O Relatório de Impacto à Proteção de Dados Pessoais, comumente chamado pela sigla RIPD (ou DPIA - Data Protection Impact Assessment, na GDPR), é um dos documentos mais complexos e importantes previstos na LGPD. Ele é a prova material de que a empresa adotou uma postura preventiva no tratamento de dados.
Em linhas gerais, o RIPD descreve os processos de tratamento de dados de um determinado projeto, avalia os riscos envolvidos para as liberdades e os direitos dos titulares e aponta as medidas, salvaguardas e mecanismos que a empresa adotou para mitigar esses riscos.
Quando o RIPD é obrigatório?
A ANPD pode solicitar o relatório a qualquer momento. No entanto, ele se torna essencial desde o início (by design) quando a empresa realiza operações de tratamento de alto risco, tais como:
- Tratamento de dados sensíveis (saúde, biometria, dados genéticos, opiniões políticas) em larga escala.
- Uso de tecnologias inovadoras (Inteligência Artificial, reconhecimento facial).
- Avaliação ou pontuação sistemática e automatizada de pessoas (como algoritmos de análise de crédito, recrutamento automatizado ou monitoramento constante).
- Quando o tratamento puder resultar em dano patrimonial, moral ou discriminação ao titular.
- Quando a base legal utilizada for o Legítimo Interesse (embora não seja regra absoluta, é uma forte recomendação de governança).
O que deve conter no documento?
Segundo a LGPD e as boas práticas internacionais, um RIPD robusto precisa detalhar:
- A Descrição do Tratamento: Qual o propósito, quais dados são coletados, onde ficam hospedados, etc.
- A Avaliação de Necessidade e Proporcionalidade: Por que não é possível atingir esse objetivo com menos dados ou dados anonimizados?
- A Identificação dos Riscos: O que pode dar errado? (Ex: vazamentos, acesso indevido de funcionários, interceptação).
- As Medidas de Mitigação: Como a empresa reduziu esses riscos? (Ex: criptografia de banco de dados, pseudonimização, controle de acesso restrito).
Importante: O RIPD não é um documento que se faz uma vez e se guarda na gaveta. Ele deve ser atualizado sempre que o processo de tratamento sofrer uma alteração significativa.
A elaboração do RIPD exige conhecimento técnico-jurídico e de segurança da informação.