Mod4 Relatório de Impacto à Proteção de Dados Pessoais

Prévia do material em texto

Proteção de Dados 
Pessoais no Serviço 
Público
Relatório de Impacto à 
Proteção de Dados Pessoais4
M
ód
ul
o
2Enap Fundação Escola Nacional de Administração Pública
Enap, 2020
Enap Escola Nacional de Administração Pública
Diretoria de Educação Continuada
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Presidente 
Diogo Godinho Ramos Costa
Diretor de Desenvolvimento Profissional
Paulo Marques
Coordenador-Geral de Educação a Distância 
Carlos Eduardo dos Santos
Conteudista/s 
Julierme Rodrigues da Silva (conteudista, 2019)
Curso produzido em Brasília 2019.
3Enap Fundação Escola Nacional de Administração Pública
1. Relatório de Impacto à Proteção De Dados Pessoais ..................... 5
Sumário
4Enap Fundação Escola Nacional de Administração Pública
5Enap Fundação Escola Nacional de Administração Pública
1. Relatório de Impacto à Proteção De Dados Pessoais
O Relatório de Impacto à Proteção dos Dados Pessoais - RIPD representa documento fundamental 
a fim de mostrar os dados pessoais que são coletados, tratados, usados, compartilhados e quais 
medidas são adotadas para a mitigação dos riscos que possam afetar as liberdades civis e direitos 
fundamentais dos titulares desses dados.
Segundo o inciso XVII do art. 5º da LGPD, o RIPD é documentação que deve ser mantida pelo 
Controlador dos dados pessoais. O Controlador é a “pessoa, natural ou jurídica, de direito 
público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais” 
(LGPD, art. 5º, VI). Tal inciso também apresenta o que a LGPD considera como RIPD.
Art. 5º Para os fins desta Lei, considera-se:
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador 
que contém a descrição dos processos de tratamento de dados pessoais que podem gerar 
riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas 
e mecanismos de mitigação de risco.
Embora o art. 5º, inciso XVII defina o que é um RIPD, o seu conteúdo mínimo é indicado pelo 
parágrafo único do art. 38:
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório 
de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas 
operações de tratamento de dados, nos termos de regulamento, observados os segredos 
comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, 
no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a 
coleta e para a garantia da segurança das informações e a análise do controlador com 
relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
M
ód
ul
o Relatório de Impacto à 
Proteção de Dados Pessoais4
6Enap Fundação Escola Nacional de Administração Pública
A seguir serão apresentadas as etapas para a elaboração de um Relatório de Impacto à Proteção 
dos Dados Pessoais - RIPD, orientando a descrição dos processos de tratamento de dados 
pessoais, bem como o mapeamento dos riscos relacionados ao tratamento de dados pessoais e 
a identificação das medidas de segurança para proteção desses dados.
Etapas da Elaboração do RIPD
O RIPD deve ser elaborado antes de a instituição iniciar o tratamento de dados pessoais, 
preferencialmente na fase inicial do programa ou projeto que tem o propósito de usar esses 
dados. A elaboração contempla as etapas destacadas pela figura a seguir. Atente-se às etapas 
que compõem a imagem, pois a seguir detalharemos cada uma delas.
Identificar os Agentes de Tratamento e o Encarregado
Esta etapa é bem simples e consiste em identificar os agentes de tratamento (controlador e 
operador) e o encarregado no RIPD. Ressalta-se que esses atores desempenham papel essencial 
no levantamento das informações necessárias para a elaboração do Relatório.
7Enap Fundação Escola Nacional de Administração Pública
Art. 5º Para os fins desta Lei, considera-se:
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem 
competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o 
tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal 
de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de 
Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
A conclusão desta etapa envolve identificar o endereço de e-mail e o número de telefone 
de contato do encarregado, já que ele é o canal de comunicação entre o controlador, os 
titulares dos dados e a ANPD.
A conclusão desta etapa envolve identificar o endereço de e-mail e o número de telefone de 
contato do encarregado, já que ele é o canal de comunicação entre o controlador, os titulares 
dos dados e a ANPD.
Identificar a Necessidade de Elaborar o Relatório
Antes de apresentarmos as orientações relativas à identificação da necessidade de elaborar 
o relatório, é fundamental conhecer os casos específicos previstos pela LGPD em que o RIPD 
deverá ou poderá ser solicitado:
8Enap Fundação Escola Nacional de Administração Pública
• Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
[...]
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes 
às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos 
responsáveis relatórios de impacto à proteção de dados pessoais.
• Art. 10, § 3º:
A autoridade nacional poderá solicitar ao controlador relatório de impacto à 
proteção de dados pessoais, quando o tratamento tiver como fundamento seu 
interesse legítimo, observados os segredos comercial e industrial.
• Art. 31 Quando houver infração a esta Lei em decorrência do tratamento de dados 
pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com 
medidas cabíveis para fazer cessar a violação.
Art. 32 A autoridade nacional poderá solicitar a agentes do Poder Público a publicação 
de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões 
e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.
• Art. 38. A autoridade nacional poderá determinar ao controlador que elabore 
relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, 
referente a suas operações de tratamento de dados, nos termos de regulamento, 
observados os segredos comercial e industrial.
Conhecidos os casos específicos previstos pela LGPD em que o RIPD pode ser solicitado, são 
fornecidas a seguir as orientações referentes à identificação da necessidade de elaborar o 
relatório.
Inicialmente a instituição deve avaliar se os programas, sistemas de informação ou processos 
existentes ou a serem implementados geram impactos à proteção dos dados pessoais, a fim de 
decidir sobre a elaboração ou atualização do RIPD.
Lembre-se de que o Relatório de Impacto é elaborado ou atualizado sempre que existir a 
possibilidade de ocorrer impacto na privacidade dos dados pessoais resultantes de:
• Uma tecnologia, serviço ou outra nova iniciativa em que dados pessoais sensíveis 
ou não sejam ou devam ser tratados.
• Rastreamento da localização dos indivíduos ou qualquer outra ação de tratamento 
que vise à formação de perfil comportamental de pessoa natural, se identificada 
(LGPD, art. 12 § 2º).
9Enap Fundação Escola Nacional de Administração Pública
• Monitoramento sistemático de local publicamente acessível em larga escala.
• Tratamento de dado pessoal sobre “origem racial ou étnica, convicção religiosa, 
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico 
ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, 
quandovinculado a uma pessoa natural” (LGPD, art. 5º, II).
• Processamento de dados pessoais usados para tomar decisões automatizadas que 
possam ter efeitos legais, incluídas as decisões destinadas a definir o seu perfil 
pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade 
(LGPD, art. 20).
• Tratamento de dados pessoais de crianças e adolescentes (LGPD, art. 14).
• Tratamento de dados que possa resultar em algum tipo de dano patrimonial, moral, 
individual ou coletivo aos seus titulares, se houver vazamento (LGPD, art. 42).
• Tratamento de dados pessoais realizados para fins exclusivos de segurança pública, 
defesa nacional, segurança do Estado, ou atividades de investigação e repressão de 
infrações penais (LGPD, art. 4º, § 3º).
• Tratamento no interesse legítimo do controlador (LGPD, art. 10, § 3º).
• Alterações nas leis e regulamentos aplicáveis à privacidade, política e normas 
internas, operação do sistema de informações, propósitos e meios para tratar 
dados, fluxos de dados novos ou alterados etc.
• Reformas administrativas que implicam nova estrutura organizacional resultante 
da incorporação, fusão ou cisão de órgãos ou entidades.
Em síntese, nessa etapa deve(m) ser explicitado(s) qual(is) dos itens elencados anteriormente 
expressa(m) a necessidade de o RIPD ser elaborado ou atualizado pela instituição.
Descrever o Tratamento
Esta etapa consiste na descrição dos processos de tratamento de dados pessoais que podem 
gerar riscos às liberdades civis e aos direitos fundamentais, contemplando a especificação da 
natureza, escopo, contexto e finalidade do tratamento. O objetivo principal desta descrição 
é fornecer cenário institucional relativo aos processos que envolvem o tratamento dos dados 
pessoais, fornecendo subsídios para avaliação e tratamento de riscos.
Salienta-se que a LGPD (art. 5º, X) considera tratamento “toda operação realizada com dados 
pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, 
acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, 
eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, 
difusão ou extração”.
10Enap Fundação Escola Nacional de Administração Pública
Destaque h, h, h, h, 
Caso a instituição considere mais adequado para a sua realidade de tratamento 
de dados pessoais, pode-se sintetizar a natureza, escopo, contexto e finalidade 
do tratamento em uma única seção do RIPD sem necessidade de segregar a 
descrição do tratamento em subseções.
Para fins didáticos, detalharemos a etapa “Descrever o Tratamento” nas seguintes seções: 
natureza, escopo, contexto e finalidade.
• Descrever o Tratamento - Natureza
A natureza representa como a instituição pretende tratar ou trata o dado pessoal.
Importante descrever, por exemplo
11Enap Fundação Escola Nacional de Administração Pública
• Descrever o Tratamento - Escopo
O escopo representa a abrangência do tratamento de dados.
Nesse sentido, é importante descrever, por exemplo:
Importante 
O levantamento das informações elencadas anteriormente auxilia no sentido 
de determinar se o tratamento de dados pessoais é realizado em larga escala.
Exemplos de tratamento em larga escala incluem:
a) tratamento de dados de pacientes no curso regular dos negócios de um hospital;
12Enap Fundação Escola Nacional de Administração Pública
b) tratamento de dados de viagem de indivíduos que usam o sistema de transporte 
público da cidade (rastreamento via cartões de viagem, por exemplo);
c) tratamento de dados de localização geográfica, em tempo real, de clientes de 
uma cadeia internacional de fast food, para fins estatísticos por um processador 
especializado na prestação desses serviços;
d) tratamento de dados de clientes no curso regular dos negócios, por uma companhia 
de seguros ou por um banco;
e) tratamento de dados pessoais para publicidade comportamental, realizado por um 
mecanismo de pesquisa; e
f) tratamento de dados (conteúdo, tráfego, localização) por prestadores de serviços de 
telefone ou internet.
Exemplos que não constituem processamento em larga escala incluem:
a) tratamento de dados do paciente por um médico individual; e
b) tratamento de dados pessoais relacionados a condenações e infrações penais, por 
um advogado individual.
• Descrever o Tratamento - Contexto
Ao descrever o contexto de tratamento, deve-se considerar um cenário mais amplo, incluindo 
fatores internos e externos que podem afetar as expectativas do titular dos dados pessoais ou o 
impacto sobre o tratamento dos dados.
Ao contemplar os itens destacados a seguir, serão fornecidas informações que permitirão mostrar 
o equilíbrio entre o interesse e necessidade do controlador em tratar os dados pessoais e os 
direitos dos titulares desses dados.
13Enap Fundação Escola Nacional de Administração Pública
• Descrever o Tratamento - Finalidade
A finalidade é a razão ou motivo pelo qual se deseja tratar os dados pessoais. É importantíssimo 
estabelecer claramente a finalidade, pois é ela que justifica o tratamento e fornece os elementos 
para informar o titular dos dados. Nesse contexto, cumpre:
1. Detalhar o que se pretende alcançar com o tratamento dos dados pessoais, considerando os 
exemplos de finalidades elencadas a seguir embasados nos artigos 7º e 11 da LGPD, no que for 
aplicável:
a) Cumprimento de obrigação legal ou regulatória pelo controlador.
b) Execução de políticas públicas.
c) Alguma espécie de estudo realizado por órgão de pesquisa.
d) Execução de contrato ou de procedimentos preliminares relacionados a contrato do 
qual seja parte o titular, a pedido do titular dos dados.
14Enap Fundação Escola Nacional de Administração Pública
e) Exercício regular de direitos em processo judicial, administrativo ou arbitral.
f) Proteção da vida ou da incolumidade física do titular ou de terceiro.
g) Tutela da saúde.
h) Atender aos interesses legítimos do controlador ou de terceiro.
i) Proteção do crédito.
j) Garantia da prevenção à fraude e à segurança do titular.
Importante 
Destaca-se que os exemplos de finalidades apresentados não são exaustivos. 
Desse modo, deve-se informar e detalhar qualquer outra finalidade específica 
do controlador para tratamento dos dados pessoais, mesmo que tal finalidade 
não conste dos citados exemplos. Especial atenção deve ser dedicada 
ao tratamento de dados pessoais realizado com base exclusivamente no 
consentimento do titular, que pode ocorrer excepcionalmente no caso dos 
órgãos e entidades públicas. Em ocorrendo, a finalidade deve ser precisamente 
detalhada.
2. Indicar qual(is) o(s) resultado(s) pretendido(s) para os titulares dos dados pessoais, informando 
o quão importante são esses resultados.
3. Informar os benefícios esperados para o órgão/entidade ou para a sociedade como um todo.
Destaque h, h, h, h, 
Neste momento, deve-se atentar para o caso de a finalidade ser para 
atender o legítimo interesse do controlador. Nesse caso, somente poderá 
ser fundamentado tratamento de dados pessoais para finalidades legítimas, 
consideradas a partir de situações concretas, conforme previsto pelo art. 10 
da LGPD.
Por fim, ressaltamos que a instituição deve equilibrar seus interesses com os dos indivíduos com 
os quais ela tem relacionamento. Se o tratamento de dados pessoais for realizado de forma 
diferente do esperado pelos titulares dos dados pessoais ou se o tratamento ferir algum direito ou 
liberdade fundamental deles, é provável que os interesses e direitos desses titulares prevaleçam 
em relação ao interesse legítimo do controlador. Impossibilitando, assim, legalmente, que o dado 
seja tratado pelo controlador.
15Enap Fundação Escola Nacional de Administração Pública
Identificar Partes Interessadas Consultadas
Como o título já diz, nesse momento devem ser identificadas as partes interessadas relevantes, 
como: operador (LGPD - art. 5º, VII), encarregado (LGPD - art. 5º, VIII), gestores, especialistas em 
segurançada informação, consultores jurídicos, etc., sejam elas internas e externas, consultadas 
a fim de se obter opiniões legais, técnicas ou administrativas sobre os dados pessoais objeto do 
tratamento.
Feito isso, agora é a hora de identificar também o que cada parte consultada indicou como 
importante de ser observado para o tratamento dos dados pessoais em relação aos possíveis 
riscos:
• inerentes às atividades de tratamento em análise;
• de não-conformidade ante a LGPD; e
• de não-conformidade no que se refere aos instrumentos internos de controle 
(políticas, processos e procedimentos voltados à proteção de dados e privacidade).
Importante 
Caso não seja conveniente registrar o que foi consultado, então é importante 
apresentar o motivo de não se ter realizado tal registro, justificando, por 
exemplo, que apresentar o registro das opiniões das partes internas no RIPD 
comprometeria segredo comercial ou industrial; fragilizaria a segurança da 
informação; ou que seria desproporcional ou impraticável realizar o registro 
das opiniões obtidas.
Em síntese, nesta etapa do RIPD deve-se identificar:
• Quais as partes consultadas.
• O que essas partes opinaram em relação aos aspectos legais, técnicos, 
administrativos, de riscos de tratamento de dados pessoais e de não-conformidade.
Descrever Necessidade e Proporcionalidade
Nessa etapa deve ser descrito como a instituição avalia a necessidade e proporcionalidade 
dos dados, demonstrando que as operações realizadas sobre os dados pessoais limitam o 
tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos 
dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de 
dados (LGPD, art. 6º, III).
16Enap Fundação Escola Nacional de Administração Pública
Nesse sentido, deve-se destacar:
1. A fundamentação legal para o tratamento dos dados pessoais.
2. Caso o fundamento legal seja embasado no legítimo interesse do controlador (LGPD, 
art. 10), mostrar que:
2.1. esse tratamento de dados pessoais é indispensável;
2.2. não há outra base legal possível de se utilizar para alcançar o mesmo propósito; 
e
2.3. esse processamento de fato auxilia no propósito almejado.
3. Como será garantida a qualidade [exatidão, clareza, relevância e atualização dos 
dados] e minimização dos dados.
4. Quais medidas são adotadas a fim de assegurar que o operador (LGPD, art. 5º, VII) 
realiza o tratamento de dados pessoais conforme LGPD e critérios estabelecidos 
pela instituição que exerce o papel de controlador (LGPD, art. 5º, VI).
5. Como estão implementadas as medidas que asseguram o direito do titular dos 
dados pessoais de obter do controlador o previsto pelo art. 18 da LGPD.
6. Como a instituição pretende fornecer informações de privacidade para os titulares 
dos dados pessoais.
7. Quais são as salvaguardas para as transferências internacionais de dados.
Destaque h, h, h, h, 
Conforme apresentado a seguir, o artigo 18 da LGPD é bem extenso e trata 
do direito que o titular tem de requisitar do controlador ações e informações 
específicas em relação ao tratamento realizado sobre os dados pessoais. É 
extremamente relevante que a instituição implemente medidas que viabilizem 
o exercício dos direitos do titular.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos 
dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
17Enap Fundação Escola Nacional de Administração Pública
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou 
tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição 
expressa, de acordo com a regulamentação da autoridade nacional, observados os 
segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019)
 VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas 
hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou 
uso compartilhado de dados;
 
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as 
consequências da negativa;
 
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
 
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados 
contra o controlador perante a autoridade nacional.
 
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das 
hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta 
Lei.
 
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso 
do titular ou de representante legalmente constituído, a agente de tratamento.
 
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º 
deste artigo, o controlador enviará ao titular resposta em que poderá:
 
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, 
o agente; ou
 
II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
 
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, 
nos prazos e nos termos previstos em regulamento.
 
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento 
com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a 
anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto 
nos casos em que esta comunicação seja comprovadamente impossível ou implique 
esforço desproporcional. (Redação dada pela Lei nº 13.853, de 2019)
 
18Enap Fundação Escola Nacional de Administração Pública
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo 
não inclui dados que já tenham sido anonimizados pelo controlador.
 
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os 
organismos de defesa do consumidor.
 Identificar e Avaliar os Riscos
Nesta etapa vamos abordar as ações necessárias para 
identificação e avaliação de riscos, destacando os principais 
riscos que podem comprometer a privacidade dos dados 
pessoais tratados pela instituição.
O art. 5º, XVII da LGPD preconiza que o Relatório de Impacto 
deve descrever “medidas, salvaguardas e mecanismos de 
mitigação de risco“.
Antes de definir tais medidas, salvaguardas e mecanismos, é necessário identificar os riscos que 
geram impacto potencial sobre o titular dos dados pessoais.
Para cada risco identificado, define-se: a probabilidade de ocorrência do evento de risco e o 
possível impacto caso o risco ocorra, avaliando o nível potencial de risco para cada evento.
Como exemplo, parâmetros escalares podem ser utilizados para representar os níveis de 
probabilidade e impacto que, após a multiplicação, resultarão nos níveis de risco, que direcionarão 
a aplicação de medidas de segurança. Os parâmetros escalares são apresentados na tabela a 
seguir.
Classificação Valor
Baixo 5
Moderado 10
Alto 15
A figura a seguir apresenta a Matriz Probabilidade versus Impacto, instrumento de apoio para a 
definição dos critérios de classificação do nível de risco.
19Enap Fundação Escola Nacional de Administração Pública
O produto da probabilidade pelo impacto de cada risco deve se enquadrar em uma região da 
matriz apresentada acima.
Risco enquadrado na região:
• verde é entendido como baixo;
 
• amarelo representa risco moderado; e
 
• vermelho indica risco alto.
Destaque h, h, h, h, 
As definições e conceitos de riscos adotados neste módulo são utilizados como 
forma de ilustrar a identificação e avaliação de riscos realizada no RIPD. Desse 
modo, é importante destacar que o gerenciamento de riscos relacionado com o 
tratamentodos dados pessoais deve ser realizado em harmonia com a Política 
de Gestão de Riscos do órgão, preconizada pela Instrução Normativa Conjunta 
MP/CGU nº 1, de 10 de maio de 2016.
Saiba mais 
Informações mais aprofundadas sobre gestão de risco podem ser observadas 
no Manual de Gestão de Riscos elaborado pela AECI-MP, disponível no link: 
http://www.planejamento.gov.br/publicacoes/controle-interno/manual_de_
girc___versao_2_0.pdf.
20Enap Fundação Escola Nacional de Administração Pública
Vamos destacar, na tabela de identificação e análise de riscos apresentada a seguir, uma série não 
exaustiva de riscos de privacidade e de segurança da informação relacionados com a proteção de 
dados pessoais. Atente-se a essas informações, analisando com atenção cada dado apresentado.
Destaque h, h, h, h, 
O nível de probabilidade, de impacto e de riscos indicados são apenas 
exemplificativos, devendo ser avaliados de acordo com o contexto de cada 
instituição.
Id Risco referente ao tratamento de dados pessoais P1 I2
Nível 
de
 Risco
(P x I)3
R01 Acesso não autorizado. 10 15 150
R02 Modificação não autorizada. 10 15 150
R03 Perda. 5 15 75
R04 Roubo. 5 15 75
R05 Remoção não autorizada. 5 15 75
R06 Coleção excessiva. 10 10 100
R07 Informação insuficiente sobre a finalidade do tratamento. 10 15 150
R08
Tratamento sem consentimento do titular dos dados pessoais 
(Caso o tratamento não esteja previsto em legislação ou 
regulação pertinente).
10 15 150
R09 Falha em considerar os direitos do titular dos dados pessoais (Ex.: perda do direito de acesso). 5 15 75
R10
Compartilhar ou distribuir dados pessoais com terceiros fora 
da administração pública federal sem o consentimento do 
titular dos dados pessoais.
10 15 150
R11 Retenção prolongada de dados pessoais sem necessidade. 10 5 50
R12 Vinculação/associação indevida, direta ou indireta, dos dados pessoais ao titular. 5 15 75
R13
Falha/erro de processamento (Ex.: execução de script de banco 
de dados que atualiza dado pessoal com dado equivocado, 
ausência de validação dos dados de entrada, etc.).
5 15 75
R14 Reidentificação de dados pseudonimizados. 5 15 75
Tabela: parâmetros escalares.
Legenda: P – Probabilidade; I – Impacto.
21Enap Fundação Escola Nacional de Administração Pública
1. Probabilidade: chance de algo acontecer, não importando se definida, medida ou determinada 
objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se termos 
gerais ou matemáticos (ISO/IEC 31000:2009, item 2.19).
2. Impacto: resultado de um evento que afeta os objetivos (ISO/IEC 31000:2009, item 2.18).
3. Nível de Risco: magnitude de um risco ou combinação de riscos, expressa em termos da 
combinação das consequências e de suas probabilidades (ISO/IEC 31000:2009, item 2.23 e IN 
SGD/ME nº 1, de 2019, art. 2º, inciso XIII).
Note que os treze primeiros riscos representam riscos de privacidade obtidos da norma ISO/IEC 
29134:2017 seção 6.4.4. Essa lista pretende facilitar a identificação de riscos de privacidade dos 
dados pessoais a serem tratados pela instituição.
Importante 
Salienta-se que deve ser identificado qualquer tipo de risco que afete o 
tratamento de dados pessoais, independentemente de sua natureza (técnica, 
administrativa, de segurança da informação ou de privacidade).
Identificar Medidas para Tratar os Riscos
Esta etapa deve ser preenchida com as informações pertinentes às medidas cabíveis para o caso, 
que podem ser de segurança, técnicas ou administrativas.
Os agentes de tratamento devem, então, adotar medidas de segurança, técnicas e administrativas 
aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas 
de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou 
ilícito (LGPD, art. 46).
Destaque h, h, h, h, 
A instituição nem sempre precisa eliminar todos os riscos. Nesse sentido, 
pode-se decidir que alguns riscos, e até um risco de nível alto, são aceitáveis, 
dados os benefícios do processamento dos dados pessoais e as dificuldades 
de mitigação. No entanto, se houver um risco residual de nível alto, é 
recomendável consultar a ANPD antes de prosseguir com as operações de 
tratamento dos dados pessoais.
A abordagem adotada neste módulo para determinar a medida a ser aplicada para tratamento do 
risco contempla identificar a relação entre os riscos, as fases do ciclo de vida dos dados pessoais, 
os ativos organizacionais, as medidas de segurança e os controles associados. Essa abordagem é 
representada pela figura a seguir.
22Enap Fundação Escola Nacional de Administração Pública
Relação entre riscos x fases do ciclo de vida x ativos organizacionais 
x medidas de segurança x controles
Primeiro se identifica em qual fase do ciclo de vida de dados pessoais o risco pode gerar algum 
tipo de impacto e, a partir disso, determina-se a medida a ser aplicada para tratamento do risco.
Identificando e Avaliando Riscos
A seguir apresentamos uma tabela cuja a finalidade é mostrar em que fase do ciclo de vida os 
riscos exemplificados na seção anterior (Identificar e Avaliar riscos) podem impactar.
23Enap Fundação Escola Nacional de Administração Pública
Risco
Fases do ciclo de vida 
dos dados pessoais 
C R P CP E
Acesso não autorizado X X X X X
Modificação não autorizada X X X X X
Perda X X
Roubo X X X X X
Remoção não autorizada X X
Coleção excessiva X
Informação insuficiente sobre a 
finalidade do tratamento X
Tratamento sem consentimento do titular dos 
dados pessoais (caso o tratamento não esteja 
previsto em legislação ou regulação pertinente)
X
Falha em considerar os direitos do titular dos 
dados pessoais (ex.: perda do direito de acesso) X X X X
Compartilhar ou distribuir dados pessoais 
com terceiros fora da administração 
pública federal sem o consentimento 
do titular dos dados pessoais
X
Retenção prolongada de dados 
pessoais sem necessidade X
Vinculação/associação indevida, direta ou 
indireta, dos dados pessoais ao titular X
Falha/erro de processamento (ex.: execução 
de script de banco de dados que atualiza 
dado pessoal com dado equivocado, ausência 
de validação dos dados de entrada, etc.)
X
Reidentificação de dados pseudonimizados X
Legenda: C - Coleta; R - Retenção; P - Processamento; CP - Compartilhamento; E - Eliminação;
Constatadas(s) a(s) fase(s) do ciclo de vida que é(são) impactada(s) pelo risco, deve-se 
identificar os ativos organizacionais que estão vinculados a ela(s).
Para ter mais informações sobre essa vinculação relativa ao ciclo de vida, clique no botão a 
seguir.
24Enap Fundação Escola Nacional de Administração Pública
Importante 
A constatação do impacto do risco sobre as fases do ciclo de vida dos dados 
pessoais deve ser realizada para cada risco identificado na etapa “Identificar 
e avaliar riscos”. A tabela anterior é apenas exemplificativa. Assim, deve-se 
realizar a referida constatação para os riscos reais identificados pela instituição, 
os quais podem ser diferentes do ilustrado pela citada tabela.
A título de exemplificação, será tratado o risco de “Acesso não autorizado” na fase Coleta. A 
fase Coleta contempla os ativos: Documento, Equipamento, Local Físico, Sistema e Unidade 
Organizacional. Entre esses ativos, será considerado o ativo Sistema com o objetivo de selecionar 
as medidas e controles de segurança a serem adotados para tratar o risco.
Link para a tabela com medidas de segurança desdobradas em controles a serem aplicados 
sobre cada ativo: < https://addie.escolavirtual.gov.br/pluginfile.php/14443/mod_lesson/page_
contents/7151/Planilha%20Controles%20LGPD.pdf>
Saiba mais 
A relação entre medidas de segurança e controles, bem como a abordagem 
utilizada para identificação dos controles aplicados sobre os ativos 
organizacionais, pode ser observada no link:
Mapeamento das Medidas e dos Controles de Segurança
25Enap Fundação Escola Nacional de Administração Pública
Tendo em vista o exemplo do ativo Sistema, existem várias medidas de segurançae controles 
propostos para proteção desse ativo.
Dessa forma, no sentido de demonstrar a metodologia de identificação das medidas de segurança, 
foram selecionados controles abordando três medidas de segurança para tratamento do risco 
de acesso não autorizado: Controle de Acesso Lógico, Cópia de Segurança e Desenvolvimento 
Seguro. O tratamento do risco é apresentado na tabela a seguir.
Dica 
Note que a coluna “Medida(s)” pode ser preenchida com uma medida de 
segurança ou controle específico adotado para tratamento do risco identificado 
na tabela anterior.
Destaque h, h, h, h, 
A critério do responsável pela elaboração do RIPD, o preenchimento da 
coluna “Medida(s)”, constante da tabela a seguir, pode ser mais detalhado, 
informando os controles específicos que foram aplicados ou descrição mais 
detalhada para a medida de segurança, proporcionando mais visibilidade em 
relação ao tratamento do risco.
Risco Medida(s) Efeito sobre o Risco1
Risco Residual2
Medida(s)3 
Aprovada(s)P I
Nível
(P x I)
R01 
Acesso não 
autorizado.
1. Controle de acesso Lógico.
Reduzir 5 10 50 sim2. Desenvolvimento seguro.
3. Segurança em Redes.
Legenda: P – Probabilidade; I – Impacto. Aplicam-se as mesmas definições de Probabilidade e 
Impacto da seção Identificar e avaliar os riscos.
1 Efeito resultante do tratamento do risco com a aplicação da(s) medida(s) descrita(s) na tabela. 
As seguintes opções podem ser selecionadas: Reduzir, Evitar, Compartilhar e Aceitar.
2 Risco residual é o risco que ainda permanece mesmo após a aplicação de medidas para tratar 
o risco.
3 Medida aprovada pelo controlador dos dados pessoais. Preencher a coluna com: Sim ou Não.
26Enap Fundação Escola Nacional de Administração Pública
Importante 
É importantíssimo atentar-se para o fato de que a concretização ou efetivação 
das medidas de segurança ocorre mediante a aplicação dos controles sobre os 
ativos organizacionais.
Aprovar o Relatório
Esta etapa visa formalizar a aprovação do RIPD por meio da obtenção das assinaturas do 
responsável pela elaboração do RIPD e pelas autoridades que representam o controlador e 
operador.
Importante 
O responsável pela elaboração do Relatório pode ser o próprio encarregado, 
ou qualquer outra pessoa designada pelo controlador com conhecimento 
necessário para realizar tal tarefa.
A formalização de autoridades representando o controlador e operador é muito relevante, 
pois é uma forma de as autoridades competentes terem ciência do impacto das operações de 
tratamento de dados pessoais realizadas pela instituição.
Manter Revisão
Atenção! O RIPD deve ser revisto e atualizado sempre que existir qualquer tipo de mudança que 
afete o tratamento dos dados pessoais realizados pela instituição.
De uma forma geral, essa mudança pode ser motivada por alteração:
• Significativa na finalidade do tratamento de dados pessoais.
 
• Que impacte o processo de como esses dados são tratados.
 
• Expressiva na quantidade de dados pessoais coletados.
 
• No contexto do tratamento de dados resultantes de identificação de falha de 
segurança, no uso de uma nova tecnologia, em caso de nova preocupação pública 
sobre o tipo de tratamento de dados realizado pela instituição ou vulnerabilidade 
de um grupo específico de titulares de dados pessoais.
Cumpre destacar que as orientações referentes à identificação da necessidade de elaborar ou 
atualizar o RIPD constantes do início deste módulo também contribuem com subsídios para a 
identificação de casos em que o Relatório de Impacto deve ser atualizado.
27Enap Fundação Escola Nacional de Administração Pública
Destaque h, h, h, h, 
A instituição deve manter revisão do RIPD a fim de demonstrar que avalia 
continuamente os riscos de tratamento de dados pessoais que surgem em 
consequência do dinamismo das transformações nos cenários tecnológico, 
normativo, político e institucional.
Ressaltamos que esta é a última etapa do ciclo contínuo de elaboração do RIPD.
Assim concluímos o conteúdo do Curso de Proteção de Dados Pessoais no Setor Público. A 
expectativa é de que você tenha compreendido a estrutura proposta de aplicação de medidas 
de segurança sobre os dados pessoais e de elaboração do RIPD, contribuindo para seu 
aperfeiçoamento profissional. 
	1. Relatório de Impacto à Proteção De Dados Pessoais