O primeiro passo é saber quem é o responsável pelo RIPD.
O RIPD é de responsabilidade do CONTROLADOR, ou seja, o responsável pelas decisões acerca do tratamento dos dados. Sendo assim, é importante ressaltar que o Encarregado pelo Tratamento de Dados Pessoais (ou DPO) é a pessoa nomeada pelo Controlador para realizar a gestão dos dados pessoais na empresa. Ele pode ser o responsável por redigir ou, quando não, deve avaliar o relatório e dar um parecer.
O que colocar na RIPD?
No mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
RIPD deve ser atualizada?
Sim o RIPD deve seguir com as diretrizes da empresa e ser atualizada caso as estratégias de segurança da informação sofram alterações
Quando é preciso fazer uma RIPD
A elaboração do RIPD se enquadra nos casos em que:
- O tratamento dos dados tiver como Base Legal apenas o interesse legítimo do Controlador ou de terceiros (art. 10º, inciso II, §3º);
- O tratamento gerar riscos às liberdades civis e aos direitos fundamentais dos Titulares (art. 5º, inciso XVII e art. 17º);
- Ocorrer tratamento de dados sensíveis em grande volume (art. 50º, § 2º, inciso I, alínea c);
- O tratamento for relativo a dados provenientes de fora do território nacional e não sejam objeto de comunicação, no uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência (art. 4º, inciso IV);
- Haja rastreamento da localização dos indivíduos ou qualquer outra ação de tratamento que vise a formação de perfil comportamental (art. 12º, § 2º);
- O tratamento seja de dados de crianças e/ou adolescentes (art. 14º);
- O tratamento seja realizado para tomar decisões de forma automatizadas que possam ter efeitos legais, incluídas decisões destinadas a definir o perfil pessoal, profissional, de consumo e crédito ou aspectos da personalidade do Titular (art. 20º);
- Em outras situações de alto risco, conforme apresentado pelo art. 55º-J;
- Conforme solicitação da ANPD (art. 38º);
- Haja utilização de uma nova tecnologia, serviço ou outra iniciativa que tratará dados pessoais, bem como, alterações na estrutura organizacional, resultante da incorporação, fusão ou cisão de instituições, a fim de atender o proposto pela Lei Geral de Proteção de Dados e garantir os direitos estabelecidos por esta.