Proteção de Dados

Pessoais no Serviço
Público
Módulo

4 Relatório de Impacto à
Proteção de Dados Pessoais
Fundação Escola Nacional de Administração Pública

Presidente
Diogo Godinho Ramos Costa

Diretor de Desenvolvimento Profissional

Paulo Marques

Coordenador-Geral de Educação a Distância

Carlos Eduardo dos Santos

Conteudista/s
Julierme Rodrigues da Silva (conteudista, 2019)

Curso produzido em Brasília 2019.

Enap, 2020

Enap Escola Nacional de Administração Pública

Diretoria de Educação Continuada
SAIS - Área 2-A - 70610-900 — Brasília, DF

Enap Fundação Escola Nacional de Administração Pública 2

Sumário
1. Relatório de Impacto à Proteção De Dados Pessoais...................... 5

Enap Fundação Escola Nacional de Administração Pública 3

Enap Fundação Escola Nacional de Administração Pública 4
 4
Módulo
Relatório de Impacto à
Proteção de Dados Pessoais
1. Relatório de Impacto à Proteção De Dados Pessoais
O Relatório de Impacto à Proteção dos Dados Pessoais - RIPD representa documento fundamental
a fim de mostrar os dados pessoais que são coletados, tratados, usados, compartilhados e quais
medidas são adotadas para a mitigação dos riscos que possam afetar as liberdades civis e direitos
fundamentais dos titulares desses dados.

Segundo o inciso XVII do art. 5º da LGPD, o RIPD é documentação que deve ser mantida pelo
Controlador dos dados pessoais. O Controlador é a “pessoa, natural ou jurídica, de direito
público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais”
(LGPD, art. 5º, VI). Tal inciso também apresenta o que a LGPD considera como RIPD.

Art. 5º Para os fins desta Lei, considera-se:

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador

que contém a descrição dos processos de tratamento de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas
e mecanismos de mitigação de risco.

Embora o art. 5º, inciso XVII defina o que é um RIPD, o seu conteúdo mínimo é indicado pelo
parágrafo único do art. 38:

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório
de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas
operações de tratamento de dados, nos termos de regulamento, observados os segredos
comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter,
no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a
coleta e para a garantia da segurança das informações e a análise do controlador com
relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Enap Fundação Escola Nacional de Administração Pública 5

A seguir serão apresentadas as etapas para a elaboração de um Relatório de Impacto à Proteção
dos Dados Pessoais - RIPD, orientando a descrição dos processos de tratamento de dados
pessoais, bem como o mapeamento dos riscos relacionados ao tratamento de dados pessoais e
a identificação das medidas de segurança para proteção desses dados.

Etapas da Elaboração do RIPD

O RIPD deve ser elaborado antes de a instituição iniciar o tratamento de dados pessoais,
preferencialmente na fase inicial do programa ou projeto que tem o propósito de usar esses
dados. A elaboração contempla as etapas destacadas pela figura a seguir. Atente-se às etapas
que compõem a imagem, pois a seguir detalharemos cada uma delas.

Identificar os Agentes de Tratamento e o Encarregado

Esta etapa é bem simples e consiste em identificar os agentes de tratamento (controlador e

operador) e o encarregado no RIPD. Ressalta-se que esses atores desempenham papel essencial
no levantamento das informações necessárias para a elaboração do Relatório.

Enap Fundação Escola Nacional de Administração Pública 6

 Art. 5º Para os fins desta Lei, considera-se:

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem

competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal
de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
A conclusão desta etapa envolve identificar o endereço de e-mail e o número de telefone
de contato do encarregado, já que ele é o canal de comunicação entre o controlador, os
titulares dos dados e a ANPD.

A conclusão desta etapa envolve identificar o endereço de e-mail e o número de telefone de

contato do encarregado, já que ele é o canal de comunicação entre o controlador, os titulares
dos dados e a ANPD.

Identificar a Necessidade de Elaborar o Relatório

Antes de apresentarmos as orientações relativas à identificação da necessidade de elaborar

o relatório, é fundamental conhecer os casos específicos previstos pela LGPD em que o RIPD
deverá ou poderá ser solicitado:

Enap Fundação Escola Nacional de Administração Pública 7

 • Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
[...]
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes
às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos
responsáveis relatórios de impacto à proteção de dados pessoais.

• Art. 10, § 3º:

A autoridade nacional poderá solicitar ao controlador relatório de impacto à
proteção de dados pessoais, quando o tratamento tiver como fundamento seu
interesse legítimo, observados os segredos comercial e industrial.

• Art. 31 Quando houver infração a esta Lei em decorrência do tratamento de dados

pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com
medidas cabíveis para fazer cessar a violação.
Art. 32 A autoridade nacional poderá solicitar a agentes do Poder Público a publicação
de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões
e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.

• Art. 38. A autoridade nacional poderá determinar ao controlador que elabore

relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis,
referente a suas operações de tratamento de dados, nos termos de regulamento,
observados os segredos comercial e industrial.

Conhecidos os casos específicos previstos pela LGPD em que o RIPD pode ser solicitado, são
fornecidas a seguir as orientações referentes à identificação da necessidade de elaborar o
relatório.

Inicialmente a instituição deve avaliar se os programas, sistemas de informação ou processos

existentes ou a serem implementados geram impactos à proteção dos dados pessoais, a fim de
decidir sobre a elaboração ou atualização do RIPD.

Lembre-se de que o Relatório de Impacto é elaborado ou atualizado sempre que existir a

possibilidade de ocorrer impacto na privacidade dos dados pessoais resultantes de:

• Uma tecnologia, serviço ou outra nova iniciativa em que dados pessoais sensíveis
ou não sejam ou devam ser tratados.

• Rastreamento da localização dos indivíduos ou qualquer outra ação de tratamento

que vise à formação de perfil comportamental de pessoa natural, se identificada
(LGPD, art. 12 § 2º).

Enap Fundação Escola Nacional de Administração Pública 8

 • Monitoramento sistemático de local publicamente acessível em larga escala.

• Tratamento de dado pessoal sobre “origem racial ou étnica, convicção religiosa,

opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico
ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico,
quando vinculado a uma pessoa natural” (LGPD, art. 5º, II).

• Processamento de dados pessoais usados para tomar decisões automatizadas que

possam ter efeitos legais, incluídas as decisões destinadas a definir o seu perfil
pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade
(LGPD, art. 20).

• Tratamento de dados pessoais de crianças e adolescentes (LGPD, art. 14).

• Tratamento de dados que possa resultar em algum tipo de dano patrimonial, moral,
individual ou coletivo aos seus titulares, se houver vazamento (LGPD, art. 42).

• Tratamento de dados pessoais realizados para fins exclusivos de segurança pública,

defesa nacional, segurança do Estado, ou atividades de investigação e repressão de
infrações penais (LGPD, art. 4º, § 3º).

• Tratamento no interesse legítimo do controlador (LGPD, art. 10, § 3º).

• Alterações nas leis e regulamentos aplicáveis à privacidade, política e normas

internas, operação do sistema de informações, propósitos e meios para tratar
dados, fluxos de dados novos ou alterados etc.

• Reformas administrativas que implicam nova estrutura organizacional resultante

da incorporação, fusão ou cisão de órgãos ou entidades.

Em síntese, nessa etapa deve(m) ser explicitado(s) qual(is) dos itens elencados anteriormente
expressa(m) a necessidade de o RIPD ser elaborado ou atualizado pela instituição.

Descrever o Tratamento

Esta etapa consiste na descrição dos processos de tratamento de dados pessoais que podem
gerar riscos às liberdades civis e aos direitos fundamentais, contemplando a especificação da
natureza, escopo, contexto e finalidade do tratamento. O objetivo principal desta descrição
é fornecer cenário institucional relativo aos processos que envolvem o tratamento dos dados
pessoais, fornecendo subsídios para avaliação e tratamento de riscos.

Salienta-se que a LGPD (art. 5º, X) considera tratamento “toda operação realizada com dados
pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação, transferência,
difusão ou extração”.

Enap Fundação Escola Nacional de Administração Pública 9

 h,
Destaque,h
Caso a instituição considere mais adequado para a sua realidade de tratamento
de dados pessoais, pode-se sintetizar a natureza, escopo, contexto e finalidade
do tratamento em uma única seção do RIPD sem necessidade de segregar a
descrição do tratamento em subseções.

Para fins didáticos, detalharemos a etapa “Descrever o Tratamento” nas seguintes seções:
natureza, escopo, contexto e finalidade.

• Descrever o Tratamento - Natureza

A natureza representa como a instituição pretende tratar ou trata o dado pessoal.

Importante descrever, por exemplo

Enap Fundação Escola Nacional de Administração Pública 10

 • Descrever o Tratamento - Escopo

O escopo representa a abrangência do tratamento de dados.

Nesse sentido, é importante descrever, por exemplo:

Importante
O levantamento das informações elencadas anteriormente auxilia no sentido
de determinar se o tratamento de dados pessoais é realizado em larga escala.

Exemplos de tratamento em larga escala incluem:

a) tratamento de dados de pacientes no curso regular dos negócios de um hospital;

Enap Fundação Escola Nacional de Administração Pública 11

 b) tratamento de dados de viagem de indivíduos que usam o sistema de transporte
público da cidade (rastreamento via cartões de viagem, por exemplo);

c) tratamento de dados de localização geográfica, em tempo real, de clientes de

uma cadeia internacional de fast food, para fins estatísticos por um processador
especializado na prestação desses serviços;

d) tratamento de dados de clientes no curso regular dos negócios, por uma companhia
de seguros ou por um banco;

e) tratamento de dados pessoais para publicidade comportamental, realizado por um

mecanismo de pesquisa; e

f) tratamento de dados (conteúdo, tráfego, localização) por prestadores de serviços de

telefone ou internet.

Exemplos que não constituem processamento em larga escala incluem:

a) tratamento de dados do paciente por um médico individual; e

b) tratamento de dados pessoais relacionados a condenações e infrações penais, por

um advogado individual.

• Descrever o Tratamento - Contexto

Ao descrever o contexto de tratamento, deve-se considerar um cenário mais amplo, incluindo

fatores internos e externos que podem afetar as expectativas do titular dos dados pessoais ou o
impacto sobre o tratamento dos dados.

Ao contemplar os itens destacados a seguir, serão fornecidas informações que permitirão mostrar
o equilíbrio entre o interesse e necessidade do controlador em tratar os dados pessoais e os
direitos dos titulares desses dados.

Enap Fundação Escola Nacional de Administração Pública 12

 • Descrever o Tratamento - Finalidade

A finalidade é a razão ou motivo pelo qual se deseja tratar os dados pessoais. É importantíssimo
estabelecer claramente a finalidade, pois é ela que justifica o tratamento e fornece os elementos
para informar o titular dos dados. Nesse contexto, cumpre:

1. Detalhar o que se pretende alcançar com o tratamento dos dados pessoais, considerando os
exemplos de finalidades elencadas a seguir embasados nos artigos 7º e 11 da LGPD, no que for
aplicável:

a) Cumprimento de obrigação legal ou regulatória pelo controlador.

b) Execução de políticas públicas.

c) Alguma espécie de estudo realizado por órgão de pesquisa.

d) Execução de contrato ou de procedimentos preliminares relacionados a contrato do

qual seja parte o titular, a pedido do titular dos dados.

Enap Fundação Escola Nacional de Administração Pública 13

 e) Exercício regular de direitos em processo judicial, administrativo ou arbitral.

f) Proteção da vida ou da incolumidade física do titular ou de terceiro.

g) Tutela da saúde.

h) Atender aos interesses legítimos do controlador ou de terceiro.

i) Proteção do crédito.

j) Garantia da prevenção à fraude e à segurança do titular.

Importante
Destaca-se que os exemplos de finalidades apresentados não são exaustivos.
Desse modo, deve-se informar e detalhar qualquer outra finalidade específica
do controlador para tratamento dos dados pessoais, mesmo que tal finalidade
não conste dos citados exemplos. Especial atenção deve ser dedicada
ao tratamento de dados pessoais realizado com base exclusivamente no
consentimento do titular, que pode ocorrer excepcionalmente no caso dos
órgãos e entidades públicas. Em ocorrendo, a finalidade deve ser precisamente
detalhada.

2. Indicar qual(is) o(s) resultado(s) pretendido(s) para os titulares dos dados pessoais, informando
o quão importante são esses resultados.

3. Informar os benefícios esperados para o órgão/entidade ou para a sociedade como um todo.

h,
Destaque,h
Neste momento, deve-se atentar para o caso de a finalidade ser para
atender o legítimo interesse do controlador. Nesse caso, somente poderá
ser fundamentado tratamento de dados pessoais para finalidades legítimas,
consideradas a partir de situações concretas, conforme previsto pelo art. 10
da LGPD.

Por fim, ressaltamos que a instituição deve equilibrar seus interesses com os dos indivíduos com
os quais ela tem relacionamento. Se o tratamento de dados pessoais for realizado de forma
diferente do esperado pelos titulares dos dados pessoais ou se o tratamento ferir algum direito ou
liberdade fundamental deles, é provável que os interesses e direitos desses titulares prevaleçam
em relação ao interesse legítimo do controlador. Impossibilitando, assim, legalmente, que o dado
seja tratado pelo controlador.

Enap Fundação Escola Nacional de Administração Pública 14

Identificar Partes Interessadas Consultadas

Como o título já diz, nesse momento devem ser identificadas as partes interessadas relevantes,
como: operador (LGPD - art. 5º, VII), encarregado (LGPD - art. 5º, VIII), gestores, especialistas em
segurança da informação, consultores jurídicos, etc., sejam elas internas e externas, consultadas
a fim de se obter opiniões legais, técnicas ou administrativas sobre os dados pessoais objeto do
tratamento.

Feito isso, agora é a hora de identificar também o que cada parte consultada indicou como
importante de ser observado para o tratamento dos dados pessoais em relação aos possíveis
riscos:

• inerentes às atividades de tratamento em análise;

• de não-conformidade ante a LGPD; e

• de não-conformidade no que se refere aos instrumentos internos de controle

(políticas, processos e procedimentos voltados à proteção de dados e privacidade).

Importante
Caso não seja conveniente registrar o que foi consultado, então é importante
apresentar o motivo de não se ter realizado tal registro, justificando, por
exemplo, que apresentar o registro das opiniões das partes internas no RIPD
comprometeria segredo comercial ou industrial; fragilizaria a segurança da
informação; ou que seria desproporcional ou impraticável realizar o registro
das opiniões obtidas.

Em síntese, nesta etapa do RIPD deve-se identificar:

• Quais as partes consultadas.

• O que essas partes opinaram em relação aos aspectos legais, técnicos,

administrativos, de riscos de tratamento de dados pessoais e de não-conformidade.

Descrever Necessidade e Proporcionalidade

Nessa etapa deve ser descrito como a instituição avalia a necessidade e proporcionalidade
dos dados, demonstrando que as operações realizadas sobre os dados pessoais limitam o
tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos
dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de
dados (LGPD, art. 6º, III).

Enap Fundação Escola Nacional de Administração Pública 15

Nesse sentido, deve-se destacar:

1. A fundamentação legal para o tratamento dos dados pessoais.

2. Caso o fundamento legal seja embasado no legítimo interesse do controlador (LGPD,

art. 10), mostrar que:
2.1. esse tratamento de dados pessoais é indispensável;
2.2. não há outra base legal possível de se utilizar para alcançar o mesmo propósito;
e
2.3. esse processamento de fato auxilia no propósito almejado.

3. Como será garantida a qualidade [exatidão, clareza, relevância e atualização dos

dados] e minimização dos dados.

4. Quais medidas são adotadas a fim de assegurar que o operador (LGPD, art. 5º, VII)
realiza o tratamento de dados pessoais conforme LGPD e critérios estabelecidos
pela instituição que exerce o papel de controlador (LGPD, art. 5º, VI).

5. Como estão implementadas as medidas que asseguram o direito do titular dos

dados pessoais de obter do controlador o previsto pelo art. 18 da LGPD.

6. Como a instituição pretende fornecer informações de privacidade para os titulares

dos dados pessoais.

7. Quais são as salvaguardas para as transferências internacionais de dados.

h,
Destaque,h
Conforme apresentado a seguir, o artigo 18 da LGPD é bem extenso e trata
do direito que o titular tem de requisitar do controlador ações e informações
específicas em relação ao tratamento realizado sobre os dados pessoais. É
extremamente relevante que a instituição implemente medidas que viabilizem
o exercício dos direitos do titular.

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos
dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

Enap Fundação Escola Nacional de Administração Pública 16

 IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou
tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição

expressa, de acordo com a regulamentação da autoridade nacional, observados os
segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019)

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas
hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou
uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as

consequências da negativa;

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados
contra o controlador perante a autoridade nacional.

§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das

hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta
Lei.

§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso

do titular ou de representante legalmente constituído, a agente de tratamento.

§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º

deste artigo, o controlador enviará ao titular resposta em que poderá:

I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível,
o agente; ou

II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular,
nos prazos e nos termos previstos em regulamento.

§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento

com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a
anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto
nos casos em que esta comunicação seja comprovadamente impossível ou implique
esforço desproporcional. (Redação dada pela Lei nº 13.853, de 2019)

Enap Fundação Escola Nacional de Administração Pública 17

 § 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo
não inclui dados que já tenham sido anonimizados pelo controlador.

§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os
organismos de defesa do consumidor.

Identificar e Avaliar os Riscos

Nesta etapa vamos abordar as ações necessárias para

identificação e avaliação de riscos, destacando os principais
riscos que podem comprometer a privacidade dos dados
pessoais tratados pela instituição.

O art. 5º, XVII da LGPD preconiza que o Relatório de Impacto

deve descrever “medidas, salvaguardas e mecanismos de
mitigação de risco“.

Antes de definir tais medidas, salvaguardas e mecanismos, é necessário identificar os riscos que
geram impacto potencial sobre o titular dos dados pessoais.

Para cada risco identificado, define-se: a probabilidade de ocorrência do evento de risco e o

possível impacto caso o risco ocorra, avaliando o nível potencial de risco para cada evento.

Como exemplo, parâmetros escalares podem ser utilizados para representar os níveis de
probabilidade e impacto que, após a multiplicação, resultarão nos níveis de risco, que direcionarão
a aplicação de medidas de segurança. Os parâmetros escalares são apresentados na tabela a
seguir.

Classificação Valor
Baixo 5
Moderado 10
Alto 15

A figura a seguir apresenta a Matriz Probabilidade versus Impacto, instrumento de apoio para a
definição dos critérios de classificação do nível de risco.

Enap Fundação Escola Nacional de Administração Pública 18

O produto da probabilidade pelo impacto de cada risco deve se enquadrar em uma região da
matriz apresentada acima.

Risco enquadrado na região:

• verde é entendido como baixo;

• amarelo representa risco moderado; e

• vermelho indica risco alto.

h,
Destaque,h
As definições e conceitos de riscos adotados neste módulo são utilizados como
forma de ilustrar a identificação e avaliação de riscos realizada no RIPD. Desse
modo, é importante destacar que o gerenciamento de riscos relacionado com o
tratamento dos dados pessoais deve ser realizado em harmonia com a Política
de Gestão de Riscos do órgão, preconizada pela Instrução Normativa Conjunta
MP/CGU nº 1, de 10 de maio de 2016.

Saiba mais
Informações mais aprofundadas sobre gestão de risco podem ser observadas
no Manual de Gestão de Riscos elaborado pela AECI-MP, disponível no link:
http://www.planejamento.gov.br/publicacoes/controle-interno/manual_de_
girc___versao_2_0.pdf.

Enap Fundação Escola Nacional de Administração Pública 19

Vamos destacar, na tabela de identificação e análise de riscos apresentada a seguir, uma série não
exaustiva de riscos de privacidade e de segurança da informação relacionados com a proteção de
dados pessoais. Atente-se a essas informações, analisando com atenção cada dado apresentado.

h,
Destaque,h
O nível de probabilidade, de impacto e de riscos indicados são apenas
exemplificativos, devendo ser avaliados de acordo com o contexto de cada
instituição.

Nível
de
Id Risco referente ao tratamento de dados pessoais P1 I2
Risco
(P x I)3
R01 Acesso não autorizado. 10 15 150
R02 Modificação não autorizada. 10 15 150
R03 Perda. 5 15 75
R04 Roubo. 5 15 75
R05 Remoção não autorizada. 5 15 75
R06 Coleção excessiva. 10 10 100
R07 Informação insuficiente sobre a finalidade do tratamento. 10 15 150
Tratamento sem consentimento do titular dos dados pessoais
R08 (Caso o tratamento não esteja previsto em legislação ou 10 15 150
regulação pertinente).
Falha em considerar os direitos do titular dos dados pessoais
R09 5 15 75
(Ex.: perda do direito de acesso).
Compartilhar ou distribuir dados pessoais com terceiros fora
R10 da administração pública federal sem o consentimento do 10 15 150
titular dos dados pessoais.
R11 Retenção prolongada de dados pessoais sem necessidade. 10 5 50
Vinculação/associação indevida, direta ou indireta, dos dados
R12 5 15 75
pessoais ao titular.
Falha/erro de processamento (Ex.: execução de script de banco
R13 de dados que atualiza dado pessoal com dado equivocado, 5 15 75
ausência de validação dos dados de entrada, etc.).
R14 Reidentificação de dados pseudonimizados. 5 15 75

Tabela: parâmetros escalares.

Legenda: P – Probabilidade; I – Impacto.

Enap Fundação Escola Nacional de Administração Pública 20

1. Probabilidade: chance de algo acontecer, não importando se definida, medida ou determinada
objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se termos
gerais ou matemáticos (ISO/IEC 31000:2009, item 2.19).

2. Impacto: resultado de um evento que afeta os objetivos (ISO/IEC 31000:2009, item 2.18).

3. Nível de Risco: magnitude de um risco ou combinação de riscos, expressa em termos da

combinação das consequências e de suas probabilidades (ISO/IEC 31000:2009, item 2.23 e IN
SGD/ME nº 1, de 2019, art. 2º, inciso XIII).

Note que os treze primeiros riscos representam riscos de privacidade obtidos da norma ISO/IEC
29134:2017 seção 6.4.4. Essa lista pretende facilitar a identificação de riscos de privacidade dos
dados pessoais a serem tratados pela instituição.

Importante
Salienta-se que deve ser identificado qualquer tipo de risco que afete o
tratamento de dados pessoais, independentemente de sua natureza (técnica,
administrativa, de segurança da informação ou de privacidade).

Identificar Medidas para Tratar os Riscos

Esta etapa deve ser preenchida com as informações pertinentes às medidas cabíveis para o caso,
que podem ser de segurança, técnicas ou administrativas.

Os agentes de tratamento devem, então, adotar medidas de segurança, técnicas e administrativas

aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas
de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito (LGPD, art. 46).

h,
Destaque,h
A instituição nem sempre precisa eliminar todos os riscos. Nesse sentido,
pode-se decidir que alguns riscos, e até um risco de nível alto, são aceitáveis,
dados os benefícios do processamento dos dados pessoais e as dificuldades
de mitigação. No entanto, se houver um risco residual de nível alto, é
recomendável consultar a ANPD antes de prosseguir com as operações de
tratamento dos dados pessoais.

A abordagem adotada neste módulo para determinar a medida a ser aplicada para tratamento do
risco contempla identificar a relação entre os riscos, as fases do ciclo de vida dos dados pessoais,
os ativos organizacionais, as medidas de segurança e os controles associados. Essa abordagem é
representada pela figura a seguir.

Enap Fundação Escola Nacional de Administração Pública 21

 Relação entre riscos x fases do ciclo de vida x ativos organizacionais
x medidas de segurança x controles

Primeiro se identifica em qual fase do ciclo de vida de dados pessoais o risco pode gerar algum
tipo de impacto e, a partir disso, determina-se a medida a ser aplicada para tratamento do risco.

Identificando e Avaliando Riscos

A seguir apresentamos uma tabela cuja a finalidade é mostrar em que fase do ciclo de vida os
riscos exemplificados na seção anterior (Identificar e Avaliar riscos) podem impactar.

Enap Fundação Escola Nacional de Administração Pública 22

 Fases do ciclo de vida
Risco dos dados pessoais
C R P CP E
Acesso não autorizado X X X X X
Modificação não autorizada X X X X X
Perda X X
Roubo X X X X X
Remoção não autorizada X X
Coleção excessiva X
Informação insuficiente sobre a
X
finalidade do tratamento
Tratamento sem consentimento do titular dos
dados pessoais (caso o tratamento não esteja X
previsto em legislação ou regulação pertinente)
Falha em considerar os direitos do titular dos
X X X X
dados pessoais (ex.: perda do direito de acesso)
Compartilhar ou distribuir dados pessoais
com terceiros fora da administração
X
pública federal sem o consentimento
do titular dos dados pessoais
Retenção prolongada de dados
X
pessoais sem necessidade
Vinculação/associação indevida, direta ou
X
indireta, dos dados pessoais ao titular
Falha/erro de processamento (ex.: execução
de script de banco de dados que atualiza
X
dado pessoal com dado equivocado, ausência
de validação dos dados de entrada, etc.)
Reidentificação de dados pseudonimizados X

Legenda: C - Coleta; R - Retenção; P - Processamento; CP - Compartilhamento; E - Eliminação;

Constatadas(s) a(s) fase(s) do ciclo de vida que é(são) impactada(s) pelo risco, deve-se
identificar os ativos organizacionais que estão vinculados a ela(s).

Para ter mais informações sobre essa vinculação relativa ao ciclo de vida, clique no botão a
seguir.

Enap Fundação Escola Nacional de Administração Pública 23

 Importante
A constatação do impacto do risco sobre as fases do ciclo de vida dos dados
pessoais deve ser realizada para cada risco identificado na etapa “Identificar
e avaliar riscos”. A tabela anterior é apenas exemplificativa. Assim, deve-se
realizar a referida constatação para os riscos reais identificados pela instituição,
os quais podem ser diferentes do ilustrado pela citada tabela.

A título de exemplificação, será tratado o risco de “Acesso não autorizado” na fase Coleta. A
fase Coleta contempla os ativos: Documento, Equipamento, Local Físico, Sistema e Unidade
Organizacional. Entre esses ativos, será considerado o ativo Sistema com o objetivo de selecionar
as medidas e controles de segurança a serem adotados para tratar o risco.

Link para a tabela com medidas de segurança desdobradas em controles a serem aplicados
sobre cada ativo: < https://addie.escolavirtual.gov.br/pluginfile.php/14443/mod_lesson/page_
contents/7151/Planilha%20Controles%20LGPD.pdf>

Saiba mais
A relação entre medidas de segurança e controles, bem como a abordagem
utilizada para identificação dos controles aplicados sobre os ativos
organizacionais, pode ser observada no link:

Mapeamento das Medidas e dos Controles de Segurança

Enap Fundação Escola Nacional de Administração Pública 24

Tendo em vista o exemplo do ativo Sistema, existem várias medidas de segurança e controles
propostos para proteção desse ativo.

Dessa forma, no sentido de demonstrar a metodologia de identificação das medidas de segurança,

foram selecionados controles abordando três medidas de segurança para tratamento do risco
de acesso não autorizado: Controle de Acesso Lógico, Cópia de Segurança e Desenvolvimento
Seguro. O tratamento do risco é apresentado na tabela a seguir.

Dica
Note que a coluna “Medida(s)” pode ser preenchida com uma medida de
segurança ou controle específico adotado para tratamento do risco identificado
na tabela anterior.

h,
Destaque,h
A critério do responsável pela elaboração do RIPD, o preenchimento da
coluna “Medida(s)”, constante da tabela a seguir, pode ser mais detalhado,
informando os controles específicos que foram aplicados ou descrição mais
detalhada para a medida de segurança, proporcionando mais visibilidade em
relação ao tratamento do risco.

Risco Residual2
Efeito sobre Nível Medida(s)3
Risco Medida(s)
o Risco1 P I Aprovada(s)
(P x I)
R01 1. Controle de acesso Lógico.
Acesso não 2. Desenvolvimento seguro. Reduzir 5 10 50 sim
autorizado. 3. Segurança em Redes.
Legenda: P – Probabilidade; I – Impacto. Aplicam-se as mesmas definições de Probabilidade e
Impacto da seção Identificar e avaliar os riscos.
1
Efeito resultante do tratamento do risco com a aplicação da(s) medida(s) descrita(s) na tabela.
As seguintes opções podem ser selecionadas: Reduzir, Evitar, Compartilhar e Aceitar.

2
Risco residual é o risco que ainda permanece mesmo após a aplicação de medidas para tratar
o risco.

3
Medida aprovada pelo controlador dos dados pessoais. Preencher a coluna com: Sim ou Não.

Enap Fundação Escola Nacional de Administração Pública 25

 Importante
É importantíssimo atentar-se para o fato de que a concretização ou efetivação
das medidas de segurança ocorre mediante a aplicação dos controles sobre os
ativos organizacionais.

Aprovar o Relatório

Esta etapa visa formalizar a aprovação do RIPD por meio da obtenção das assinaturas do
responsável pela elaboração do RIPD e pelas autoridades que representam o controlador e
operador.

Importante
O responsável pela elaboração do Relatório pode ser o próprio encarregado,
ou qualquer outra pessoa designada pelo controlador com conhecimento
necessário para realizar tal tarefa.

A formalização de autoridades representando o controlador e operador é muito relevante,

pois é uma forma de as autoridades competentes terem ciência do impacto das operações de
tratamento de dados pessoais realizadas pela instituição.

Manter Revisão

Atenção! O RIPD deve ser revisto e atualizado sempre que existir qualquer tipo de mudança que
afete o tratamento dos dados pessoais realizados pela instituição.

De uma forma geral, essa mudança pode ser motivada por alteração:

• Significativa na finalidade do tratamento de dados pessoais.

• Que impacte o processo de como esses dados são tratados.

• Expressiva na quantidade de dados pessoais coletados.

• No contexto do tratamento de dados resultantes de identificação de falha de

segurança, no uso de uma nova tecnologia, em caso de nova preocupação pública
sobre o tipo de tratamento de dados realizado pela instituição ou vulnerabilidade
de um grupo específico de titulares de dados pessoais.

Cumpre destacar que as orientações referentes à identificação da necessidade de elaborar ou

atualizar o RIPD constantes do início deste módulo também contribuem com subsídios para a
identificação de casos em que o Relatório de Impacto deve ser atualizado.

Enap Fundação Escola Nacional de Administração Pública 26

 h,
Destaque,h
A instituição deve manter revisão do RIPD a fim de demonstrar que avalia
continuamente os riscos de tratamento de dados pessoais que surgem em
consequência do dinamismo das transformações nos cenários tecnológico,
normativo, político e institucional.

Ressaltamos que esta é a última etapa do ciclo contínuo de elaboração do RIPD.

Assim concluímos o conteúdo do Curso de Proteção de Dados Pessoais no Setor Público. A

expectativa é de que você tenha compreendido a estrutura proposta de aplicação de medidas
de segurança sobre os dados pessoais e de elaboração do RIPD, contribuindo para seu
aperfeiçoamento profissional.

Enap Fundação Escola Nacional de Administração Pública 27