ANPD publica página com perguntas e respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais
Em 06 de abril de 2023 a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou uma página de perguntas e respostas com o intuito de esclarecer alguns pontos a respeito do Relatório de Impacto à Proteção de Dados Pessoais (RIPD). A página contém quinze perguntas e suas respectivas respostas, que servem como um guia inicial para a elaboração da documentação, em que pese o tema ainda estar em processo de regulamentação.
Lembramos que a Lei Geral de Proteção de Dados Pessoais (LGPD) define o Relatório de Impacto à Proteção de Dados Pessoais como a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Dentre as orientações contidas na página, destaca-se que a ANPD recomenda a elaboração do RIPD nos casos em que a operação de tratamento possa gerar alto risco, diferentemente do que indica a definição legal acima mencionada. Enquanto não for editado um regulamento específico, deve ser considerado o conceito de alto risco contida na Resolução CD/ANPD nº 2/2022, que utiliza critérios como o tratamento em larga escala, uso de tecnologias inovadoras, utilização de dados pessoais sensíveis etc.
A autoridade recomenda ainda que a elaboração do RIPD seja feita antes da operação de tratamento. Caso isso não seja possível, recomenda-se então que ele seja elaborado assim que for identificado que um determinado tratamento possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados.
Ressalte-se que a LGPD determina que o RIPD deve conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Não obstante, a ANPD recomenda a inclusão de uma série de outras informações, como a identificação dos agentes de tratamento e encarregado, outras partes interessadas/envolvidas, justificativa da necessidade de elaboração do RIPD etc.
A equipe do Boltz Advogados está à disposição para auxiliar com o tema.