Dentre as várias atividades que os agentes de tratamento de dados pessoais devem executar para garantir a conformidade com a Lei Geral de Proteção de Dados LGPD), o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é uma das mais importantes delas. Previsto no artigo 5º, inciso XVII, da LGPD, é a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Conforme definido no artigo 38, a Autoridade Nacional de Proteção de Dados (ANPD) poderá “determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial”. O RIPD é ainda mais importante, quando o controlador utiliza como hipótese para o tratamento o interesse legítimo (art. 7º, inciso IX).
Escrevi um artigo sobre isso na MIT Technology Review Brasil.
Abaixo, consolido as 9 etapas para elaboraçaõ do #RIPD, segundo guia criado pela Secretaria de Governo Digital do Ministério da Economia.
Veja também a publicação sobre o tema, feita no Linkedin.