Artigos
O que é RIPD na LGPD?
19/09/2023
RIPD é uma sigla para Relatório de Impacto de Proteção de Dados, um documento muito importante para mostrar quais dados pessoais uma empresa está coletando, tratando, usando e compartilhando.
Mas antes de entender sobre esse documento, é muito importante compreender o conceito de LGPD. A Lei Geral de Proteção de Dados foi sancionada em 2018 e representa um marco legal na proteção de dados.
O objetivo é controlar a maneira como essas informações são utilizadas pelas empresas, além de proteger os direitos dos usuários em casos de vazamentos de dados.
Ela define como dado pessoal qualquer tipo de informação de um indivíduo que possa, tanto de maneira isolada como em conjunto com outros dados, definir a identidade da pessoa.
Desde que a LGPD foi regulamentada, ficou expressamente proibido coletar e utilizar informações pessoais nas estratégias de marketing sem a autorização do consumidor. Ela também proibiu a venda de informações para terceiros sem acordo de consentimento.
O RIPD é um documento importante para que essa lei seja respeitada, por isso, este artigo vai explicar um pouco mais sobre seu papel na LGPD, porque ele é importante, como deve ser elaborado e alguns requisitos específicos.
O que é RIPD na LGPD
RIPD é um documento que demonstra dados pessoais que são coletados, compartilhados, usados e tratados pelas empresas, bem como as medidas adotadas pelas organizações para reduzir os riscos relacionados aos direitos dos titulares.
Ele é formulado pelo controlador, descrevendo processos de tratamento de informações pessoais que podem representar riscos à liberdade civil e aos direitos fundamentais, além de mecanismos para mitigar outros riscos.
Um pet shop de banho e tosa de gatos deve elaborar esse documento para demonstrar os impactos da proteção de dados pessoais, no que diz respeito às operações de tratamento, levando em conta os segredos comercial e industrial.
Ele precisa conter, no mínimo, a descrição dos tipos de dados coletados, o método usado nesses processos, além de garantir a segurança das informações.
Porque é importante no cumprimento da LGPD?
Mais do que um documento, o RIPD é uma solução que ajuda a melhorar os processos, além de ser uma maneira de demonstrar que a empresa está em conformidade com a lei geral de proteção de dados.
A elaboração do relatório precisa ser feita previamente ao tratamento das informações, pois quando uma empresa decide iniciar o processamento de informações, precisa primeiro avaliar os níveis de riscos para os titulares.
Nesse contexto, o relatório precisa fazer parte da estrutura que vai compor as estratégias de proteção. Entre os resultados esperados com sua elaboração está a mitigação de riscos de privacidade.
Isso significa que uma confecção de uniforme personalizado lanchonete vai documentar os níveis de riscos prováveis para reduzi-los durante o tratamento de dados pessoais. Entre seus principais objetivos estão:
- Reduzir a ocorrência de incidentes;
- Melhorar a prestação de serviços;
- Conscientizar sobre a privacidade de dados;
- Demonstrar conformidade com a LGPD.
O relatório também traz mais segurança e garante os direitos dos titulares, ajuda a criar e introduzir novos processos e tecnologias, evitar infrações legais e afastar a possibilidade de multas administrativas contra a empresa.
O documento também está relacionado aos princípios de by design e by default, uma vez que tem o propósito de reduzir os riscos, realizando previamente a tratamento dos dados, além de ter percepção completa do ciclo de vida dessas informações.
Ele deve ser realizado pelas companhias porque está amparado pelos princípios da Responsabilidade e da Prestação de Contas, além de permitir a comprovação dos usos e garantir as melhores práticas em conformidade com a lei.
Como o relatório é elaborado?
O relatório precisa ser elaborado na fase inicial do programa ou projeto voltado para o tratamento de informações, assim sendo, deve estar presente desde a fase de concepção de um projeto, processo, produto ou serviço.
Uma loja de atacado de Salon Line creme de pentear 1kg deve incluir algumas informações específicas no relatório, como:
Identificar os agentes de tratamento e encarregados
O controlador é identificado como responsável pelo tratamento das informações, podendo ser uma pessoa natural ou jurídica, de direito público ou privado e quem vai tomar as decisões referentes ao tratamento dos dados pessoais.
Quanto ao operador, pode ser pessoa física ou jurídica que vai processar e tratar os dados em nome do controlador. Já o encarregado é a pessoa indicada pelo controlador e pelo operador para funcionar como canal de comunicação.
Necessidade de elaborar o relatório
A empresa precisa determinar quais são os projetos, produtos, serviços e processos elegíveis à realização do documento.
Mesmo não tendo clareza em relação aos critérios para definir a necessidade de realizar o RIPS, existem alguns critérios que indicam que o tratamento precisa dessa avaliação.
Para uma clínica especializada em cirurgia de catarata canina, isso pode se aplicar caso seja necessário fazer monitoramento sistemático ou trabalhar com dados sensíveis e de natureza altamente pessoal.
Descrever o tratamento
É muito importante descrever os processos de tratamento das informações pessoais que podem gerar algum tipo de risco, levando em conta o escopo, a finalidade do tratamento e sua natureza.
A natureza mostra como a empresa trata ou pretende tratar os dados, o escopo demonstra a abrangência do tratamento, o contexto indicar fatores que podem impactar esse processo e a finalidade é o motivo para tratar as informações pessoais.
Identificar as partes interessadas
Neste item, a organização vai destacar as partes consultadas sobre o tratamento, como no caso do encarregado, titulares, advogados, consultores externos e gestores.
O simples ato de procurar informações na internet, como clínica veterinária popular telefone, já pode ajudar as empresas a coletarem e armazenarem informações sobre os usuários.
Nesse contexto, identificar as partes interessadas é muito importante para observar o tratamento no que diz respeito aos riscos.
Riscos à proteção de dados
Nesta etapa, a empresa vai identificar os riscos claramente, e para cada um deles, estabelecer a probabilidade de ocorrência e os impactos que pode provocar.
Alguns exemplos de riscos são o acesso não autorizado, perda, roubo, impossibilidade de atender aos direitos do titular, divulgações não autorizadas e até informações insuficientes sobre a finalidade do tratamento.
Requisitos específicos relacionados ao RIPD
A noção de obrigatoriedade ao elaborar esse relatório de impacto está relacionada aos riscos que a atividade de tratamento de informações pessoais pode apresentar.
Mas muitos gestores se perguntam se todo tipo de atividade que representa algum tipo de risco para o titular precisa ser representada durante a elaboração do relatório.
Uma empresa de aluguel de ônibus executivo precisa estar atenta a isso porque, inegavelmente, as atividades de tratamento de informações pessoais não são suficientes para apresentar algum risco para os titulares.
Em outras palavras, se o propósito da elaboração de relatórios de impacto fosse simplesmente para apresentar os riscos de uma atividade, qualquer uma precisaria dessa elaboração.
O fato é, que o desenvolvimento de um relatório de impacto está relacionado às demandas que podem apresentar algum tipo de risco para os titulares e que precisam ser regulamentadas pela autoridade nacional.
No artigo 10, parágrafo 3º da LGPD, é dito que a Agência Nacional de Proteção de Dados pode solicitar o relatório ao controlador, caso ocorra tratamento de dados sensíveis e de legítimo interesse.
Mas um fabricante de placa cimentícia 3D fachada precisa observar que não existe qualquer obrigatoriedade de desenvolvimento de relatórios de impacto pelos agentes de tratamento para os casos citados.
Isso mostra que os relatórios de impacto não são documentos obrigatórios, conforme o que consta na lei, mas podem ser, dependendo dos regulamentos e determinações futuras da autoridade nacional.
Além disso, ao falar sobre esse relatório, muitos acreditam que se trata apenas de uma descrição dos riscos inerentes ao tratamento de dados pessoais, mas ele também traz muitos benefícios para a organização e os titulares.
Um fabricante de crachá de identificação para educação infantil vai incluir a metodologia usada em seu desenvolvimento e com isso mostrar para a autoridade competente que está cumprindo as exigências da lei.
Ao mesmo tempo, os titulares terão acesso claro ao modo como suas informações estão sendo trabalhadas pela empresa e com isso se certificar de que elas estão sendo devidamente protegidas.
Considerações finais
Ao mesmo tempo em que a internet facilita a coleta de dados que melhoram as estratégias de marketing, comunicação e vendas de uma empresa, os riscos de vazamento são muito grandes.
Para os usuários, esse problema traz muita dor de cabeça porque coloca em risco informações sensíveis, que podem ser usadas por criminosos.
Para proteger as pessoas e garantir a conformidade das atividades organizacionais, surgiu a Lei Geral de Proteção de Dados.
A empresa garante o cumprimento dessa legislação por meio do relatório de impacto de proteção de dados, mostrando como trabalha com essas informações e garantindo a proteção e o uso devido desses dados.
Esse texto foi originalmente desenvolvido pela equipe do blog Guia de Investimento, onde você pode encontrar centenas de conteúdos informativos sobre diversos segmentos.
Voltar