoais sensíveis (informar todos os tipos tratados, de forma completa);
   3. Categorias de titulares (por exemplo, clientes, funcionários do controlador, filhos de funcionários do controlador, funcionários de clientes, autores de ações judiciais, beneficiários de apólices, terceiros prestadores de serviços);
   4. Dados de crianças e adolescentes ou de outra categoria de vulneráveis, como idosos, se houver;
   5. Volume de dados pessoais tratados e número de titulares envolvidos no tratamento;
   6. Fonte de coleta;
   7. Finalidade do tratamento (Justifique a finalidade de tratamento para cada dado);
   8. Informar quais são os compartilhamentos internos e externos (inclusive transferência internacional, se houver);
   9. Política de armazenamento (descrever os prazos de retenção e métodos de descarte);
   10. Análise de hipótese legal. Justifique a escolha da hipótese legal para cada finalidade de tratamento.

• Análise de princípios da LGPD;
• Riscos identificados ao titular;
• Resultado apurado com base na metodologia utilizada pelo agente de tratamento;
• Medidas, salvaguardas e mecanismos de mitigação de risco;
• Comentários e aprovações.

 Abaixo, é possível visualizar um fluxograma disponibilizado pela ANPD, envolvendo o clico de monitoramento acerca da necessidade ou não de elaboração do RIPD: 

Através do material divulgado, a ANPD reforça seu papel orientativo em relação às boas práticas de proteção de dados pessoais. É imprescindível que as cooperativas avaliem atentamente as informações divulgadas e identifiquem se suas operações de tratamento de dados pessoais se enquadram nas definições apresentadas e, se necessário, providenciem a elaboração dos RIPDs com brevidade. 

Vale recordar que a não confecção deste documento nas hipóteses em que  é obrigatório, ou a sua disponibilização, quando solicitado pela ANPD, configura descumprimento da LGPD e pode resultar na instauração do processo administrativo sancionador e na aplicação de penalidades administrativas. 

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de orientação pela ANPD para que as cooperativas possam monitorar os impactos gerados na estruturação e manutenção dos programas de conformidade.