Artigo no Migalhas
Dentre as várias atividades que os agentes de tratamento de dados pessoais devem executar para garantir a conformidade com a Lei Geral de Proteção de Dados, lei 13.709/18, doravante LGPD, o RIPD – Relatório de Impacto à Proteção de Dados Pessoais – é uma das mais importantes delas. O RIPD, definido no art. 5º, inciso XVII, da LGPD, é a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Conforme definido no art. 38, a ANPD – Autoridade Nacional de Proteção de Dados – poderá “determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial”. O RIPD é ainda mais importante, quando o controlador utiliza como hipótese para o tratamento o interesse legítimo, art. 7º, inciso IX, base legal controversa, sobre a qual já escrevi algumas considerações em um art.1 recente.
Mas o que é e como deve ser elaborado esse relatório?