No cenário atual de avanço tecnológico, proteger dados pessoais tornou-se uma prioridade para as empresas. Três avaliações se destacam neste contexto: Avaliação de Privacidade (AI), Avaliação de Impacto em Privacidade (AIP) e Avaliação de Impacto de Proteção de Dados (AIPD). Embora muitas vezes usados como sinônimos, estes termos têm nuances distintas.

Avaliação de Privacidade (AI)

Funciona como um termômetro de conformidade. Avalia se uma empresa está alinhada com as normas e leis de proteção de dados e suas políticas internas. Ela verifica aspectos como educação, monitoramento regulatório, avaliações de risco, resposta a incidentes e segurança. Tais avaliações são vitais para assegurar que uma empresa está seguindo padrões adequados de proteção de dados, seja através de verificações internas ou auditorias externas.

Avaliação de Impacto em Privacidade (AIP)

A AIP tem um enfoque mais específico. Trata-se de uma análise de riscos associados ao tratamento de informações pessoais de um determinado projeto, produto ou serviço. Quando uma empresa incorpora um novo processo ou muda sua maneira de lidar com dados pessoais, ou mesmo quando há uma mudança nas políticas internas ou leis, uma AIP é crucial. Esta avaliação ajuda a garantir que a privacidade seja integrada desde a concepção de um projeto, algo conhecido como “Privacy by Design” ou PbD.

Avaliação de Impacto de Proteção de Dados (AIPD)

Diferentemente das outras duas, a AIPD tem uma base legal. É um diagnóstico para identificar riscos ao lidar com dados pessoais, garantindo a minimização destes. Segundo regulamentos como a LGPD e GDPR, em determinadas situações, realizar uma AIPD não é apenas uma boa prática, é um requisito legal. Seu principal objetivo é avaliar e minimizar os riscos associados ao tratamento de dados pessoais, protegendo a privacidade dos indivíduos envolvidos.

“Nas esferas de privacidade, AI, AIP e AIPD têm papéis distintos. Enquanto AI verifica conformidade, AIP foca em projetos e AIPD traz diagnósticos legais de risco. Conhecer suas nuances é essencial.” (Tamer Merhi)

Comparação entre AI, AIP e AIPD

• Objetivo: Enquanto AI visa garantir conformidade geral, AIP foca em avaliar riscos de privacidade em novos projetos e AIPD diagnostica possíveis riscos em tratamento de dados pessoais.
• Base Legal: AIPD é regulamentada por leis como LGPD e GDPR, tornando-se um requisito legal em determinados contextos, enquanto AI e AIP não têm essa obrigatoriedade.
• Aplicabilidade: AIP é geralmente necessária quando há mudanças significativas na forma como uma empresa lida com dados pessoais, enquanto AIPD é exigida em situações de alto risco para a privacidade dos indivíduos.

É fundamental para as empresas compreenderem as diferenças entre estas avaliações para garantir que estejam em conformidade com as regulamentações, evitando possíveis penalidades. Estas avaliações são ferramentas valiosas para não apenas cumprir regulamentos, mas também para construir confiança com clientes e parceiros. Em um mundo onde a privacidade dos dados é valorizada, as empresas que adotam boas práticas de proteção de dados estão, certamente, um passo à frente.

“Com o rápido avanço tecnológico, proteger dados pessoais é vital para empresas. Avaliações como AI, AIP e AIPD se destacam, moldando uma base segura para a privacidade digital” (Tamer Merhi)

No Brasil como funciona o AIPD ou RIPD?

Contexto para Elaboração do RIPD

• A ANPD recomenda a elaboração do RIPD sempre que houver possibilidade de alto risco para os princípios de proteção de dados e direitos do titular, conforme a LGPD. Isso inclui:
• Operações de tratamento ligadas à segurança pública, defesa nacional, segurança do Estado, ou investigação e repressão de infrações penais.
• Operações baseadas no interesse legítimo.
• Situações específicas para agentes do Poder Público.
• Operações de tratamento realizadas por controladores, especialmente aquelas que envolvem dados pessoais sensíveis.

Momento Ideal para Elaboração

Recomenda-se elaborar o RIPD antes do início do tratamento dos dados. Se isso não for possível, deve-se produzí-lo assim que for identificado um tratamento potencialmente de alto risco. Em qualquer situação, se a ANPD solicitar, o RIPD deve ser providenciado.

Identificando o “Alto Risco”

Na ausência de regulamento específico, os controladores podem usar como referência o conceito de tratamento de alto risco do art. 4º do Regulamento para agentes de pequeno porte. Como indicadores de alto risco, considere tratamentos que:

• Envolve larga escala.
• Usa tecnologias emergentes.
• Controla zonas públicas.
• Baseia-se unicamente em tratamento automatizado.
• Trata dados sensíveis ou dados de grupos vulneráveis, como crianças e idosos.

Conteúdo do RIPD

O RIPD deve conter:

• Identificação dos Agentes: Dados do agente de tratamento e do encarregado.
• Partes Interessadas: Quem foi consultado e os pareceres emitidos.
• Justificativa: Por que o relatório está sendo elaborado (alto risco, solicitação da ANPD, etc.).
• Descrição do Projeto/Processo: Qual ação ou operação justifica a elaboração do RIPD.
• Sistemas de Informação: Relacionados ao projeto/processo em questão.
• Tratamento de Dados:
  • Descrição completa do tratamento.
  • Todos os tipos de dados pessoais tratados.
  • Dados pessoais sensíveis tratados.
  • Categorias de titulares.
  • Dados de grupos vulneráveis.
  • Volume de dados e número de titulares envolvidos.
  • Fonte de coleta dos dados.
  • Finalidade do tratamento.
  • Compartilhamentos internos e externos.
  • Política de armazenamento.
• Análise Legal: Justificativa da escolha da hipótese legal para cada finalidade de tratamento.
• Análise dos Princípios da LGPD: Como eles são considerados no tratamento.
• Riscos: Quais são os riscos identificados ao titular.
• Resultados: Baseados na metodologia do agente de tratamento.

Ter um RIPD bem estruturado e atualizado é fundamental para garantir conformidade com a LGPD e proteger os direitos dos titulares de dados.