Pular para o conteúdo
Compliance MSPA

Relatorio De Impacto A Protecao De Dados Pessoais Ripd

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

O RIPD é uma ferramenta de análise de risco focada em privacidade. É um documento que o Controlador (a empresa) deve elaborar para descrever um processo de Tratamento de dados pessoais, identificar os riscos que esse processo pode gerar aos Titulares (como vazamento, discriminação ou uso indevido) e, o mais importante, definir as medidas para mitigar esses riscos.

Ele deve ser feito antes de iniciar novas atividades de tratamento que possam apresentar alto risco.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A LGPD, no Art. 5º, XVII, define o RIPD como: “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

O Art. 38 complementa, afirmando que a ANPD poderá solicitar este relatório às empresas quando o tratamento for de alto risco ou baseado no Legítimo Interesse.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

A elaboração de um RIPD é fortemente recomendada (ou obrigatória) antes de:

  • Implementar um sistema de reconhecimento facial na entrada da empresa (trata Dados Pessoais Sensíveis em larga escala).

  • Lançar um novo produto de Inteligência Artificial que toma decisões automatizadas sobre pessoas (ex: aprovação de crédito, seleção de currículos).

  • Instalar um sistema de monitoramento por GPS na frota de veículos dos funcionários.

  • Criar um novo banco de dados centralizado com informações de saúde dos pacientes de uma rede de hospitais.

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais comum é tratar o RIPD como mera burocracia e fazê-lo depois que o projeto já está pronto, apenas para “cumprir tabela”. O RIPD é uma ferramenta de Privacy by Design (Privacidade desde a Concepção). Ele deve ser feito durante a fase de planeamento do projeto, para que seus resultados (os riscos identificados) possam moldar o projeto (ex: decidir não coletar um dado, Pseudonimizar uma coluna do banco de dados, ou adicionar uma camada extra de Controle de Acesso).

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

Embora a ANPD ainda esteja a regulamentar os detalhes de quando o RIPD é obrigatório, a LGPD já o exige explicitamente (Art. 10, § 3º) quando a empresa escolhe usar a base legal do Legítimo Interesse para fundamentar suas operações. Além disso, a versão europeia (o GDPR) chama este mesmo documento de DPIA (Data Protection Impact Assessment).

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Princípio da Prevenção

  • Princípio da Responsabilização e Prestação de Contas

  • Programa de Governança em Privacidade (PGP)

  • ANPD (Autoridade Nacional de Proteção de Dados)

  • Dado Pessoal Sensível

  • Legítimo Interesse

  • Controlador