Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

  • Em 4 de maio de 2023

A Autoridade Nacional de Proteção de Dados divulgou no mês de abril um perguntas e respostas mais frequentes sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD). O processo de regulamentação do tema está em andamento.

5 questões mais frequentes:

1. O que é RIPD?

É a descrição dos processos de tratamentos de dados pessoais, suas medidas de segurança e mitigação de risco, sempre que envolver um alto risco às liberdades e direitos fundamentais do titular de dados.

2. O que é considerado alto risco? 

Em geral, quando identificada a ocorrência de ao menos um critério geral (“larga escala” ou “afetar significativamente interesses e direitos fundamentais dos titulares”) mais um critério específico (“uso de tecnologias emergentes ou inovadoras”, “vigilância ou controle de zonas acessíveis ao público”, “decisões tomadas unicamente com base em tratamento automatizado de dados pessoais” ou “utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos”).

3. Quais informações sobre o tratamento de dados devem estar no relatório?

Descrição do tratamento (desde a coleta até a eliminação);

Dados pessoais (informar todos os tipos de dados pessoais tratados, de forma completa);

iii. Dados pessoais sensíveis (informar todos os tipos de dados pessoais sensíveis tratados, de forma completa);

Categorias de titulares (por exemplo, clientes, funcionários do controlador, filhos de funcionários do controlador, funcionários de clientes, autores de ações judiciais, beneficiários de apólices, terceiros prestadores de serviços);

Dados de crianças e adolescentes ou de outra categoria de vulneráveis, como idosos, se houver;

Volume de dados pessoais tratados e número de titulares envolvidos no tratamento;

vii. Fonte de coleta;

viii. Finalidade do tratamento (Justifique a finalidade de tratamento para cada dado);

Informar quais são os compartilhamentos internos e externos (inclusive transferência internacional, se houver);

Política de armazenamento (descrever os prazos de retenção e métodos de descarte);

4. Quando é recomendável ter o RIPD?

  • quando envolver dados sensíveis (art. 38);
  • nos casos de tratamentos fundamentados no interesse legítimo (art. 10, § 3º)
  • nas operações de tratamento para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, § 3º).

5. Quem deve elaborar o relatório?

O controlador é o agente de tratamento responsável pela elaboração do RIPD. É também recomendável que o Encarregado de Dados (DPO) seja consultado na elaboração e na análise das conclusões do RIPD.

 

Fonte: gov.br

0 Comentários

rararararararafvcx vzxcsdzxvc