Quando e por que criar um RIPD

Lorem ipsum dolor sit amet, consectetur adipiscing elit

Olivia Baldissera • 16 de abril de 2025

Acompanhe

    Desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, toda organização, seja pública ou privada, deve elaborar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD). 


    Entenda o que é este documento a seguir. 

    A person is typing on a laptop with the words compliance de cibersegurança on the bottom

    O que é um RIPD 


    O RIPD é um documento que descreve os processos de tratamento de dados pessoais realizados por uma organização e avalia os riscos envolvidos para a privacidade dos titulares. Ele é de responsabilidade do controlador.


    De caráter obrigatório, o relatório deve garantir que as atividades de coleta, armazenamento, uso e compartilhamento de dados pessoais sejam feitas em conformidade com a LGPD, minimizando os riscos à privacidade e garantindo maior transparência no uso de informações pessoais. 


    Todo RIPD deve conter, segundo a LGPD: 


    • Descrição dos tipos de dados pessoais coletados ou tratados de qualquer forma; 
    • Finalidade do tratamento, incluindo interesse legítimo; 
    • Metodologia usada para o tratamento e para a garantia da segurança das informações; 
    • Análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de riscos adotados. 


    Órgão públicos são obrigados a divulgar o RIPD. No caso de entidades privadas, o documento não precisa ser público, mas deixá-lo acessível em sites, por exemplo, demonstra preocupação com a segurança das informações dos titulares. 


    Lembrando que a regulamentação do RIPD pela Autoridade Nacional de Proteção de Dados (ANPD) ainda está em andamento. Novas obrigações e parâmetros podem ser exigidos no futuro. 

    A tablet with the words tendencias de ti o que esperar do mercado de tecnologia até 2027 on it

    Quando o RIPD é necessário 


    O RIPD é necessário em todo contexto em que o processo de tratamento de dados represente um risco à proteção de dados pessoais, às liberdades civis e aos direitos fundamentais do titular. 


    Alguns exemplos são o uso de dados sensíveis (como biometria), monitoramento em larga escala de pessoas e uso de dados pessoais para decisões automatizadas que possam afetar significativamente os titulares. 


    A ANPD também pode exigir o RIPD nas seguintes situações, todas previstas na LGPD: 


    • Em operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penai; 
    • Em processos de tratamento de dados quando o tratamento tiver como fundamento a hipótese de interesse legítimo; 
    • Para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD; 
    • Para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis. 


    Quem pode solicitar o RIPD 


    A ANPD pode solicitar o RIPD ao controlador de dados, seja ele uma entidade pública ou privada. 


    Quando o RIPD deve ser formulado e remetido à ANPD 


    O RIPD deve ser remetido à ANPD sempre que for requisitado pela Autoridade, que também pode exigir cópia de documentos e demais informações relevantes para avaliação das atividades de tratamento de dados pessoais. 


    Esperamos que este breve guia sobre o RIPD tenha sido útil. Aprofunde seu conhecimento sobre essa documentação no curso Compliance de Cibersegurança da Pós PUC-Rio Digital

    Por Olivia Baldissera

    Gostou deste conteúdo? Compartilhe com seus amigos!

    12345
    × Popup Image
    Um anúncio de um telefone que diz que seus amigos estão com você na melhor universidade particular do país



    Assine a News PUC-Rio Digital  para evoluir na sua carreira


    Receba conteúdos sobre:


    • tendências de mercado
    • formas de escalar sua carreira
    • cursos para se manter competitivo
    Inscreva-se

    Conteúdo Relacionado