Pular para o conteúdo
Compliance MSPA

Relatorio De Impacto A Protecao De Dados Pessoais Ripd

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

O RIPD é uma ferramenta de análise de risco focada em privacidade. É um documento que o (a empresa) deve elaborar para descrever um processo de de dados pessoais, identificar os riscos que esse processo pode gerar aos Titulares (como vazamento, discriminação ou uso indevido) e, o mais importante, definir as medidas para mitigar esses riscos.

Ele deve ser feito antes de iniciar novas atividades de que possam apresentar alto risco.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A LGPD, no Art. 5º, XVII, define o RIPD como: “documentação do que contém a descrição dos processos de de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

O Art. 38 complementa, afirmando que a ANPD poderá solicitar este relatório às empresas quando o for de alto risco ou baseado no .

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

A elaboração de um RIPD é fortemente recomendada (ou obrigatória) antes de:

  • Implementar um sistema de reconhecimento facial na entrada da empresa (trata Dados Pessoais Sensíveis em larga escala).
  • Lançar um novo produto de Inteligência Artificial que toma decisões automatizadas sobre pessoas (ex: aprovação de crédito, seleção de currículos).
  • Instalar um sistema de monitoramento por GPS na frota de veículos dos funcionários.
  • Criar um novo centralizado com informações de saúde dos pacientes de uma rede de hospitais.

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais comum é tratar o RIPD como mera burocracia e fazê-lo depois que o projeto já está pronto, apenas para “cumprir tabela”. O RIPD é uma ferramenta de Privacy by Design (Privacidade desde a Concepção). Ele deve ser feito durante a fase de planeamento do projeto, para que seus resultados (os riscos identificados) possam moldar o projeto (ex: decidir não coletar um dado, Pseudonimizar uma coluna do , ou adicionar uma camada extra de ).

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

Embora a ANPD ainda esteja a regulamentar os detalhes de quando o RIPD é obrigatório, a LGPD já o exige explicitamente (Art. 10, § 3º) quando a empresa escolhe usar a base legal do para fundamentar suas operações. Além disso, a versão europeia (o GDPR) chama este mesmo documento de DPIA (Data Protection Impact Assessment).

Termos Relacionados

Seção intitulada “Termos Relacionados”