Guias Práticos15 min de leitura

Como elaborar o RIPD: Relatório de Impacto à Proteção de Dados Pessoais

Equipe Confidata·
Compartilhar

O RIPD — Relatório de Impacto à Proteção de Dados Pessoais — é um dos instrumentos mais sofisticados da LGPD e, ao mesmo tempo, um dos menos compreendidos. Muitas organizações o ignoram por acreditar que é obrigatório apenas em situações excepcionais. Outras o elaboram de forma superficial, gerando um documento inútil em caso de fiscalização.

Neste guia, você vai entender exatamente o que o Art. 38 da LGPD determina, para quais tratamentos o RIPD é necessário, como estruturar o documento e o que a ANPD espera dele.

O que diz o Art. 38 da LGPD

O Art. 38 é deliberadamente minimalista:

"A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial."

O parágrafo único estabelece o conteúdo mínimo:

  • I — Descrição dos tipos de dados coletados
  • II — Metodologia utilizada para a coleta e para a garantia da segurança das informações
  • III — Análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados

Três pontos críticos do Art. 38:

1. "Poderá determinar" — a obrigatoriedade surge quando a ANPD exige formalmente. Mas a lei também cria obrigação independente quando o tratamento usa legítimo interesse como base legal (Art. 10, §3°): nesses casos, o RIPD deve ser elaborado antes do início do tratamento, por iniciativa do próprio controlador.

2. O controlador elabora, não a ANPD — é um instrumento de accountability do controlador sobre suas próprias operações.

3. Segredo comercial — partes do RIPD podem ser protegidas, mas a ANPD pode exigir acesso irrestrito em processos de fiscalização.

Atenção: A regulamentação específica do RIPD (prevista na Agenda Regulatória da ANPD) ainda estava em elaboração em março de 2026. A ANPD publicou um FAQ orientativo em abril de 2023, disponível em gov.br/anpd. Documentos mais prescritivos poderão surgir com o fortalecimento da ANPD como agência reguladora (Lei 15.352/2026).

RIPD vs. DPIA: diferenças em relação ao GDPR europeu

AspectoDPIA (GDPR — Art. 35)RIPD (LGPD — Art. 38)
ObrigatoriedadeLista mínima publicada pelas autoridades + critérios geraisNão há lista fechada; critério é "alto risco" + solicitação da ANPD
Quando elaborarAntes do início do tratamento de alto riscoLGPD não especifica; orientação é elaborar antes
Consulta prévia à autoridadeObrigatória quando o risco residual permanece elevado (Art. 36 GDPR)Não há previsão de consulta prévia obrigatória
Conteúdo mínimoDetalhado no próprio Art. 35, §7° do GDPRResumido no parágrafo único do Art. 38 da LGPD
Quem elaboraControlador (DPO consulta obrigatório)Controlador (DPO revisa e aprova)

A LGPD é mais principiológica e menos prescritiva que o GDPR — o que dá mais flexibilidade, mas também mais responsabilidade ao controlador para definir a metodologia adequada.

Quando o RIPD é necessário

Obrigação direta — sem solicitação da ANPD

1. Tratamento com base em legítimo interesse (Art. 10, §3°): Todo controlador privado que usa o legítimo interesse como base legal deve elaborar o RIPD antes de iniciar o tratamento. Essa é a única hipótese em que a LGPD cria obrigação direta e autônoma de elaboração do RIPD — independentemente de solicitação da ANPD.

2. Quando a ANPD determinar (Art. 38): A autoridade pode exigir o RIPD a qualquer momento, sobre qualquer operação. A recusa em elaborá-lo ou submetê-lo quando solicitado é uma infração autônoma. Em outubro de 2023, a ANPD sancionou a Secretaria de Saúde de Santa Catarina, incluindo expressamente a "não submissão do RIPD quando solicitado" entre as infrações constatadas.

Fortemente recomendado — critérios de alto risco

Com base nas orientações da ANPD e nos critérios consolidados internacionalmente (GDPR/EDPB), o RIPD é fortemente recomendado quando o tratamento combina ao menos um critério geral e um critério específico:

Critérios gerais:

  • Tratamento em larga escala (grande volume de dados ou grande número de titulares)
  • Tratamento que possa afetar significativamente direitos e liberdades fundamentais dos titulares

Critérios específicos:

  • Uso de tecnologias emergentes ou inovadoras (inteligência artificial, reconhecimento facial, IoT)
  • Vigilância ou controle de zonas acessíveis ao público (câmeras com análise comportamental)
  • Decisões tomadas unicamente com base em tratamento automatizado com efeito legal ou semelhante (Art. 20 da LGPD)
  • Tratamento de dados sensíveis (Art. 5, II: saúde, biometria, origem étnica, convicção religiosa, etc.)
  • Tratamento de dados de crianças, adolescentes ou idosos
  • Tratamento de dados de pessoas em situação de vulnerabilidade

Exemplos práticos que exigem RIPD:

  • Sistema de reconhecimento facial para controle de acesso em escola
  • Aplicativo de saúde que processa dados médicos de pacientes em larga escala
  • Plataforma de crédito que usa scoring automatizado para decisões de concessão
  • Programa de monitoramento de produtividade de colaboradores com análise comportamental
  • Sistema de IA para triagem de currículos em processo seletivo

Quem elabora o RIPD

O controlador é o responsável pela elaboração — é ele quem decide sobre o tratamento e deve documentar os riscos que impõe aos titulares.

Na prática, a elaboração envolve múltiplas áreas:

  • Área de privacidade/compliance: coordenação metodológica e redação
  • Área de TI: descrição técnica dos sistemas, fluxos de dados e medidas de segurança
  • Área jurídica: análise das bases legais e proporcionalidade
  • Área de negócio: descrição das finalidades e necessidade do tratamento

O DPO/Encarregado não elabora o RIPD — ele revisa e emite parecer. É a "segunda linha de defesa": avalia a adequação do relatório, identifica lacunas e recomenda medidas adicionais. O DPO deve aprovar ou rejeitar fundamentadamente o RIPD antes de sua finalização.

Nunca o mesmo profissional deve elaborar e aprovar o RIPD. Isso criaria conflito de interesses e comprometeria a credibilidade do documento.

Quando elaborar o RIPD

A LGPD não fixou o momento explicitamente. A orientação consolidada — baseada nas boas práticas internacionais e na lógica do Privacy by Design (Art. 46, §2°) — é elaborar antes do início do tratamento:

  • Para novos sistemas ou produtos que tratarão dados pessoais: antes da fase de desenvolvimento
  • Para novas finalidades de uso de dados já coletados: antes de iniciar o novo uso
  • Para novos tratamentos com base em legítimo interesse: obrigatoriamente antes de iniciar (Art. 10, §3°)
  • Para avaliação retroativa de sistemas legados: tão logo quanto possível, priorizando os de maior risco

Elaborar o RIPD após um incidente de segurança ou uma notificação da ANPD coloca a organização em posição de grande desvantagem — demonstra ausência de governança prévia.

Estrutura completa do RIPD

Seção 1 — Identificação

  • Nome e CNPJ do controlador
  • Nome e contato do encarregado (DPO)
  • Identificação dos operadores envolvidos no tratamento
  • Data de elaboração e número de versão

Seção 2 — Justificativa da elaboração

Por que o RIPD está sendo elaborado?

  • Solicitação da ANPD
  • Obrigação por uso de legítimo interesse (Art. 10, §3°)
  • Iniciativa interna por identificação de alto risco
  • Novo projeto ou sistema

Seção 3 — Descrição completa do tratamento

Esta é a seção mais extensa e pressupõe um data flow mapping prévio completo:

  • Tipos de dados pessoais tratados (incluindo dados sensíveis, de crianças, etc.)
  • Categorias de titulares e volume estimado
  • Finalidades específicas do tratamento
  • Base(s) legal(is) utilizada(s)
  • Operações realizadas: coleta, armazenamento, acesso, compartilhamento, transmissão, eliminação
  • Compartilhamentos internos (quais áreas, sistemas) e externos (quais terceiros)
  • Transferências internacionais de dados, se houver
  • Prazo de retenção e critério de eliminação

Seção 4 — Avaliação de necessidade e proporcionalidade

Para cada finalidade declarada, avalie:

  • O tratamento é estritamente necessário para atingir a finalidade?
  • Há alternativa menos intrusiva à privacidade que produziria o mesmo resultado?
  • A quantidade de dados coletados é proporcional à finalidade?

Seção 5 — Identificação e análise de riscos

Para cada risco identificado, documente:

CampoConteúdo
AmeaçaO que pode dar errado? (ex.: acesso não autorizado, uso indevido, vazamento, discriminação algorítmica)
CausaPor que essa ameaça existe? (falha técnica, erro humano, ataque externo)
Consequência para titularesQual o dano potencial? (patrimonial, reputacional, discriminação, risco à vida)
ProbabilidadeBaixa / Média / Alta
Gravidade do impactoBaixa / Média / Alta
Risco brutoProbabilidade × Impacto

Categorias de risco a considerar:

  • Acesso não autorizado aos dados
  • Divulgação indevida de dados pessoais
  • Alteração ou destruição de dados sem autorização
  • Perda de disponibilidade de dados necessários ao titular
  • Discriminação por uso indevido de perfis
  • Impacto desproporcional a grupos vulneráveis
  • Decisões automatizadas prejudiciais sem possibilidade de revisão

Seção 6 — Medidas de mitigação e salvaguardas

Para cada risco de nível médio ou alto, documente as medidas:

Medidas técnicas:

  • Criptografia em trânsito e em repouso
  • Controle de acesso baseado em privilégios mínimos
  • Autenticação multifator
  • Pseudonimização ou anonimização
  • Logs e monitoramento de acesso
  • Testes de penetração e vulnerabilidade

Medidas organizacionais:

  • Política de privacidade e proteção de dados
  • Treinamento de equipes com acesso aos dados
  • Contratos com operadores (DPAs)
  • Processo formal de resposta a incidentes
  • Revisão periódica do RIPD

Para cada medida, documente: responsável pela implementação, prazo e critério de verificação.

Seção 7 — Risco residual e conclusão

Após as medidas de mitigação, qual o nível de risco que permanece?

  • Risco residual baixo: o tratamento pode ser iniciado com as medidas descritas
  • Risco residual médio: medidas adicionais devem ser implementadas antes do início
  • Risco residual alto: o controlador deve reconsiderar a necessidade do tratamento ou consultar a ANPD

A conclusão deve incluir a recomendação do DPO (aprovado, aprovado com ressalvas, reprovado) e a decisão final do controlador com justificativa.

Referência metodológica: ISO 29134

A ISO 29134:2017 (Guidelines for Privacy Impact Assessment) é a norma internacional que estabelece metodologia para o RIPD/DPIA. A ANPD recomenda sua consulta como referência, embora não a exija formalmente como norma obrigatória.

A ISO 29134 estrutura o processo em fases semelhantes à estrutura acima, com ênfase em:

  • Consulta às partes interessadas (titulares afetados, quando possível)
  • Iteratividade: o RIPD deve ser revisado à medida que o projeto evolui
  • Documentação do raciocínio, não apenas dos resultados

Como a ANPD usa o RIPD em fiscalizações

A ANPD utiliza o RIPD como instrumento de verificação de accountability. Quando investiga um incidente ou recebe uma denúncia, o RIPD é um dos primeiros documentos solicitados.

A ausência do RIPD agrava a situação do controlador em um processo administrativo — demonstra que a organização não avaliou os riscos antes de iniciar o tratamento e não implementou salvaguardas proporcionais.

A qualidade do RIPD também importa: um documento superficial, que apenas lista riscos sem analisá-los adequadamente ou que propõe medidas genéricas sem responsável e prazo definidos, pode ser considerado inadequado pela ANPD.

Checklist para seu RIPD

  • O tratamento usa legítimo interesse? → RIPD obrigatório (Art. 10, §3°)
  • Envolve dados sensíveis ou de crianças em larga escala? → RIPD recomendado
  • Envolve decisões automatizadas com efeito significativo? → RIPD recomendado
  • O RIPD foi elaborado antes do início do tratamento?
  • Contém descrição completa do fluxo de dados?
  • Identifica e avalia todos os riscos relevantes (probabilidade × impacto)?
  • Propõe medidas de mitigação com responsável e prazo?
  • Avalia o risco residual após as medidas?
  • O DPO emitiu parecer formal?
  • O controlador tomou decisão documentada?
  • O RIPD está arquivado e disponível para solicitação da ANPD?

Conclusão

O RIPD não é uma burocracia — é a documentação do raciocínio de uma organização sobre os riscos que impõe aos titulares de dados e as medidas que tomou para mitigá-los. Organizações que elaboram bons RIPDs antes de iniciar tratamentos de alto risco reduzem significativamente o risco de incidentes e de sanções — e constroem um argumento sólido de boa-fé e accountability em eventuais processos administrativos.

O Confidata oferece um módulo de gestão de RIPDs integrado ao inventário de dados, com templates estruturados, workflow de aprovação pelo DPO e histórico de versões com rastreabilidade completa.

Compartilhar
#RIPD#DPIA#relatório de impacto#Art. 38 LGPD#avaliação de impacto#alto risco#privacidade por design

Artigos relacionados

Como Elaborar o RIPD (LGPD): Passo a Passo com ModeloGuias Práticos · 14 minComo mapear o fluxo de dados pessoais na sua organizaçãoGuias Práticos · 13 minROPA (Art. 37 LGPD): Como Criar e Manter AtualizadoGuias Práticos · 13 minPolítica de Privacidade 2026: Modelos Prontos e Requisitos ANPDGuias Práticos · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista