RIPD é a sigla para Relatório de Impacto à Proteção de Dados, uma das exigências previstas na LGPD. Trata-se de um documento de responsabilidade do controlador dos dados, onde são descritos os processos de tratamento dos dados que podem gerar eventuais riscos aos respectivos titulares.
Além disso, o relatório também deve apresentar todas medidas e mecanismos de mitigação de riscos adotados pelo controlador no processo de tratamento de dados, conforme descreve o artigo 5º, inciso XVII da LGPD.
Sendo assim, uma vez que tem como intuito a mitigação de riscos, o Relatório de Impacto à Proteção de Dados deve ser feito antes de serem iniciadas as atividades de tratamento.
De toda maneira, ele deve estar dentro dos procedimentos de privacidade adotados pela empresa. Assim, a instituição estará dentro dos termos colocados na LGPD, principalmente:
- finalidade do tratamento, ou seja, a avaliação dos propósitos do tratamento;
- adequação de acordo com as avaliações de compatibilidade das finalidades pretendidas conforme o contexto do tratamento;
- quais medidas de segurança serão aplicadas para proteger os dados pessoais de eventuais acessos não autorizados;
- princípio de minimização, isto é, revisão da necessidade dos dados tratados, considerando tratar somente o estritamente necessário para a finalidade;
- prevenção de problemas.
Para este último ponto, temos as medidas de segurança que irão evitar que ocorram complicações. Dessa forma, são adotadas medidas que diminuem os danos que os dados podem sofrer.
O RIPD deverá ou poderá ser solicitado pela ANPD
- Tratamento de dados pessoais fundamentado no legítimo interesse do controlador.
Art. 10, § 3º:
A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de
dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo,
observados os segredos comercial e industrial. - Capítulo IV – Tratamento de Dados Pessoais pelo Poder Público
Seção II – Das Responsabilidades
Art. 32 A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de
relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas
práticas para os tratamentos de dados pessoais pelo Poder Público. - Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de
impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas
operações de tratamento de dados, nos termos de regulamento, observados os segredos
comercial e industrial.
Ficou com dúvidas? Entre em contato, nossos consultores estão prontos para atende-lo