Dentro da LGPD, há várias situações em que a Autoridade de Proteção de Dados pode determinar a elaboração do RIPD para mensurar o impacto à proteção de dados pessoais.
1 – O que é o RIPD?
Segundo o artigo 5º, inciso XVII, da LGPD, é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
2 – Qual o fundamento legal?
Em seu artigo 38, a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, dispõe que a ANPD (Autoridade Nacional de Proteção de Dados) poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial. Ainda, a referida Autoridade poderá solicitar ao Controlador a elaboração do RIPD, quando o tratamento for realizado com base em seu legítimo interesse (artigo 10, § 3º, LGPD), bem como para os agentes do Poder Público, com base no artigo 32 da LGPD.
3 – Quais as informações devem ser inseridas no RIPD?
O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
4 – Quem é responsável pela elaboração?
O RIPD é de responsabilidade do CONTROLADOR e não do Encarregado pelo Tratamento de Dados Pessoais (DPO). Este, sendo o profissional que conhece a fundo a LGPD, deverá avaliar o relatório e dar um parecer, mas a elaboração é do Controlador.
Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a
