Transferência internacional e cláusulas-padrão contratuais - b/luz contribui à Consulta Pública da ANPD

11/04/2023 Leitura de 4’’

ANPD publica Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

11/04/2023
  • 4’’

Foi publicada na última quinta-feira (06.04) pela Autoridade Nacional de Proteção de Dados (ANPD), em seu website, uma página com perguntas e respostas (“Q&A”) sobre o RIPD. Essa iniciativa da ANPD tem como objetivo promover orientações importantes para ajudar os controladores de dados a tomar decisões mais assertivas em relação à elaboração de um RIPD. Nesse sentido, o material divulgado pela ANPD não tem qualquer caráter vinculativo e ainda será melhor regulamentado, conforme previsto na Agenda Regulatória para o biênio 2023/2024. 

Veja abaixo os pontos mais relevantes trazidos pela ANPD: 

/ responsabilidade pela elaboração. O RIPD deve ser elaborado pelo controlador dos dados pessoais, idealmente antes de iniciar o tratamento para a finalidade desejada.  

/ publicização. O RIPD não precisa ser tornado público pelo controlador, mas a sua publicização pode demonstrar a preocupação do agente de tratamento com a segurança dos dados pessoais que estão sob sua responsabilidade e seu compromisso com a privacidade dos titulares. Ainda, a versão pública poderá ser distinta da versão interna para resguardar os segredos comerciais e industriais da empresa. 

/ pessoas envolvidas. A ANPD recomenda que o encarregado dos dados seja consultado na elaboração e análise das conclusões do Relatório 

/ formato. Até que a matéria seja devidamente regulamentada, a ANPD informa que os controladores de dados têm liberdade para determinar as melhores estruturas e formatos de seu RIPD. De toda forma, o material orienta que: 

  1. A análise dos fatores de risco deve ser documentada e justificada para que possam demonstrar as decisões tomadas pelo controlador em relação à gestão dos riscos identificados no relatório. 
  2. Seja elaborado um RIPD para cada projeto/processo do controlador, para que seja possível visualizar melhor os tratamentos realizados e identificar com maior precisão os riscos associados a eles.
     
  3. O RIPD contenha uma série de dados e informações sobre a atividade que está sendo analisada, como: a identificação dos agentes de tratamento e do encarregado; a análise das(s) base(s) legal(is) aplicáveis; os riscos e resultados apurados; e a descrição das medidas, salvaguardas e mecanismos de mitigação de risco. 

 

/ encaminhamento e avaliação da ANPD. o controlador tem o dever de encaminhar o RIPD apenas quando requisitado pela ANPD, sujeitando-se a medidas de fiscalização em caso de descumprimento. 

/ parâmetro de risco. Para a definição de “alto risco” a ANPD recomenda que seja adotado como parâmetro o conceito definido no art. 4º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte. De acordo com esse regulamento será considerado um tratamento de alto risco as situações em que forem verificadas um critério geral e um critério específico. 

  1. critérios gerais: tratamento em larga escala ou tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares;  
  2. critérios específicos: uso de tecnologias emergentes ou inovadoras, vigilância ou controle de zonas acessíveis ao público, decisões tomadas unicamente com base em tratamento automatizado de dados pessoais ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.  

Contudo, a própria ANPD destaca que esses critérios não devem ser considerados de forma exaustiva e que o controlador tem liberdade para avaliar outras circunstâncias relevantes de acordo com o caso concreto, com o propósito de identificar possíveis riscos envolvidos, bem como medidas de prevenção e segurança apropriadas. 

 

/ Insights b/luz 

A publicação, pela ANPD, do Q&A sobre o RIPD traz alguns esclarecimentos importantes para orientar e esclarecer eventuais dúvidas dos agentes de tratamento para elaboração e preenchimento do RIPD. Embora o documento não seja vinculante, sua disponibilização permite ter uma dimensão da futura regulamentação da ANPD sobre o tema, possibilitando que os agentes de tratamento se adequem à realidade concreta de suas operações. 

Mais lidas:

Mais recentes:

Assine nossa newsletter

Inscreva-se para receber informações relevantes sobre o universo jurídico e tomar decisões informadas que vão impactar seus negócios.

Nós respeitamos a sua privacidade e protegemos seus dados pessoais de acordo com a nossa Política de Privacidade.

Baptista Luz