Relatório de Impacto à Proteção de Dados (RIPD) — Art. 38
O RIPD (também chamado de DPIA) é um documento que descreve os tratamentos de dados que podem gerar riscos aos titulares e as medidas para mitigá-los. A ANPD pode solicitá-lo ao controlador (Art. 38), especialmente quando o tratamento se baseia em legítimo interesse ou envolve risco maior.
💡 Por que isso importa
Mais do que um documento para a ANPD, o RIPD é um exercício de pensar os riscos antes de eles acontecerem. Para tratamentos delicados, é uma das melhores evidências de diligência da OSC.
⚠️ Atenção
Material de referência. A necessidade e a profundidade de um RIPD dependem do seu caso e devem ser avaliadas com apoio jurídico. Veja o Aviso legal.
Quando considerar um RIPD
Para a maioria das OSCs não é obrigatório de rotina, mas vale a pena quando o tratamento envolve, por exemplo:
- Dados sensíveis em escala (saúde, religião, etc.).
- Grupos vulneráveis (crianças e adolescentes, pessoas em situação de risco).
- Monitoramento sistemático ou uso de novas tecnologias.
- Tratamento baseado em legítimo interesse com impacto relevante.
O que um RIPD costuma conter
- Descrição do tratamento: que dados, de quem, para quê, como, por quanto tempo.
- Necessidade e proporcionalidade: por que é necessário e se há forma menos invasiva.
- Riscos aos direitos e liberdades dos titulares.
- Medidas para reduzir esses riscos (segurança, minimização, controles de acesso).
- Conclusão: o risco residual é aceitável?
✅ Boas práticas
- Comece simples: um RIPD de uma ou duas páginas para o tratamento mais sensível já é um grande avanço.
- Reaproveite o que já está no Inventário (ROPA).