Pular para o conteúdo

Governança

DPIA

também conhecido como Avaliação de Impacto à Proteção de Dados Pessoais · RIPD

Documento que avalia riscos de privacidade em operações de tratamento de dados pessoais de alto impacto.

A Avaliação de Impacto à Proteção de Dados (DPIA, do inglês Data Protection Impact Assessment; também chamada de Relatório de Impacto à Proteção de Dados, RIPD) é o documento previsto na LGPD que avalia e documenta os riscos de privacidade em operações de tratamento de dados pessoais de alto impacto — identificando probabilidade, gravidade e medidas de mitigação aplicáveis.

No setor público, são casos típicos de DPIA: uso de reconhecimento facial em segurança pública, decisão automatizada em concessão de benefício social, predição em educação ou saúde, vigilância em larga escala.

O DPIA descreve a operação, identifica os riscos, avalia sua probabilidade e gravidade, e documenta as medidas de mitigação. É instrumento de accountability — não basta existir, precisa ser revisado e atualizado quando a operação muda.

Perguntas comuns

Perguntas frequentes sobre DPIA

DPIA e RIPD são o mesmo documento?
Sim. RIPD (Relatório de Impacto à Proteção de Dados Pessoais) é o nome em português usado pela ANPD e pela própria LGPD. DPIA é o termo em inglês equivalente, mais difundido na literatura técnica. Os dois designam o mesmo instrumento de accountability.
Quando é obrigatório fazer DPIA?
Quando o tratamento envolve risco alto a direitos e liberdades — definido por regulamentação da ANPD. Casos típicos: vigilância em larga escala, decisão automatizada com efeito jurídico relevante, tratamento de dados sensíveis em massa, novas tecnologias com risco não consolidado.
Quem assina o DPIA?
Tipicamente o encarregado de dados (DPO) coordena a elaboração e a área de negócio responsável pelo tratamento valida. O controlador (no caso público, o ente) é o responsável formal, podendo o ato ser assinado pela autoridade competente ou pelo encarregado por delegação.