Escolar Documentos
Profissional Documentos
Cultura Documentos
Pessoais no Serviço
Público
Módulo
4 Relatório de Impacto à
Proteção de Dados Pessoais
Fundação Escola Nacional de Administração Pública
Presidente
Diogo Godinho Ramos Costa
Conteudista/s
Julierme Rodrigues da Silva (conteudista, 2019)
Enap, 2020
Segundo o inciso XVII do art. 5º da LGPD, o RIPD é documentação que deve ser mantida pelo
Controlador dos dados pessoais. O Controlador é a “pessoa, natural ou jurídica, de direito
público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais”
(LGPD, art. 5º, VI). Tal inciso também apresenta o que a LGPD considera como RIPD.
Embora o art. 5º, inciso XVII defina o que é um RIPD, o seu conteúdo mínimo é indicado pelo
parágrafo único do art. 38:
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório
de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas
operações de tratamento de dados, nos termos de regulamento, observados os segredos
comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter,
no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a
coleta e para a garantia da segurança das informações e a análise do controlador com
relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
O RIPD deve ser elaborado antes de a instituição iniciar o tratamento de dados pessoais,
preferencialmente na fase inicial do programa ou projeto que tem o propósito de usar esses
dados. A elaboração contempla as etapas destacadas pela figura a seguir. Atente-se às etapas
que compõem a imagem, pois a seguir detalharemos cada uma delas.
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal
de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
A conclusão desta etapa envolve identificar o endereço de e-mail e o número de telefone
de contato do encarregado, já que ele é o canal de comunicação entre o controlador, os
titulares dos dados e a ANPD.
Conhecidos os casos específicos previstos pela LGPD em que o RIPD pode ser solicitado, são
fornecidas a seguir as orientações referentes à identificação da necessidade de elaborar o
relatório.
• Uma tecnologia, serviço ou outra nova iniciativa em que dados pessoais sensíveis
ou não sejam ou devam ser tratados.
• Tratamento de dados que possa resultar em algum tipo de dano patrimonial, moral,
individual ou coletivo aos seus titulares, se houver vazamento (LGPD, art. 42).
Em síntese, nessa etapa deve(m) ser explicitado(s) qual(is) dos itens elencados anteriormente
expressa(m) a necessidade de o RIPD ser elaborado ou atualizado pela instituição.
Descrever o Tratamento
Esta etapa consiste na descrição dos processos de tratamento de dados pessoais que podem
gerar riscos às liberdades civis e aos direitos fundamentais, contemplando a especificação da
natureza, escopo, contexto e finalidade do tratamento. O objetivo principal desta descrição
é fornecer cenário institucional relativo aos processos que envolvem o tratamento dos dados
pessoais, fornecendo subsídios para avaliação e tratamento de riscos.
Salienta-se que a LGPD (art. 5º, X) considera tratamento “toda operação realizada com dados
pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação, transferência,
difusão ou extração”.
Para fins didáticos, detalharemos a etapa “Descrever o Tratamento” nas seguintes seções:
natureza, escopo, contexto e finalidade.
Importante
O levantamento das informações elencadas anteriormente auxilia no sentido
de determinar se o tratamento de dados pessoais é realizado em larga escala.
d) tratamento de dados de clientes no curso regular dos negócios, por uma companhia
de seguros ou por um banco;
Ao contemplar os itens destacados a seguir, serão fornecidas informações que permitirão mostrar
o equilíbrio entre o interesse e necessidade do controlador em tratar os dados pessoais e os
direitos dos titulares desses dados.
A finalidade é a razão ou motivo pelo qual se deseja tratar os dados pessoais. É importantíssimo
estabelecer claramente a finalidade, pois é ela que justifica o tratamento e fornece os elementos
para informar o titular dos dados. Nesse contexto, cumpre:
1. Detalhar o que se pretende alcançar com o tratamento dos dados pessoais, considerando os
exemplos de finalidades elencadas a seguir embasados nos artigos 7º e 11 da LGPD, no que for
aplicável:
g) Tutela da saúde.
i) Proteção do crédito.
Importante
Destaca-se que os exemplos de finalidades apresentados não são exaustivos.
Desse modo, deve-se informar e detalhar qualquer outra finalidade específica
do controlador para tratamento dos dados pessoais, mesmo que tal finalidade
não conste dos citados exemplos. Especial atenção deve ser dedicada
ao tratamento de dados pessoais realizado com base exclusivamente no
consentimento do titular, que pode ocorrer excepcionalmente no caso dos
órgãos e entidades públicas. Em ocorrendo, a finalidade deve ser precisamente
detalhada.
2. Indicar qual(is) o(s) resultado(s) pretendido(s) para os titulares dos dados pessoais, informando
o quão importante são esses resultados.
h,
Destaque,h
Neste momento, deve-se atentar para o caso de a finalidade ser para
atender o legítimo interesse do controlador. Nesse caso, somente poderá
ser fundamentado tratamento de dados pessoais para finalidades legítimas,
consideradas a partir de situações concretas, conforme previsto pelo art. 10
da LGPD.
Por fim, ressaltamos que a instituição deve equilibrar seus interesses com os dos indivíduos com
os quais ela tem relacionamento. Se o tratamento de dados pessoais for realizado de forma
diferente do esperado pelos titulares dos dados pessoais ou se o tratamento ferir algum direito ou
liberdade fundamental deles, é provável que os interesses e direitos desses titulares prevaleçam
em relação ao interesse legítimo do controlador. Impossibilitando, assim, legalmente, que o dado
seja tratado pelo controlador.
Como o título já diz, nesse momento devem ser identificadas as partes interessadas relevantes,
como: operador (LGPD - art. 5º, VII), encarregado (LGPD - art. 5º, VIII), gestores, especialistas em
segurança da informação, consultores jurídicos, etc., sejam elas internas e externas, consultadas
a fim de se obter opiniões legais, técnicas ou administrativas sobre os dados pessoais objeto do
tratamento.
Feito isso, agora é a hora de identificar também o que cada parte consultada indicou como
importante de ser observado para o tratamento dos dados pessoais em relação aos possíveis
riscos:
Importante
Caso não seja conveniente registrar o que foi consultado, então é importante
apresentar o motivo de não se ter realizado tal registro, justificando, por
exemplo, que apresentar o registro das opiniões das partes internas no RIPD
comprometeria segredo comercial ou industrial; fragilizaria a segurança da
informação; ou que seria desproporcional ou impraticável realizar o registro
das opiniões obtidas.
Nessa etapa deve ser descrito como a instituição avalia a necessidade e proporcionalidade
dos dados, demonstrando que as operações realizadas sobre os dados pessoais limitam o
tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos
dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de
dados (LGPD, art. 6º, III).
4. Quais medidas são adotadas a fim de assegurar que o operador (LGPD, art. 5º, VII)
realiza o tratamento de dados pessoais conforme LGPD e critérios estabelecidos
pela instituição que exerce o papel de controlador (LGPD, art. 5º, VI).
h,
Destaque,h
Conforme apresentado a seguir, o artigo 18 da LGPD é bem extenso e trata
do direito que o titular tem de requisitar do controlador ações e informações
específicas em relação ao tratamento realizado sobre os dados pessoais. É
extremamente relevante que a instituição implemente medidas que viabilizem
o exercício dos direitos do titular.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos
dados do titular por ele tratados, a qualquer momento e mediante requisição:
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas
hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou
uso compartilhado de dados;
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados
contra o controlador perante a autoridade nacional.
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível,
o agente; ou
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular,
nos prazos e nos termos previstos em regulamento.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os
organismos de defesa do consumidor.
Antes de definir tais medidas, salvaguardas e mecanismos, é necessário identificar os riscos que
geram impacto potencial sobre o titular dos dados pessoais.
Como exemplo, parâmetros escalares podem ser utilizados para representar os níveis de
probabilidade e impacto que, após a multiplicação, resultarão nos níveis de risco, que direcionarão
a aplicação de medidas de segurança. Os parâmetros escalares são apresentados na tabela a
seguir.
Classificação Valor
Baixo 5
Moderado 10
Alto 15
A figura a seguir apresenta a Matriz Probabilidade versus Impacto, instrumento de apoio para a
definição dos critérios de classificação do nível de risco.
h,
Destaque,h
As definições e conceitos de riscos adotados neste módulo são utilizados como
forma de ilustrar a identificação e avaliação de riscos realizada no RIPD. Desse
modo, é importante destacar que o gerenciamento de riscos relacionado com o
tratamento dos dados pessoais deve ser realizado em harmonia com a Política
de Gestão de Riscos do órgão, preconizada pela Instrução Normativa Conjunta
MP/CGU nº 1, de 10 de maio de 2016.
Saiba mais
Informações mais aprofundadas sobre gestão de risco podem ser observadas
no Manual de Gestão de Riscos elaborado pela AECI-MP, disponível no link:
http://www.planejamento.gov.br/publicacoes/controle-interno/manual_de_
girc___versao_2_0.pdf.
h,
Destaque,h
O nível de probabilidade, de impacto e de riscos indicados são apenas
exemplificativos, devendo ser avaliados de acordo com o contexto de cada
instituição.
Nível
de
Id Risco referente ao tratamento de dados pessoais P1 I2
Risco
(P x I)3
R01 Acesso não autorizado. 10 15 150
R02 Modificação não autorizada. 10 15 150
R03 Perda. 5 15 75
R04 Roubo. 5 15 75
R05 Remoção não autorizada. 5 15 75
R06 Coleção excessiva. 10 10 100
R07 Informação insuficiente sobre a finalidade do tratamento. 10 15 150
Tratamento sem consentimento do titular dos dados pessoais
R08 (Caso o tratamento não esteja previsto em legislação ou 10 15 150
regulação pertinente).
Falha em considerar os direitos do titular dos dados pessoais
R09 5 15 75
(Ex.: perda do direito de acesso).
Compartilhar ou distribuir dados pessoais com terceiros fora
R10 da administração pública federal sem o consentimento do 10 15 150
titular dos dados pessoais.
R11 Retenção prolongada de dados pessoais sem necessidade. 10 5 50
Vinculação/associação indevida, direta ou indireta, dos dados
R12 5 15 75
pessoais ao titular.
Falha/erro de processamento (Ex.: execução de script de banco
R13 de dados que atualiza dado pessoal com dado equivocado, 5 15 75
ausência de validação dos dados de entrada, etc.).
R14 Reidentificação de dados pseudonimizados. 5 15 75
2. Impacto: resultado de um evento que afeta os objetivos (ISO/IEC 31000:2009, item 2.18).
Note que os treze primeiros riscos representam riscos de privacidade obtidos da norma ISO/IEC
29134:2017 seção 6.4.4. Essa lista pretende facilitar a identificação de riscos de privacidade dos
dados pessoais a serem tratados pela instituição.
Importante
Salienta-se que deve ser identificado qualquer tipo de risco que afete o
tratamento de dados pessoais, independentemente de sua natureza (técnica,
administrativa, de segurança da informação ou de privacidade).
Esta etapa deve ser preenchida com as informações pertinentes às medidas cabíveis para o caso,
que podem ser de segurança, técnicas ou administrativas.
h,
Destaque,h
A instituição nem sempre precisa eliminar todos os riscos. Nesse sentido,
pode-se decidir que alguns riscos, e até um risco de nível alto, são aceitáveis,
dados os benefícios do processamento dos dados pessoais e as dificuldades
de mitigação. No entanto, se houver um risco residual de nível alto, é
recomendável consultar a ANPD antes de prosseguir com as operações de
tratamento dos dados pessoais.
A abordagem adotada neste módulo para determinar a medida a ser aplicada para tratamento do
risco contempla identificar a relação entre os riscos, as fases do ciclo de vida dos dados pessoais,
os ativos organizacionais, as medidas de segurança e os controles associados. Essa abordagem é
representada pela figura a seguir.
Primeiro se identifica em qual fase do ciclo de vida de dados pessoais o risco pode gerar algum
tipo de impacto e, a partir disso, determina-se a medida a ser aplicada para tratamento do risco.
A seguir apresentamos uma tabela cuja a finalidade é mostrar em que fase do ciclo de vida os
riscos exemplificados na seção anterior (Identificar e Avaliar riscos) podem impactar.
Constatadas(s) a(s) fase(s) do ciclo de vida que é(são) impactada(s) pelo risco, deve-se
identificar os ativos organizacionais que estão vinculados a ela(s).
Para ter mais informações sobre essa vinculação relativa ao ciclo de vida, clique no botão a
seguir.
A título de exemplificação, será tratado o risco de “Acesso não autorizado” na fase Coleta. A
fase Coleta contempla os ativos: Documento, Equipamento, Local Físico, Sistema e Unidade
Organizacional. Entre esses ativos, será considerado o ativo Sistema com o objetivo de selecionar
as medidas e controles de segurança a serem adotados para tratar o risco.
Link para a tabela com medidas de segurança desdobradas em controles a serem aplicados
sobre cada ativo: < https://addie.escolavirtual.gov.br/pluginfile.php/14443/mod_lesson/page_
contents/7151/Planilha%20Controles%20LGPD.pdf>
Saiba mais
A relação entre medidas de segurança e controles, bem como a abordagem
utilizada para identificação dos controles aplicados sobre os ativos
organizacionais, pode ser observada no link:
Dica
Note que a coluna “Medida(s)” pode ser preenchida com uma medida de
segurança ou controle específico adotado para tratamento do risco identificado
na tabela anterior.
h,
Destaque,h
A critério do responsável pela elaboração do RIPD, o preenchimento da
coluna “Medida(s)”, constante da tabela a seguir, pode ser mais detalhado,
informando os controles específicos que foram aplicados ou descrição mais
detalhada para a medida de segurança, proporcionando mais visibilidade em
relação ao tratamento do risco.
Risco Residual2
Efeito sobre Nível Medida(s)3
Risco Medida(s)
o Risco1 P I Aprovada(s)
(P x I)
R01 1. Controle de acesso Lógico.
Acesso não 2. Desenvolvimento seguro. Reduzir 5 10 50 sim
autorizado. 3. Segurança em Redes.
Legenda: P – Probabilidade; I – Impacto. Aplicam-se as mesmas definições de Probabilidade e
Impacto da seção Identificar e avaliar os riscos.
1
Efeito resultante do tratamento do risco com a aplicação da(s) medida(s) descrita(s) na tabela.
As seguintes opções podem ser selecionadas: Reduzir, Evitar, Compartilhar e Aceitar.
2
Risco residual é o risco que ainda permanece mesmo após a aplicação de medidas para tratar
o risco.
3
Medida aprovada pelo controlador dos dados pessoais. Preencher a coluna com: Sim ou Não.
Aprovar o Relatório
Esta etapa visa formalizar a aprovação do RIPD por meio da obtenção das assinaturas do
responsável pela elaboração do RIPD e pelas autoridades que representam o controlador e
operador.
Importante
O responsável pela elaboração do Relatório pode ser o próprio encarregado,
ou qualquer outra pessoa designada pelo controlador com conhecimento
necessário para realizar tal tarefa.
Manter Revisão
Atenção! O RIPD deve ser revisto e atualizado sempre que existir qualquer tipo de mudança que
afete o tratamento dos dados pessoais realizados pela instituição.
De uma forma geral, essa mudança pode ser motivada por alteração: