Como Elaborar o RIPD (LGPD): Passo a Passo com Modelo
O Relatório de Impacto à Proteção de Dados Pessoais — o RIPD — é um dos instrumentos mais poderosos — e mais mal compreendidos — da LGPD. Muitas organizações o ignoram até receberem uma demanda da ANPD. Outras o elaboram de forma superficial, sem metodologia, e criam um documento que não serve nem como defesa num processo sancionatório.
Este guia percorre tudo o que você precisa saber: definição legal, quando elaborar, estrutura completa, metodologia de risco e como a ANPD usa o RIPD na prática.
O que é o RIPD e qual é sua base legal
O RIPD está definido diretamente na LGPD em dois artigos:
Art. 5º, XVII — Definição conceitual:
O RIPD é a "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco."
Art. 38 — Disciplina operacional:
"A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial."
Parágrafo único: O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
RIPD vs. DPIA — qual é a diferença?
O RIPD é frequentemente chamado de "o DPIA brasileiro". A comparação é válida, mas há diferenças importantes:
| Aspecto | RIPD (LGPD — Brasil) | DPIA (GDPR — Europa) |
|---|---|---|
| Base legal | Art. 38, Lei 13.709/2018 | Art. 35, Regulamento 2016/679 |
| Obrigatoriedade | ANPD "poderá" exigir (não é automático ao controlador) | Obrigatório para tipos específicos de tratamento de alto risco |
| Lista de atividades | Nenhuma lista taxativa publicada | Autoridades devem publicar lista de tratamentos que exigem DPIA |
| Publicação | Não obrigatória (exceto setor público) | Não obrigatória, mas pode ser exigida |
| Consulta prévia à autoridade | Não prevista expressamente | Obrigatória quando DPIA indica alto risco residual (Art. 36 GDPR) |
A diferença prática mais relevante: no GDPR, o controlador tem obrigação autônoma de realizar o DPIA quando o tratamento for de alto risco. Na LGPD, a iniciativa formal parte da ANPD — mas o princípio do accountability e as boas práticas de governança (Art. 50) recomendam que o controlador elabore o RIPD proativamente.
A ANPD publicou em 2023 uma página com 15 perguntas e respostas sobre o RIPD. A recomendação é clara: elaborar antes de iniciar o tratamento, como medida preventiva.
Quando o RIPD é obrigatório — e quando é fortemente recomendado
Situações de obrigatoriedade (ou quase)
1. Legítimo interesse como base legal (Arts. 10, §3º + 55-J, XIII)
Quando o tratamento de dados se baseia na hipótese de legítimo interesse, a ANPD pode requisitar o RIPD a qualquer momento. O Art. 55-J, XIII atribui expressamente à ANPD a competência de requisitar o relatório especificamente quando o fundamento for o interesse legítimo. Esta é a hipótese de quase-obrigatoriedade mais relevante na prática.
2. Setor público (Art. 32)
Agentes de tratamento do Poder Público têm obrigação mais ampla: devem "divulgar relatório de impacto à proteção de dados pessoais". A linguagem é mais imperativa do que para o setor privado.
3. Requisição direta da ANPD
A ANPD pode requisitar o RIPD no exercício de suas atribuições fiscalizatórias (Art. 55-J). A recusa ou omissão constitui infração autônoma — como ficou demonstrado no caso Telekall.
Situações de forte recomendação
A Resolução CD/ANPD Nº 2/2022 definiu critérios de tratamento de alto risco, que servem como parâmetro para avaliar a necessidade do RIPD mesmo fora de uma requisição formal. O tratamento é de alto risco quando atende cumulativamente ao menos um critério geral E um critério específico:
Critérios gerais:
- Tratamento em larga escala (volume significativo de titulares, dados, duração ou extensão geográfica)
- Tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares
Critérios específicos:
- Uso de tecnologias emergentes (IA, machine learning, reconhecimento facial, biometria)
- Vigilância ou monitoramento de zonas de acesso público
- Decisões automatizadas que afetam o titular (scoring de crédito, triagem de candidatos, análise comportamental)
- Uso de dados sensíveis ou dados de crianças, adolescentes e idosos
Exemplos práticos de atividades que tipicamente demandam RIPD:
- Sistemas de pontuação de crédito (credit scoring)
- Triagem automatizada em processos seletivos de RH
- Monitoramento de produtividade ou localização de funcionários
- Plataformas de saúde com dados médicos em larga escala
- Sistemas de reconhecimento facial em ambientes físicos
- Campanhas de marketing com segmentação comportamental avançada
- Treinamento de modelos de IA generativa com dados pessoais (caso Meta/ANPD, 2024)
- Aplicativos educacionais que tratam dados de crianças
Estrutura completa do RIPD
Conteúdo mínimo legal (Art. 38, parágrafo único)
- Descrição dos tipos de dados pessoais coletados
- Metodologia utilizada para o tratamento e para a segurança das informações
- Análise do controlador sobre medidas, salvaguardas e mecanismos de mitigação adotados
Estrutura completa recomendada
Na prática, o conteúdo mínimo legal é insuficiente para um RIPD robusto que possa ser usado como instrumento de defesa. A estrutura a seguir consolida as recomendações da ANPD, do Guia FGV de RIPD (2024) e de padrões internacionais como a ISO/IEC 29134:2017.
Seção 1 — Identificação e contexto
- Identificação do controlador, do operador (se houver) e do Encarregado (DPO)
- Descrição do processo, projeto ou sistema em análise
- Finalidade e base legal do tratamento
- Justificativa da necessidade de elaboração do RIPD
Seção 2 — Inventário de dados
- Categorias de dados pessoais tratados (convencionais e sensíveis)
- Fontes de coleta (diretas e indiretas)
- Volume estimado de titulares afetados e seus grupos (com atenção a vulneráveis: crianças, idosos, colaboradores)
- Período de retenção e política de descarte
- Compartilhamentos internos e externos (incluindo operadores e suboperadores)
- Transferências internacionais (se houver)
Seção 3 — Sistemas e tecnologias
- Sistemas de informação envolvidos no tratamento
- Fornecedores e operadores que acessam os dados
- Mecanismos de tomada de decisão automatizada (se aplicável)
- Arquitetura de dados (resumo)
Seção 4 — Análise de necessidade e proporcionalidade
- O tratamento é necessário para atingir a finalidade declarada?
- É proporcional ao risco gerado?
- Existem alternativas menos invasivas à privacidade dos titulares?
- Aplicação do princípio da minimização (Art. 6º, III da LGPD)
Seção 5 — Avaliação de riscos
- Identificação de ameaças e vulnerabilidades
- Análise por probabilidade × impacto (metodologia ISO 31000 recomendada)
- Classificação dos riscos (baixo, médio, alto, crítico)
- Riscos específicos para os direitos e liberdades dos titulares
Seção 6 — Medidas de mitigação
- Medidas técnicas implementadas (criptografia, pseudonimização, controle de acesso, logs)
- Medidas organizacionais (políticas, treinamentos, procedimentos, contratos)
- Responsáveis pela implementação e prazos definidos
- Risco residual após aplicação das medidas
Seção 7 — Aprovação e controle de versões
- Aprovações formais (DPO, Jurídico, TI, Alta Direção)
- Histórico de revisões com data e motivo
- Data da próxima revisão prevista
Como conduzir a elaboração na prática
1. Forme uma equipe multidisciplinar
O RIPD não é um documento jurídico — é um instrumento de gestão de risco que exige contribuições de múltiplas áreas. A equipe mínima deve incluir:
- DPO/Encarregado — coordena e valida a conformidade com a LGPD
- Jurídico — confirma base legal, contratos, compartilhamentos
- TI/Segurança da informação — descreve sistemas, medidas técnicas, vulnerabilidades
- Responsável pela área de negócio — descreve o processo, a finalidade, os dados envolvidos
2. Escolha uma metodologia de risco
A ANPD e o guia FGV recomendam metodologia estruturada. A mais utilizada no contexto do RIPD é a combinação de:
- ISO 31000 — gestão de riscos (termos e estrutura)
- ISO/IEC 29134:2017 — padrão internacional específico para avaliação de impacto à privacidade (PIA/RIPD)
O modelo básico de análise:
| Risco identificado | Probabilidade (1-5) | Impacto (1-5) | Nível de risco (P×I) | Medida de mitigação |
|---|---|---|---|---|
| Acesso não autorizado ao banco de dados | 3 | 5 | 15 (Alto) | Autenticação multifator + criptografia em repouso |
| Compartilhamento inadequado com fornecedor | 2 | 4 | 8 (Médio) | DPA + cláusulas de segurança + auditoria periódica |
| Retenção além do prazo necessário | 4 | 3 | 12 (Alto) | Política de retenção automatizada |
3. Integre ao ciclo de desenvolvimento (Privacy by Design)
O RIPD é mais eficaz quando elaborado antes de iniciar o tratamento — não após. Incorpore a avaliação de impacto ao processo de desenvolvimento de novos produtos, sistemas e processos desde as fases iniciais. É mais barato corrigir o projeto do que remediar um incidente.
4. Documente evidências
O RIPD deve ser sustentado por evidências concretas: políticas formalizadas, configurações técnicas documentadas, contratos com cláusulas de proteção, logs de treinamento. Um RIPD sem evidências é apenas texto — não protege a organização em caso de fiscalização.
5. Mantenha o RIPD vivo
O RIPD não é um documento estático. Revise-o sempre que houver:
- Mudanças substanciais no tratamento de dados (nova tecnologia, nova finalidade, novo operador)
- Incidente de segurança que revele riscos não mapeados
- Novas regulamentações da ANPD que alterem o contexto de risco
- Mudanças no perfil dos titulares afetados
Como a ANPD usa o RIPD em fiscalizações
A ANPD pode requisitar o RIPD a qualquer momento no exercício de suas atribuições de fiscalização. Dois casos reais ilustram o risco de não ter o documento:
Caso Telekall (2023) — Primeira multa da ANPD ao setor privado
A Telekall Infoservice não apresentou o relatório de impacto quando requisitado pela ANPD durante investigação sobre banco de dados com 130 milhões de contatos de WhatsApp comercializados para disparos eleitorais. A recusa em responder à ANPD foi imputada como infração autônoma. Sanção: R$ 14.400 + advertência.
Caso Meta/Instagram (2024) — Suspensão cautelar
A ANPD suspendeu o tratamento de dados pela Meta para treinamento de IA generativa, com multa diária de R$ 50.000 por descumprimento. A ausência de RIPD para um tratamento de alto risco — IA com dados de brasileiros, incluindo menores — foi fator relevante na avaliação da gravidade.
O RIPD como atenuante
A existência e a qualidade do RIPD são consideradas elementos do "programa de boas práticas e governança", que é circunstância atenuante na dosimetria das sanções conforme a Resolução CD/ANPD Nº 4/2023. Em termos práticos: uma organização com RIPD elaborado e documentado tem mais argumentos para reduzir uma eventual sanção.
Erros comuns ao elaborar o RIPD
| Erro | Consequência | Como evitar |
|---|---|---|
| Elaborar apenas quando solicitado pela ANPD | Perda da função preventiva | Elaborar proativamente para tratamentos de alto risco |
| RIPD genérico, sem especificidade | Documento inútil em fiscalização | Descrever com precisão dados, sistemas, riscos e medidas |
| Sem metodologia de risco estruturada | Análise subjetiva e inconsistente | Usar ISO 31000 ou metodologia equivalente |
| Sem evidências documentadas | RIPD como "papel sem lastro" | Sustentar cada afirmação com política, contrato ou evidência técnica |
| Não envolver TI e segurança | Medidas técnicas incorretas ou fantasiosas | Equipe multidisciplinar obrigatória |
| Não atualizar após mudanças | RIPD desatualizado é pior do que nenhum | Revisão periódica e gatilhos de atualização definidos |
| Confundir RIPD com o ROPA | São documentos diferentes | ROPA = inventário de todas as atividades; RIPD = avaliação de impacto de atividades de risco |
Conclusão
O RIPD é simultaneamente um instrumento de prevenção de riscos, de accountability e de defesa em processos sancionatórios. Organizações que tratam dados em larga escala, dados sensíveis, dados de crianças ou que utilizam tecnologias emergentes não podem prescindir dele.
O ponto de partida é claro: identifique seus tratamentos de alto risco usando os critérios da Resolução CD/ANPD Nº 2/2022, forme uma equipe multidisciplinar e elabore o RIPD antes de iniciar — não depois que o problema acontecer.
O Confidata é uma plataforma de gestão de privacidade que inclui módulo de RIPD com workflow colaborativo, metodologia de risco integrada e vínculo direto com o inventário de dados pessoais da sua organização. Conheça como podemos estruturar seus relatórios de impacto.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.