Artigo 38: O Relatório de Impacto como Ferramenta de Fiscalização

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

O que isso significa na prática?

Este artigo dá à ANPD uma de suas ferramentas de fiscalização mais importantes: o poder de exigir que um controlador elabore um Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

O RIPD não é um documento simples. É uma análise de risco completa de uma operação de tratamento específica, especialmente aquelas que envolvem dados sensíveis ou que podem gerar um alto risco aos direitos dos titulares.

O parágrafo único estabelece o conteúdo mínimo que este relatório deve ter:

O quê: A descrição dos dados coletados.

Como: A metodologia usada para coletar os dados и para garantir sua segurança.

Análise de Risco: Um estudo feito pelo controlador sobre os riscos envolvidos e as medidas tomadas para mitigá-los.

Em resumo, é o momento em que a ANPD diz: “Me prove que essa sua operação é segura e que você pensou em todos os riscos para as pessoas”.

Como se Aplica ao seu Negócio?

A possibilidade de ter que elaborar um RIPD a pedido da ANPD reforça a necessidade de uma governança de dados madura.

📑 Ferramenta de Gestão de Risco: O ideal é que sua empresa não espere a ANPD pedir. O RIPD deve ser usado proativamente para avaliar qualquer novo projeto que envolva tratamento de dados de alto risco (ex: implementação de biometria, criação de perfis comportamentais em larga escala).

📝 Pronto para Prestar Contas: Ter um RIPD pronto para as suas operações mais arriscadas é a melhor forma de demonstrar responsabilização. Caso a ANPD solicite, sua empresa terá o documento à mão, provando que agiu com a devida diligência.

🤝 Envolvimento Multidisciplinar: A criação de um RIPD não é uma tarefa apenas do DPO ou do jurídico. Ela exige a colaboração da área de TI, segurança da informação e do gestor do projeto.