Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

Definição¶

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), também conhecido como Data Protection Impact Assessment (DPIA), é uma documentação exigida pela LGPD que descreve os processos de tratamento de dados pessoais que podem gerar riscos aos direitos e liberdades fundamentais dos titulares. Este relatório ajuda as empresas a demonstrar medidas técnicas e organizacionais tomadas para proteger dados pessoais e visa garantir que o controlador identifique e mitigue os riscos que possam afetar as liberdades civis e os direitos fundamentais dos titulares desses dados. É uma exigência legal prevista na LGPD.

Fatos principais¶

O RIPD deve ser mantido pelo controlador de dados e é mencionado como documentação obrigatória na LGPD.
A elaboração do RIPD deve ocorrer antes do início do tratamento de dados pessoais, preferencialmente na fase inicial de projetos que envolvem esses dados.
O RIPD deve descrever processos de tratamento de dados pessoais que podem apresentar riscos às liberdades civis e direitos fundamentais.
O RIPD deve conter uma análise dos riscos potenciais, bem como as medidas para sua mitigação.
A obrigatoriedade do RIPD se aplica especialmente a tratamentos que possam causar riscos elevados aos direitos e liberdades dos titulares, como no caso de dados sensíveis.
A Autoridade Nacional de Proteção de Dados (ANPD) pode requisitar este relatório, especialmente em casos onde o tratamento é baseado no interesse legítimo do controlador.

Relações¶

relacionado com: Lei Geral de Proteção de Dados (LGPD), Controlador de Dados, Proteção de Dados Pessoais, Avaliação de Risco, Proteção de Dados Sensíveis
contrasta com: Consentimento, Registros de Atividades de Tratamento, Tratamento de Dados sem RIPD

Referências legais¶

LGPD, Art. 5º, XVII — definição de relatório de impacto à proteção de dados pessoais
LGPD, Art. 38 — obrigações do controlador quanto ao RIPD; a autoridade nacional pode exigir a elaboração de RIPD

Contradições / incertezas¶

N/A

Notas¶

O RIPD classifica os riscos envolvidos e orienta sobre as medidas de segurança necessárias para a proteção de dados. As organizações devem revisar e atualizar este documento regularmente, especialmente após mudanças significativas em suas operações de tratamento de dados. Um RIPD bem elaborado pode ser crucial para a defesa de uma empresa em caso de auditorias ou incidentes, demonstrando o compromisso com a conformidade e a segurança dos dados. O RIPD surge como uma ferramenta crucial para a governança em privacidade corporativa, contribuindo para uma cultura organizacional que prioriza a proteção de dados pessoais e a conformidade legal.