Artigo 137, Inciso II da Resolução CNMP nº 281 de 12 de Dezembro de 2023
Institui a Política Nacional de Proteção de Dados Pessoais e o Sistema Nacional de Proteção de Dados Pessoais no Ministério Público e dá outras providências.
Art. 137
O controlador elaborará Relatório de Impacto à Proteção de Dados Pessoais (RIDP), nos processos de tratamento de dados pessoais, na sua atividade administrativa, que possam gerar riscos às liberdades civis e aos direitos fundamentais, em particular:
I
quando houver risco relevante de infração à legislação de proteção de dados pessoais;
II
quando ocorrer a adoção de novas tecnologias, serviços ou iniciativas que envolvam o tratamento de dados pessoais;
III
quando o tratamento implique a formação de perfil comportamental e de atributos personalíssimos da pessoa natural;
IV
nas hipóteses de tratamento envolvendo dados sensíveis da pessoa natural;
V
no tratamento de dados pessoais realizado mediante decisões automatizadas;
VI
no tratamento de dados pessoais referentes a crianças e adolescentes;
VII
no advento de legislação que implique alteração nas regras de tratamento de dados pessoais; ou
VIII
por determinação da UEPDAP.
§ 1º
Nas hipóteses dos incisos I, II, III, V e VIII a elaboração do RIDP será obrigatória.
§ 2º
Também poderá ser determinada a elaboração de RIDP em outros casos de tratamento de dados pessoais que, após a devida análise de risco, constate-se tratar de grau relevante, hipóteses em que o encarregado sempre deverá ser ouvido.
§ 3º
A aferição dos riscos de qualquer tratamento decorre do resultado da realização do inventário de dados pessoais, conforme previsto na Seção VII do Capítulo IV da presente Resolução.
§ 4º
Tratando-se de aferição de risco não relevante, o RIDP não precisará ser elaborado.