Relatório de Impacto à Proteção de Dados (RIPD) — Art. 38

O RIPD (também chamado de DPIA) é um documento que descreve os tratamentos de dados que podem gerar riscos aos titulares e as medidas para mitigá-los. A ANPD pode solicitá-lo ao controlador (Art. 38), especialmente quando o tratamento se baseia em legítimo interesse ou envolve risco maior.

💡 Por que isso importa

Mais do que um documento para a ANPD, o RIPD é um exercício de pensar os riscos antes de eles acontecerem. Para tratamentos delicados, é uma das melhores evidências de diligência da OSC.

⚠️ Atenção

Material de referência. A necessidade e a profundidade de um RIPD dependem do seu caso e devem ser avaliadas com apoio jurídico. Veja o Aviso legal.

Quando considerar um RIPD

Para a maioria das OSCs não é obrigatório de rotina, mas vale a pena quando o tratamento envolve, por exemplo:

  • Dados sensíveis em escala (saúde, religião, etc.).
  • Grupos vulneráveis (crianças e adolescentes, pessoas em situação de risco).
  • Monitoramento sistemático ou uso de novas tecnologias.
  • Tratamento baseado em legítimo interesse com impacto relevante.

O que um RIPD costuma conter

  1. Descrição do tratamento: que dados, de quem, para quê, como, por quanto tempo.
  2. Necessidade e proporcionalidade: por que é necessário e se há forma menos invasiva.
  3. Riscos aos direitos e liberdades dos titulares.
  4. Medidas para reduzir esses riscos (segurança, minimização, controles de acesso).
  5. Conclusão: o risco residual é aceitável?

Boas práticas

  • Comece simples: um RIPD de uma ou duas páginas para o tratamento mais sensível já é um grande avanço.
  • Reaproveite o que já está no Inventário (ROPA).

Relacionado