O artigo aborda riscos de conformidade sob a perspectiva da proteção de dados pessoais, privacidade e segurança da informação. Inicia-se definindo risco e seus elementos constitutivos para adentrar aspectos como ameaças, vulnerabilidades, probabilidade e consequências. O objetivo é esclarecer se há dicotomia entre conformidade e risco, estabelecendo um olhar crítico e atencioso voltado à tomada de decisão frente, especialmente, aos riscos tecnológicos que podem violar direitos e liberdades dos titulares dos dados pessoais no ciberespaço. O trabalho adotou método dedutivo de pesquisa para entender risco, suas definições e algumas reflexões, passando à análise de riscos como ferramental jurídico e, também, tecnológico. O estudo possibilitou uma contribuição sobre riscos no contexto da proteção de dados pessoais, apontando que as questões de conformidade e risco estão profundamente interligadas quando analisadas do ponto de vista dos direitos e liberdades dos titulares dos dados pessoais. Para tal, discute-se sobre Privacy Impact Assessment, Data Protection Impact Assessment, no contexto do Regulamento Geral de Proteção de Dados na União Europeia, e sobre Relatório de Impacto à Proteção de Dados Pessoais, no contexto da Lei Geral de Proteção de Dados Pessoais no Brasil. Conclui-se que quanto menor a conformidade, ou maior o evento de não conformidade, maior será o risco no sentido vernáculo, ou seja, em termos de consequências ou danos aos direitos fundamentais, para os titulares de dados pessoais.The article addresses compliance risks from the perspective of personal data protection, privacy and information security. The discussion begins by defining risk and its constituent elements to delve into aspects such as threats, vulnerabilities, probability and consequences. The main goal is to clarify whether there is a dichotomy between compliance and risk, establishing a critical and attentive look at decision-making in the face, especially, of technological risks that may violate the rights and freedoms of the holders of personal data in cyberspace. The study applied a deductive research method to understand risk, its definitions and some reflections, moving on to risk analysis as a legal and also technological tool. The study enabled a contribution on risks in the context of personal data protection, pointing out that compliance and risk issues are deeply intertwined when analyzed from the point of view of the rights and freedoms of the holders of personal data. To this end, it discusses the Privacy Impact Assessment, Data Protection Impact Assessment, in the context of the General Data Protection Regulation in the European Union, and the Impact Report on Personal Data Protection, in the context of the General Law for the Protection of Personal Data in Brazil. It is concluded that the lower the compliance, or the greater the event of non-compliance, the greater the risk in the vernacular sense, that is, in terms of consequences or damage to fundamental rights, for the holders of personal data
