top of page
  • Whatsapp
  • Linkedin
  • Instagram
  • Facebook
Buscar

O que é RIPD e quando ele é obrigatório segundo a LGPD

  • Foto do escritor: Mainsafe
    Mainsafe
  • há 7 dias
  • 3 min de leitura
ree

Entenda quando sua empresa precisa elaborar o Relatório de Impacto à Proteção de Dados Pessoais


Com a consolidação da ANPD como Agência Nacional de Proteção de Dados, a fiscalização da Lei Geral de Proteção de Dados (LGPD) vai se tornar mais ativa e técnica.E um dos principais documentos que a ANPD pode exigir das empresas é o RIPD — Relatório de Impacto à Proteção de Dados Pessoais.


Mas afinal, o que é o RIPD, quando ele é obrigatório e como elaborar esse relatório de forma correta?


O que é o RIPD


Segundo o artigo 5º, inciso XVII, da LGPD, o RIPD é a documentação do controlador que descreve os processos de tratamento de dados pessoais que podem gerar alto risco aos direitos e liberdades dos titulares, indicando medidas de mitigação, salvaguardas e controles adotados pela organização.


Em outras palavras, é um documento técnico de governança, que mostra como a empresa identifica e controla riscos de privacidade — o equivalente ao RIPD europeu (DPIA) previsto no GDPR.


O RIPD é prova de conformidade: mostra que a empresa cumpre o princípio da responsabilização e prestação de contas (art. 6º, X) da LGPD.


Quem deve elaborar o RIPD


O controlador é o agente de tratamento responsável pela elaboração do RIPD (art. 38 da LGPD).Porém, a prática ideal é que o DPO (Encarregado) participe ativamente do processo, junto com as áreas jurídica, de TI, segurança e compliance.


O relatório deve ser aprovado internamente e revisado sempre que houver mudanças significativas nos tratamentos ou nos riscos.


Quando o RIPD é obrigatório


A ANPD recomenda elaborar o RIPD em todo contexto em que o tratamento possa gerar alto risco aos direitos dos titulares.


Além disso, a LGPD prevê situações específicas em que ele pode ser exigido formalmente pela Agência:


Casos previstos na LGPD:


  • Art. 4º, §3º: tratamento para fins de segurança pública, defesa nacional, segurança do Estado ou investigação penal;

  • Art. 10, §3º: quando o tratamento se baseia em interesse legítimo;

  • Art. 32: agentes públicos que realizem tratamento de dados;

  • Art. 38: controladores em geral, especialmente quando tratam dados pessoais sensíveis.


Na prática, também deve ser elaborado sempre que o tratamento envolver:


  • Grande volume de titulares (“larga escala”);

  • Dados sensíveis (saúde, biometria, origem racial, crença, etc.);

  • Decisões automatizadas que afetem direitos;

  • Monitoramento, rastreamento ou uso de tecnologias inovadoras;

  • Dados de crianças, adolescentes ou idosos.


Esses critérios são definidos pela Resolução nº 2/2022 da ANPD e são a base para o conceito de “tratamento de alto risco”.


Quando elaborar o RIPD


O ideal é que o RIPD seja elaborado antes do início do tratamento de dados, ainda na fase de planejamento de novos processos ou sistemas.Assim, a empresa pode avaliar riscos preventivamente e definir as salvaguardas adequadas antes que o dado seja usado.

Caso isso não seja possível, o relatório deve ser produzido assim que o tratamento de alto risco for identificado ou sempre que solicitado pela ANPD.


O que deve conter um RIPD


De acordo com a ANPD, o relatório deve conter, no mínimo:


  1. Descrição dos tipos de dados pessoais coletados e tratados;

  2. Metodologia de tratamento e medidas de segurança aplicadas;

  3. Análise das salvaguardas e mecanismos de mitigação de risco;

  4. Critérios de necessidade e proporcionalidade;

  5. Riscos identificados e planos de ação corretiva.


Além disso, recomenda-se incluir:


  • Identificação dos agentes de tratamento e do DPO;

  • Finalidade e base legal de cada operação;

  • Categorias de titulares e volume de dados;

  • Prazo de retenção e política de descarte;

  • Avaliação de riscos e níveis de probabilidade e impacto (matriz de risco);

  • Aprovação formal pelos responsáveis.



O que fazer após elaborar o RIPD


Depois de elaborado, o controlador deve:


  • Implementar as medidas de mitigação propostas;

  • Registrar e acompanhar as ações de adequação;

  • Revisar periodicamente o relatório, especialmente quando houver novos riscos, tecnologias ou mudanças legais;

  • Manter o documento disponível para apresentação à ANPD, se solicitado.


A divulgação pública do RIPD não é obrigatória, mas pode ser uma boa prática de transparência e governança.


Como o DPONOTE e a MainSafe podem ajudar


DPONOTE: módulo automatizado para elaboração de RIPD.

MainSafe Consultoria: elaboração e revisão completa de RIPDs, auditorias e relatórios exigidos pela ANPD.

  • Formação completa de DPO com certificação EXIN internacional;

  • Treinamentos corporativos sobre LGPD e segurança da informação para colaboradores.






Comentários

Fale Conosco

Ao clicar em enviar, declaro, de forma livre, informada e inequívoca, que autorizo o tratamento de meus dados pessoais pela Mainsafe para a finalidade de realização de contato comercial por um de seus consultores.

Em caso de dúvidas com relação a privacidade de seus dados pessoais, favor entrar em contato com nosso DPO através do e-mail: rodrigo@mainsafe.com.br

Obrigado por enviar!

Mainsafe Soluções

O  futuro do seu negócio começa com a MainSafe!

Copyright © 2019 - Mainsafe
Todos direitos reservados

(31) 9 9359-5962

Avenida Amazonas, 115 - sala 1102 - Centro - Belo Horizonte - MG

CNPJ - 33.601.650/0001-41

Enviar email clique aqui

bottom of page