O RIPD será necessário sempre que o tratamento de dados pessoais puder expor a risco liberdades civis e direitos fundamentais (art. 5º, inciso XVII, da LGPD) ou, quando o fundamento para essa atividade for o interesse legítimo (art. 10 da LGPD).
Nesse documento, de responsabilidade do controlador, serão detalhadas as operações com dados pessoais, as medidas, salvaguardas e mecanismos de mitigação de riscos adotadas (art. 5º, inciso XVII, da LGPD). Assim como o ROPA, trata-se de instrumento que atende aos princípios da transparência, segurança, prevenção e prestação de contas (art. 6º, incisos VI, VII, VIII e X, da LGPD).
Pela LGPD, o RIPD deverá ser gerado apenas para os tratamentos que puderem o titular a risco (e não TODOS os processos) e conter, no mínimo, “a descrição dos tipos de dados coletados, a metodologia utilizada para coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mitigação de riscos adotados” (art. 38, parágrafo único, da LGPD).
Sendo documentação obrigatória, a autoridade disponibilizou no site do Governo Digital modelos para apoiar a realização do Relatório.
