Como fazer um relatório de impacto à proteção de dados (RIPD)
Elieser Ribeiro, MSc
Especialista em IA | Cientista de dados I Sociólogo I Consultor de pesquisa I Python I R I Tableau I Alteryx I SQL
Tópicos e finalidades do RIPD para produtos digitais com uso de dados
Por Eliéser Ribeiro Sociólogo de dados
Há alguns anos, uma empresa de tecnologia decidiu lançar um novo aplicativo que permitiria aos usuários compartilhar sua localização, outras informações pessoais com amigos e familiares e marcar pontos de interesses comuns. A empresa acreditava que o aplicativo seria um sucesso e que as pessoas gostariam de compartilhar suas informações pessoais com seus chegados
No entanto, logo após o lançamento do aplicativo, a empresa começou a receber queixas de usuários que se sentiam desconfortáveis em compartilhar suas informações pessoais com outras pessoas, pois estavam recebendo mensagens indesejadas de empresas que não conheciam. Alguns usuários disseram que não tinham sido adequadamente informados sobre como suas informações pessoais seriam usadas e compartilhadas.
A empresa percebeu que havia falhado em proteger a privacidade dos usuários e decidiu realizar um relatório de impacto à proteção de dados (RIPD) para avaliar o impacto potencial do aplicativo sobre a privacidade dos usuários. O RIPD incluiu uma descrição detalhada do aplicativo e das informações pessoais que eram coletadas e compartilhadas, bem como uma avaliação dos riscos para a privacidade dos usuários.
Ao realizar o RIPD, a empresa identificou alguns riscos para a privacidade dos usuários, incluindo o risco de violação de dados e o uso indevido das informações pessoais compartilhadas. Para minimizar esses riscos, a empresa decidiu implementar medidas de proteção adequadas, como criptografia de ponta a ponta e controles de acesso rigorosos. Além disso, a empresa decidiu fornecer informações mais claras e detalhadas aos usuários sobre como suas informações pessoais seriam usadas e compartilhadas.
Mas o que é o RIPD e de onde ele surgiu?
O RIPD surgiu com a Lei Geral de Proteção de Dados Pessoais (LGPD, 2018) que é uma lei brasileira que estabelece regras e diretrizes para o tratamento de dados pessoais pelas empresas e órgãos públicos. Ela foi criada para proteger a privacidade das pessoas e garantir que os dados pessoais sejam tratados de maneira justa e transparente.
O relatório de impacto à proteção de dados (RIPD) é uma ferramenta importante na implementação da LGPD, pois permite avaliar o impacto potencial de um projeto ou atividade sobre a privacidade das pessoas e tomar medidas para minimizar esses impactos.
De acordo com a LGPD, as empresas e órgãos públicos são obrigados a realizar um RIPD sempre que iniciarem um projeto ou atividade que envolva o tratamento de dados pessoais e que possa afetar significativamente a privacidade das pessoas. O RIPD deve ser realizado antes de iniciar o projeto ou atividade e deve ser atualizado regularmente para garantir que os riscos para a privacidade das pessoas sejam minimizados.
Além disso, a LGPD estabelece que as empresas e órgãos públicos devem garantir que os dados pessoais sejam tratados de maneira adequada e segura, com medidas de proteção adequadas para garantir a confidencialidade, integridade e disponibilidade dos dados. O RIPD é uma ferramenta importante para ajudar as empresas e órgãos públicos a atender a essas exigências e proteger a privacidade das pessoas.
Quais são os tópicos principais do RIPD?
O relatório de impacto à proteção de dados (RIPD) deve incluir informações detalhadas sobre o projeto ou atividade em questão, bem como uma avaliação dos riscos para a privacidade das pessoas envolvidas e recomendações para minimizar esses riscos. Além disso, o RIPD deve incluir uma análise dos benefícios do projeto ou atividade para a sociedade em geral e uma avaliação dos custos e benefícios do projeto ou atividade para as pessoas envolvidas.
A proposta é que o RIPD possa ser dividido em 5 grandes fases:
1. Preparação e definições:
Na fase de preparação, o objetivo é coletar informações sobre o projeto ou atividade que está sendo avaliada e identificar os dados pessoais que serão tratados.
1.1 Descrição ou atividades: Uma descrição detalhada do projeto ou atividade, incluindo o propósito, as etapas envolvidas e os tipos de dados pessoais que serão tratados.
1.2 Definição do público-alvo: O RIP deve incluir informações sobre o público-alvo do projeto ou atividade, incluindo a idade, o gênero, a raça, a nacionalidade e outras características relevantes.
2. Estruturação:
Na fase de estruturação, cria-se uma estrutura lógica e legal para o projeto. Portanto, deve-se definir os processos de elaboração, a metodologia, as bases legais, a duração do tratamento de dados, de onde vem e quais as características dos dados e por fim informações sobre a revisão do relatório.
2.1 O processo de elaboração do RIPD: O RIPD deve incluir informações sobre o processo de elaboração do documento, incluindo quem foi envolvido na sua elaboração e como foram obtidas as informações incluídas no documento.
2.2 A metodologia utilizada: O RIPD deve incluir informações sobre a metodologia utilizada para avaliar os riscos para a privacidade e para identificar as medidas de proteção adequadas.
2.3 A base legal para o tratamento de dados pessoais: O RIPD deve incluir informações sobre a base legal para o tratamento de dados pessoais, incluindo a legislação aplicável e as condições para o tratamento de dados pessoais.
2.4 A duração do tratamento de dados: O RIPD deve incluir informações sobre a duração prevista do tratamento de dados pessoais, incluindo a data de início e término do tratamento de dados.
Recomendados pelo LinkedIn
2.5 A natureza dos dados pessoais: O RIPD deve incluir informações sobre a natureza dos dados pessoais que serão tratados, incluindo dados pessoais sensíveis e dados pessoais de crianças.
2.6 A revisão e atualização do RIPD: O RIPD deve incluir informações sobre como será revisado e atualizado regularmente para garantir que os riscos para a privacidade das pessoas sejam minimizados.
3. Análise:
Na fase de análise, o objetivo é avaliar o impacto do tratamento de dados em relação à privacidade e à proteção de dados. Isso inclui a avaliação de fatores como o risco de violação de dados, o nível de sensibilidade dos dados pessoais envolvidos e a presença de medidas de segurança adequadas.
3.1 Análise da segurança dos dados: O RIPD deve incluir informações sobre as medidas de segurança que serão implementadas para proteger os dados pessoais, incluindo medidas de segurança técnicas e organizacionais.
3.2 Análise de riscos para a privacidade: Uma avaliação dos riscos para a privacidade das pessoas envolvidas, incluindo os riscos de violação de dados, uso indevido de dados e outros riscos para a privacidade.
3.3 Análise de benefícios para a sociedade: Uma análise dos benefícios do projeto ou atividade para a sociedade em geral.
3.4 Análise de custos e benefícios para as pessoas envolvidas: Uma avaliação dos custos e benefícios do projeto ou atividade para as pessoas envolvidas.
4. Execução de medidas:
Nesta etapa, o projeto é executado com ações e medidas orientadas pela fase de estruturação e análise. Isso inclui a realização das atividades planejadas, medidas de proteção, participação de titulares e envolvimento de terceiros, adoção de ações em casos de violação de dados e construção de alternativas.
4.1 Execução de medidas de proteção: Recomendações para minimizar os riscos para a privacidade, incluindo medidas de proteção adequadas para garantir a confidencialidade, integridade e disponibilidade dos dados.
4.2 Adoção de um programa de mitigação de vieses: Alguns modelos reconhecem melhor determinadas raças e gêneros. Mas pode se adotar um programa que ajuda a mapear os erros do modelo e ajustar amostras para se tornarem mais fidedignas da realidade. Conferir roteiro do programa no link aqui.
4.3 Execução da participação dos titulares dos dados: O RIPD deve incluir informações sobre como os titulares dos dados serão informados sobre o tratamento de seus dados pessoais e como poderão exercer seus direitos de proteção de dados.
4.4 Execução do envolvimento de terceiros: O RIPD deve incluir informações sobre o envolvimento de terceiros no tratamento de dados pessoais, incluindo subcontratantes e outras empresas.
4.5 Execução das medidas tomadas em caso de violação de dados: O RIPD deve incluir informações sobre as medidas que serão tomadas em caso de violação de dados, incluindo a notificação de titulares de dados e autoridades competentes.
4.6 Execução das alternativas consideradas: O RIPD deve incluir informações sobre as alternativas consideradas e os motivos pelos quais essas alternativas não foram adotadas.
5. Relatório e comunicação
Na fase de relatório, o objetivo é preparar um documento que descreva os resultados da análise de impacto de dados e forneça recomendações para garantir a conformidade com as leis de proteção de dados aplicáveis. O relatório de impacto de dados deve ser comunicado e apresentado às autoridades de proteção de dados competentes e para demais stakeholders pertinentes ao projeto.
5.1 A comunicação do RIPD: O RIPD deve incluir informações sobre como será comunicado aos titulares dos dados e às autoridades competentes, incluindo o órgão de proteção de dados responsável.
5.2 Conclusão: Uma conclusão geral sobre o impacto do projeto ou atividade sobre a privacidade das pessoas envolvidas e as recomendações para minimizar esses impactos.
Esses tópicos são importantes para garantir que o RIPD seja um documento completo e detalhado que aborde todas as questões relevantes em relação à privacidade das pessoas envolvidas no projeto ou atividade.
Desfecho da história
Ao implementar um relatório de impacto à proteção de dados (RIPD) eficaz, a empresa foi capaz de melhorar a privacidade dos usuários e manter o sucesso do aplicativo. A empresa aprendeu a lição de que a proteção da privacidade é fundamental para o sucesso de qualquer produto ou serviço que trate dados pessoais. Além disso, a empresa reconheceu a importância de realizar um RIPD antes de lançar qualquer projeto ou atividade envolvendo o tratamento de dados pessoais, a fim de identificar e minimizar riscos para a privacidade.
Desde então, a empresa passou a incluir o RIPD em todos os seus projetos e atividades que envolvem o tratamento de dados pessoais, permitindo que ela ofereça produtos e serviços inovadores e úteis aos usuários sem comprometer a privacidade deles. Como resultado, a empresa tem uma reputação de ser responsável e respeitosa com a privacidade dos usuários, o que a ajudou a fidelizar e satisfazer seus clientes.