NOTÍCIAS
A importância do relatório de impacto à proteção de dados na LGPD
10 DE OUTUBRO DE 2023
O relatório deverá ser suficientemente detalhado, para que o modo de tratamento de dados e seus possíveis riscos sejam compreendidos amplamente pelo controlador e pela ANPD.
O Relatório de Impacto à Proteção de Dados – RIPD, conhecido comumente por DPIA (Data Protection Impact Assessment) é um documento que contém a descrição dos processos de tratamentos de dados pessoais que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoas, previstos na Lei de Proteção de Dados – LGPD.
A elaboração do RIPD, embora não obrigatório a todas as empresas, é um instrumento extremamente benéfico na adequação das empresas à LGPD e na propagação de uma cultura corporativa mais adequada as exigências atuais do mercado, principalmente ao que tange a proteção de dados pessoais sensíveis.
É essencial para garantia da transparência das empresas com o titular de dados, e a preparação para eventuais incidentes de segurança, com um procedimento pré-estabelecido de mitigação dos danos, a elaboração do RIPD.
O DPIA deverá ser elaborado pelo controlador, empresa ou pessoa a quem competem as decisões referentes ao tratamento de dados pessoais, como a coordenação e definição do modo de tratamento do dado, desde o momento da coleta até a sua eliminação.
O RIPD poderá ser exigido pela ANPD em situações específicas, como em operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, ou quando o tratamento tiver como fundamento a hipótese de interesse legítimo, para agentes do Poder Público, incluindo por determinação quanto à publicação do RIPD, ou para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis.
Além das situações mencionadas acima, o DPIA poderá ser exigido para atender ao princípio da responsabilização e prestação de contas e, em cumprimento dos princípios de segurança e de prevenção, com a implementação do programa de governança em privacidade que estabelece políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade, procedimento que poderá envolver a necessidade de elaboração do Relatório.
A LGPD e os regulamentos publicados pela ANPD não trazem ainda requisitos essenciais para elaboração e o conteúdo obrigatório do RIPD. Desse modo, recomenda-se que o DPIA seja elaborado pelo controlador antes de iniciar o tratamento de dados pessoais, para que ele possa avaliar, de antemão, os possíveis riscos ligados a esse tratamento.
Com a elaboração do RIPD anterior ao início do tratamento, o controlador poderá identificar a probabilidade de ocorrência de cada fator de risco e o seu impacto sobre as liberdades e direitos fundamentais do titular e adotar medidas e mecanismos de mitigação do risco em cada hipótese.
Caso o tratamento já tenha sido iniciado, e não houve a elaboração do DPIA, é recomendado que ele seja elaborado logo que identificado um tratamento que possa gerar alto risco à garantia dos princípios gerais de proteção de dados e às liberdades civis e direitos fundamentais do titular de dados.
Como não ainda não há orientações específicas da ANPD acerca do conteúdo mínimo do RIPD, é possível apoiar-se nas orientações do Grupo de Trabalho Artigo 29, órgão consultivo constituído pela UE para “a Proteção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais”, que indica que o RIPD deve conter:
- Descrição sistemática das operações de tratamento previstas e o objetivo do tratamento, inclusive se o relatório for exigido em casos de interesses legítimos do responsável pelo tratamento;
- Avaliação da necessidade e proporcionalidade das operações de tratamento, no tocante do objetivo final;
- Avaliação das medidas previstas, em contraponto aos riscos, estando inclusos as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção de dados pessoais e demonstrar a conformidade com a Legislação.
O RIPD deverá ser suficientemente detalhado, para que o modo de tratamento de dados e seus possíveis riscos sejam compreendidos amplamente pelo controlador e pela ANPD.
Fonte: Migalhas
Outras Notícias
Portal CNJ
Podcast amplia visibilidade sobre atuação da Justiça Militar Gaúcha
06 de novembro de 2023
O Tribunal de Justiça Militar do Rio Grande do Sul (TJMRS) lança nesta segunda-feira (6/11), o seu podcast...
Anoreg RS
Regularização Fundiária será tema de seminário em Caxias do Sul
06 de novembro de 2023
Evento abordará de forma multidisciplinar como a REURB pode ser um instrumento de inclusão social e prevenção de...
Portal CNJ
Evento discute atuação dos cartórios no combate à lavagem de dinheiro e ao financiamento do terrorismo
06 de novembro de 2023
O combate à corrupção, a atividades financeiras ilícitas e à utilização de recursos no fortalecimento de...
IRIRGS
Regularização fundiária será tema de seminário em Caxias do Sul
06 de novembro de 2023
Durante os dias 09, 10 e 11 de novembro, Caxias do Sul será palco de intensos debates sobre regularização...
Anoreg RS
Metas do Judiciário para 2024 entram em consulta pública
06 de novembro de 2023
A proposta de Metas Nacionais para o Poder Judiciário durante o ano de 2024 vai contar com a opinião da sociedade...