Relatório de Impacto da Proteção de dados
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é um documento previsto na LGPD (art. 5º, XVII e art. 38) que funciona como uma espécie de “avaliação de riscos” sobre como uma organização trata dados pessoais.
🔎 O que é?
É um relatório detalhado que descreve:
- quais dados pessoais são coletados e tratados;
- para quais finalidades;
- quais riscos esse tratamento pode gerar aos titulares dos dados (cidadãos, clientes, servidores, etc.);
- e quais medidas de segurança, técnicas e administrativas estão sendo adotadas para minimizar esses riscos.
📌 Objetivo
O RIPD serve para:
- garantir transparência no tratamento de dados;
- demonstrar que a instituição cumpre a LGPD;
- embasar decisões internas de privacidade e segurança;
- subsidiar a ANPD (Autoridade Nacional de Proteção de Dados) em caso de fiscalização ou solicitação.
🛠️ Quando ele é necessário?
O relatório não é exigido para todo e qualquer tratamento de dados, mas especialmente quando:
- houver tratamento de dados pessoais sensíveis (saúde, religião, biometria, dados de menores, etc.);
- o tratamento envolver grande volume de dados ou operações que possam gerar riscos significativos aos direitos e liberdades dos titulares;
- a ANPD solicitar a apresentação do relatório.
📑 Estrutura básica de um RIPD
Embora a LGPD não tenha um modelo único, geralmente o relatório contém:
- Descrição das atividades de tratamento (coleta, armazenamento, compartilhamento, exclusão);
- Finalidade e base legal (ex.: consentimento, obrigação legal, execução de políticas públicas);
- Descrição dos dados pessoais tratados (simples ou sensíveis);
- Análise de riscos e possíveis impactos aos titulares;
- Medidas de mitigação (controles de segurança, governança, anonimização, etc.);
- Plano de ação para melhoria contínua.